она вышла несколько недель назад

А я ломалнул DrWeb и забот незнаю.

Глянул бы, для начала в ChangeLog

Mon Feb 16 14:19:42 CET 2004 (tk) --------------------------------- V 0.67-1 (increased version number of clamav-milter)

---------------------------------

И это все!

А как ломанул?..

бьювом (biew) и мозгами.

А помочь с Clamav мозгов уже не хватает, или менталитет не позволяет?

скажу чесно - мне пох#й.

Для GPL это действительно отличный антивирус. Свистните, когда вирусы ловить начнет? Хоть поглядеть на него :)

"Швистим"

На самом деле ловит все что надо, я доволен.

М.

А у меня тут коллекция скопилась, в основном троянцы, ворующие конфиденциальную информацию, пароли на почту/аську и проч, бэкдоррцы, пзволяющие шариться по компам юзеров и по корпоративной сетке, закидывать туда новых червячков. Ну и макрики, грохающие всю инфу на компе. Из почти 400 экземпляров clamav не видит ничего. Вопрос, а не подскажете почтовый домен, который обслуживается вашим clamav? :)

Сегодня поставил ClamAV на Communigate Pro (с помощью плагина cgpav). Работой ClamAV очень доволен, хорошо противостоит последним почтовым вирусным эпидемиям. Неплохая экономия, особенно в свете изменения лицензионной политики DrWeb.

> ananizmus (*) (03.03.2004 22:11:01)

Дебил, включи проверку почтовых вложений

на домашнем сервачке стоит связка exim+amavisd+clamav и знаете ли очень доволен... лучше уж пусть clamav, чем вообще ничего ;) а drweb и проч для дом. сервера слишком дорого получается :)
мое мнение

Да, знаете-ли, очень хороший для ГПЛ антивирус. Я сам недавно занимался установкой одного почтового сервера и специально занимался этим вопросом (долго изучал mail-lists проекта ClamAV) и был приятно удивлен тем, что отставание по обновлению антивируснух баз от основных платных антивирусов (drWeb, AVP, McAfee) составляет примерно 0,5-1,5 суток, что как мне кажется вполне хороший результат, тем более что ClamAV сканирует почту значительно быстрее своих платных собратьев. Особенно радует тот аспект, что антивирусные базы можно автоматически обновлять через Дебияновский apt-get

Угу, согласен.
У нас тоже на локальном сервачке крутится (qmail + vpopmail + SA + clamav) - все довольны.

Ну а у кого не ловит вирусы - дык как сказал великий анонимс? Включите проверку почтовых сообщений в конфиге и будет вам счастье.

М.

Mydoom он начал отлавливать раньше чем drweb.

> Mydoom он начал отлавливать раньше чем drweb. Вы заблуждаетесь, я конечно, с радостью бы с вами согласился, но это не так. Обратитесь к mail-list ClamAV и вы сразу поймете о чем я. Все дело в том, что обновления антивирусных баз в ClamAV происходят как раз таки на основе работы DrWeb, AVP и McAfee.

Народ подскажите почему он у меня не ловит вирусы в письмах кодированных MIME-base64, как разрулить проблему?

DR.Web - хотят 4 килобакса за лицензию на сервер с почтовым трафиком 100MB в час. Это в 10 раз дороже, чем в прошлом году :(

Надо взять exim + exiscan-patch, сделать там сначала demime или там сейчас какая-то ещё одна новая фишка есть (ещё не успел поглядеть), а просле этого говришь malware. В итоге acl будет примерно такая:

acl_check_content: deny message = This message contains a MIME error ($demime_reason) demime = * condition = ${if >{$demime_errorlevel}{2}{1}{0}}

deny message = This message contains an unwanted file extension ($found_extension) demime = scr:vbs:bat:lnk:pif

deny message = This message contains malware ($malware_name) malware = *

accept

P.S. надо было сказать МТА :-), я написал для чего знал. С другими МТА предпочитаю не работать вообще.

давай судя - bottleman@icf.bofh.ru, все 400, ты наверное чето не так делаеш, 400 вирей он пропустить никак не может.

GHhost

Просто у чела наверно руки кривые, вот поэтому у него не ловит, у меня лично прикручен к CGP и замечательно вылавливает.

Re А у меня тут коллекция скопилась, в основном троянцы

2 ananizmus Поделись. Отличный подарок любимой бабе

2 ananizmus

Скинь на тест если не сложно на ifreeman AT mail.ru

Мне тут стало интересно, а как на счет присутствия его в разных дистрибутивах, для поиска использовался rpmfind.net и emerge.
Было найдено следующее:
Mandrake Cooker, Mandrake, PLD Linux Distribution, GenToo.

> А у меня тут коллекция скопилась, в основном троянцы, ворующие
> конфиденциальную информацию...
а не поделишься ли коллекцией, уважаемый?
Коллекционер.

Для размышления табличка из BugTraq - у кого когда появились сигнатуры на MyDoom:

время GMT

ClamAV- 26.01 20:23 - Worm.SCO.A McAfee (BETA) - 26.01. 21:20 - W32/Mydoom@MM (you'd have to have manually downloaded this one for it to have been any use) Symantec (BETA) - 26.01. 22:00 - W32.Novarg.A@mm F-Prot - 26.01. 22:30 - W32/Mydoom.A@mm Trend Micro - 26.01. 22:35 - WORM_MIMAIL.R Trend (BETA) - 26.01. 22:35 - WORM_MIMAIL.R RAV - 26.01. 23:00 - Win32/Novarg.A@mm Norman - 26.01. 23:05 - MyDoom.A@mm F-Secure - 26.01. 23:05 - W32/Mydoom.A@mm Virusbuster - 26.01. 23:05 - I-Worm.Mydoom.A AVG - 26.01. 23:15 - I-Worm/Mydoom Avast - 26.01. 23:15 - Win32:Mydoom [Unp] Kaspersky - 26.01. 23:30 - I-Worm.Novarg AntiVir - 26.01. 23:30 - Worm/MyDoom.A2 Symantec - 27.01. 00:05 - W32.Novarg.A@mm InoculateIT-CA - 27.01. 00:20 - Win32/Shimg.Worm Command - 27.01. 00:20 - W32/Mydoom.A@mm A2 - 27.01. 00:30 - Worm.Win32.Mydoom Sophos - 27.01. 00:40 - W32/MyDoom-A InoculateIT-VET - 27.01. 01:30 - Win32.Mydoom.A Esafe - 27.01. 01:50 - Win32.Mydoom.a Dr. Web - 27.01. 02:40 - Win32.HLLM.Foo.32768 Panda (BETA) - 27.01. 03:10 - W32/Mydoom.A.worm McAfee - 27.01. 04:00 - W32/Mydoom@MM Quickheal - 27.01. 04:00 - W32.Novarg Bitdefender - 27.01. 04:00 - Win32.Novarg.A@mm Panda - 27.01. 04:10 - W32/Mydoom.A.worm Ikarus - 27.01. 08:35 - I-Worm.Mydoom

>Вышла новая версия отличного GPL-антивируса Clamav

А сами вирусы выходят под какой лицензией? GPL? Можно ли свободно публиковать код вируса или использовать его в своих программах? Не должны ли создатели коммерческих (не GPL) антивирусов платить лицензионные отчисления авторам вирусов (делиться прибылью)?

> Mydoom он начал отлавливать раньше чем drweb. Вы заблуждаетесь, я конечно, с радостью бы с вами согласился, но это не так. Обратитесь к mail-list ClamAV и вы сразу поймете о чем я. Все дело в том, что обновления антивирусных баз в ClamAV происходят как раз таки на основе работы DrWeb, AVP и McAfee.

ну и в чём противоречие? раньше всех мог обновиться н.п. AVP, по нему обновился ClamAV, а затем уже DrWeb

> Дебил, включи проверку почтовых вложений

А я проверяю сканнером exe файлы. А зачем включать проверку вложений? Я же пока не письма сканирую.

>Ну а у кого не ловит вирусы - дык как сказал великий анонимс?

>Включите проверку почтовых сообщений в конфиге и будет вам счастье.

Не видит сканер в голых exe файлах.

> давай судя - bottleman@icf.bofh.ru

А ничего не треснет? :)

> Просто у чела наверно руки кривые, вот поэтому у него не ловит,

Может чел просто работает в этой же сфере, и ему есть на чем проверить? :)

> а не поделишься ли коллекцией, уважаемый? > Коллекционер.

Нет.

Вирусы, антивирусы, кто быстрее... Все это бег за своей задницей вокруг столба. А если ваших юзеров проспамят новым вирусом? Да не просто новым вирусом - а вирусом собственного разлива? - ни один антивирус не спасет. Надежда на эвристику небольшая. Надо просто выкусывать все исполняемые вложения из почты, да и архивы с ними выкидывать - и проблем не будет - а макро-вирусы - это уже не страшно, да и редкость это теперь.

по поводу changelog'а:
0.67-1 - это необязательный баг-фикс версии 0.67.
changelog 0.67 надо смотреть.

по поводу ловит-неловит:
clamav живет за счет комьюнити: если у тебя есть новый экземпляр из зверинца - прогони его через on-line-проверу и если это что-то новое - запости его. и будет всем щастье.

в adamantix есть.

GHhost

> давай судя - bottleman@icf.bofh.ru

А ничего не треснет? :)

херня - залатаем, ты главное давай:)

GHhost

> А я ломалнул DrWeb и забот незнаю.
>
> Poh (*) (03.03.2004 18:10:25)

Вор!
Дай поломаный DrWeb... :)

> Мне тут стало интересно, а как на счет присутствия его в разных дистрибутивах, для поиска использовался rpmfind.net и emerge.

> Было найдено следующее: Mandrake Cooker, Mandrake, PLD Linux Distribution, GenToo.

Ага, а по оригинальной ссылке как всегда не сходили?

http://www.clamav.net/binary.html

Добавьте в этот список ещё Debian stable/woody и testing/sarge; Fedora Core (и, следовательно скорее всего RedHat 8,9) - это то, на что дают ссылки сами разработчики ClamAV.

На бинарники для FreeBSD, OpenBSD, AIX, Solaris 8 и Cygwin там тоже есть ссылки.

Вчера мои юзера меня пинали - как так clamav пропустил кучу зараженных вордовых доков... Как так? я не знаю... Или опен антивирус только для опен офиса? =)

> юзера меня пинали

А ты шапку сними, и походи с ней, мол червонец давай, новый антивирус покупать буду. Может и перестанут пинать. А опен он и есть опен - тебе никто ничего не обещает и не навязывает.

Не open тоже ни за что ответственности не несет.

надо было запостить его на clamav.net.
юзать хотим а помочь нет.

> Вчера мои юзера меня пинали - как так clamav пропустил кучу зараженных вордовых доков...

Проверка почтовых вложений включена?

а я им начинаю проникаться напрмер поставил просто чтоб попробовать и тутже при первом запуске обнаружилось что половина файлов заражена

/home/kefiiir/install/ad-aware6/aaw.exe: TR/FlashKiller.B FOUND /home/kefiiir/install/ad-aware6/aaw6.exe: TR/FlashKiller.B FOUND /home/kefiiir/install/flashget14/fgf140.exe: TR/FlashKiller.B FOUND /home/kefiiir/programs/miranda-0.3.1/dbtool.exe: TR/FlashKiller.B FOUND /home/kefiiir/programs/miranda-0.3.1/miranda32.exe: TR/FlashKiller.B FOUND /home/kefiiir/programs/putty/pageant.exe: TR/FlashKiller.B FOUND /home/kefiiir/programs/putty/plink.exe: TR/FlashKiller.B FOUND /home/kefiiir/programs/putty/pscp.exe: TR/FlashKiller.B FOUND

и это пр итом что AVP с последними обновлениями там ничего не вилит вот я теперь думаю это АВП тормоз или кламав ПАРАНОИК ?

kefiiir

Кстати, полиморфиков clamav не ловит... Так что не обольщайтесь. Опять же с запароленными архивами что делать? Нет, тут без разъяснительной работы с юзерами не обойтись...

На http://www.wlug.org.nz/ClamAv пишут, что ловит полиморфов.

Насколько я понял, он может ловить не полностью полиморфные вирусы (т.е. те, которые мутируют не полностью - ну например, переставляют свои модули местами - их всё-таки можно ловить по маске). Для ловли полностью полиморфных вирусов нужен эмулятор кода - а его в clamav нет. Кто имеет более точную информацию, поправьте, пожалуйста.