Existe um antivírus para Linux Mint?

Seria só vc matar o processo do flashclam que já esta aberto, ele monitora atualização das assinaturas do de malware sozinho e inicia junto do sistema, é assim na família Ubuntu.
Se vc matar o processo flashclam você pode abri-lo de novo com o sudo.
Parece que so pode ter 1 processo flashclam do ClamAV.

A assinatura do meu esta com “Known viruses: 8671149” malware conhecidos.

1 curtida

Fiz todo o procedimento e estou escaneando os arquivos agora. Assim que finalizado eu posto os resultados aqui novamente.

1 curtida

@jonasea91

Isso que o ClanAV detectou devem ser cookies apenas.

Aqui uso o Kaspersky Rescue Disk carregado no boot para verificação de tudo.

1 curtida

Para atualizar o banco de dados do antivírus ClamAV:

sudo systemctl stop clamav-freshclam

sudo freshclam

systemctl start clamav-freshclam

Para atualizar com um só comando:

sudo systemctl stop clamav-freshclam && sudo freshclam ; sudo systemctl start clamav-freshclam

2 curtidas

Esse tópico fica cada vez melhor.

Estou melhorando a linha de código para escaneamento, por enquanto está assim:

clamscan -ri --move=(DESTINO DOS VÍRUS) --detect-pua --detect-structured --log=(DESTINO DO RELATÓRIO) /(DESTINO ESCANEADO)

Eu prefiro mover os arquivos maliciosos para uma pasta para analisá-los em separado. Acham uma boa ideia?
Outra coisa, vale a pena utilizar os comandos –detect-pua e –detect-structured, ou a chance de muitos falsos-positivos aumenta demais?

1 curtida

sim, aumenta, a heurística também aumenta os falso positivo, a detecção mais confiável é a detecção a partir de assinatura.
No entanto a heurística torna possível a detecção de malware desconhecidos.

É possível passar parâmetro para o clamscan não escanear um arquivo ou diretório, da para usar isso para não escanear um arquivo que seja falso positivo.

--exclude=REGEX, --exclude-dir=REGEX
    Don't scan file/directory names matching regular expression. These options can be used multiple times.

Você pode criar um script bash para que vc tenha uma maior abstração na hora de passar um scan. Da para fazer ate um script bash com interface gráfica usando o zenity ou o dialog.
Esse site da instrução de como criar interface gráfica usando o dialog: Dialog --tudo | Aurelio.net

1 curtida

Como funciona essa detecção? E qual comando eu uso no terminal?

1 curtida

ClamAV

Quando eu uso ClamAV por linha de comando no Debian e derivados eu instalo esses dois pacotes:

clamav clamav-daemon

  • No Fedora: clamav clamav-update

Para atualizar o antivírus

sudo systemctl stop clamav-freshclam

sudo freshclam

systemctl start clamav-freshclam

Para atualizar com um só comando:

sudo systemctl stop clamav-freshclam && sudo freshclam ; sudo systemctl start clamav-freshclam

  • No Fedora para atualizar o banco de vírus só precisa do comando: sudo freshclam

Para escanear uma pasta, eu entro nela depois clico com o botão direito e escolho “Abrir no terminal” e digito o comando:

sudo clamscan -r -i

Dessa forma acima ele vai escanear de forma recursiva (-r) e só vai mostrar na tela os arquivos infectados (-i)

Também pode especificar a pasta e colocar a opção --remove para remover automaticamente os arquivos infectados:

sudo clamscan --infected --remove --recursive /home

Muito cuidado ao executar o comando com a opção de remoção, sempre execute uma verificação inicial sem ele para não deletar nenhum arquivo que possa ser identificado falsamente por engano.

Para fazer uma análise completa de seu sistema execute o comando abaixo:

sudo clamscan --infected --recursive --exclude-dir=“^/sys” /

Esse comando verifica todos os diretórios recursivamente, pulando apenas a pasta /sys para evitar alertas desnecessários.

Eu faço assim, crio uma pasta Vírus-Clamav em /home/rodrigo/Documentos/ depois além dos parâmetros -r -i eu acrescento --copy com o caminho da pasta Vírus-Clamav e o parâmetro --log com o caminho da pasta Vírus-Clamav, dessa forma ele faz uma cópia dos vírus nesta pasta e cria um log. Tanto pode ser executado como usuário normal quanto com sudo, se executar com sudo vai precisar de permissão de root para deletar os arquivos da pasta. Dessa forma eu vejo os vírus e depois procuro pelo gerenciador de arquivos e deleto caso não seja uma falsa ameaça:

clamscan -r -i --copy=/home/rodrigo/Documentos/Vírus-Clamav --log=/home/rodrigo/Documentos/Vírus-Clamav/Log.txt

OU:

sudo clamscan -r -i --copy=/home/rodrigo/Documentos/Vírus-Clamav --log=/home/rodrigo/Documentos/Vírus-Clamav/Log.txt

Eu rodo esses comandos na pasta que abro pelo terminal.


Só que eu crio alias no bashrc que fica oculto na home para automatizar as tarefas com poucos comandos:

Para atualizar: basta digitar o comando abaixo no terminal que ele vai criar esse apelido/alias no bashrc, depois só vai precisar digitar fr no terminal:

echo “alias fr=‘sudo systemctl stop clamav-freshclam && sudo freshclam ; sudo systemctl start clamav-freshclam’” >> /home/rodrigo/.bashrc

Para escanear: basta digitar o comando abaixo no terminal que ele cria um alias/apelido no bashrc, depois só vai precisar digitar cl para escanear como usuário normal:

echo “alias cl=‘clamscan -r -i --copy=/home/rodrigo/Documentos/Vírus-Clamav --log=/home/rodrigo/Documentos/Vírus-Clamav/Log.txt’” >> /home/rodrigo/.bashrc

Para escanear com permissões de administrador (sudo), basta digitar os comandos abaixo no terminal que vai criar um aplido/alias no bashrc, depois é so digitar rcl no terminal:

echo “alias rcl=‘sudo clamscan -r -i --copy=/home/rodrigo/Documentos/Vírus-Clamav --log=/home/rodrigo/Documentos/Vírus-Clamav/Log.txt’” >> /home/rodrigo/.bashrc

O comando abaixo eu uso quando quero apagar o arquivo de log que crio na pasta Vírus-Clamav, basta digitar os comandos abaixo no terminal que cria um alias/apelido no bashrc, depois pasta digirar l (a letra éle) para deletar o arquivo de log seja ele como usuário quanto com sudo:

echo “alias l=‘sudo rm /home/rodrigo/Documentos/Vírus-Clamav/Log.txt’” >> /home/rodrigo/.bashrc


NO CASO DO FEDORA

Eu instalo o ClamAV assim:

clamav clamav-update

Eu crio esses alias:

Para atualizar o banco de vírus fr:

echo “alias fr=‘sudo freshclam’” >> /home/rodrigo/.bashrc

Para escanear como usuário norma cl:

echo “alias cl=‘clamscan -r -i --copy=/home/rodrigo/Documentos/Vírus-Clamav --log=/home/rodrigo/Documentos/Vírus-Clamav/Log.txt’” >> /home/rodrigo/.bashrc

Para escanear como administrador (sudo) rcl:

echo “alias rcl=‘sudo clamscan -r -i --copy=/home/rodrigo/Documentos/Vírus-Clamav --log=/home/rodrigo/Documentos/Vírus-Clamav/Log.txt’” >> /home/rodrigo/.bashrc

Para deletar o arquivo de log l (letra éle):

echo “alias l=‘sudo rm /home/rodrigo/Documentos/Vírus-Clamav/Log.txt’” >> /home/rodrigo/.bashrc


1 curtida

Além de toda a baita informação que tive aqui, esse tópico serviu para ter um embasamento ainda maior da ferramenta. Incrementei meu código de busca e ficou assim:

Botão direito em cima da pasta que quero escanear → “Abrir em um terminal”:

clamscan -ri --copy=(DESTINO DOS VÍRUS) --detect-pua --detect-structured --log=(DESTINO DO RELATÓRIO)

Assim pego tudo que é possível, até os falsos-positivos, que seja, mas ao invés de mover eu só copio eles e uso o log pra ver onde estão, caso queira remover (usando grande parte da dica do @rubenscontato ).

Será que há alguma melhoria pra fazer nesse código?

1 curtida

O scan usando a assinatura sempre vai acontecer, ela é a forma de menor falso positivo atualmente nos sistema antivírus então não faz sentido desativa-la, desativa-la é o mesmo sentido que desinstalar o antivírus.
A assinatura é padrão de características de malware que depois é usado para fazer comparação com o assembly do arquivo scaneado.

O parâmetro --remove é para deletar o arquivo detectado como malicioso automaticamente sem a sua intervenção.

Eu encontrei no ClamAV uma opção para desativar heurística. Tem apenas um parâmetro para que ele use a heurística:

--heuristic-alerts[=yes(*)/no]
              In some cases (eg. complex malware, exploits in graphic files, and others), ClamAV uses special algorithms to provide accurate detection. This option can be used to control  the
              algorithmic detection.

O ClamScan tem varias opção de parâmetro, você pode encontrar todos em “$ man clamscan”.

Se você não copiar o arquivo e após comprimi-lo e apagar o que esta no local de origem ele ainda poderá ser executado caso acessado por um código que o inicie.

Tem mais configuração que as você coloco para aumentar a detecção, como por exemplo, existe uma configuração padrão de quantos diretórios recursivos que o clanscan vai scanear, chego nesse limite ele altera o diretório. Eu não sei se isso é para limitar scan subdiretório ou arquivos comprimido como “zip”, mas isso tem uma razão para ser assim, isso evita que o sistema caia em um ataque conhecido como “DOS(Ataque de negação de serviço)”.

Estava estudando o comando aqui, procurei no --help mas não achei e queria saber:

Tem como durante o scan no terminal aparecer todos os arquivos que estão sendo escaneados, porém no relatório ficar apenas os malwares detectados?

É so vc remover o parâmetro “-i” este “i” é de infectados, mostrar apenas infectados.
Mas se remover o -i o terminal fica muito poluído com informação que vc não vai conseguir interpretar com facilidade.
Tem o parâmetro “-o” que da uma saída com menor poluição que sem parâmetro nenhum de ocultação.

Para ver o manual dos programas em terminal devesse utilizar o “man” antes do software a ser executado, tente:
$ man clamscan
Se você procurar o manual do clamscan na internet deve encontrar em português, ou traduzir paginas de manual com o google tradutor, segue: clamscan(1): scan files/directories for viruses - Linux man page

@jonasea91 O ClamAV aceita assinaturas de malware de outras fontes que não seja do projeto ClamAV.

1 curtida

O clamscan ele é mono núcleo de CPU, isso faz com que ele seja lento, o clamdscan tem opção de usar multi-cores o que o torna um foguete perto do clamscan, para scanear quantidades massiva de arquivos eu uso o clamdscan com a opção multi-cores.

Eu tenho que fazer alguma coisa ou ele automaticamente pega as assinaturas de malwares de outras fontes?

Realmente, o clamdscan é bem mais rápido. Fiz um teste com ambos (clamscan e clamscand) escaneamento a mesma pasta, e o segundo levou praticamente 1/3 do tempo para ser concluído.

CLAMSCAN:
Time: 1685.049 sec (28 m 5 s)
Start Date: 2023:07:28 08:09:18
End Date: 2023:07:28 08:37:23

CLAMDSCAN:
Time: 585.059 sec (9 m 45 s)
Start Date: 2023:07:28 07:33:01
End Date: 2023:07:28 07:42:46

Sim, sempre habilito o multi-core no clamdscan, é muito melhor para quantidade massiva de arquivos, o clamscan pode ser mais lento só que para quantidades pequenas de dados é tolerável.

Você tem que fazer alguns passos a passos para usar outras assinaturas, o chatGPT deve saber o passo a passo, eu nunca me interessei por isso.

Use o KRD e esqueça esse monte de linhas de comandos do ClamAV.