Comment améliorer la détection des malwares avec l'antivirus ClamAV ?

ClamAV, un bon antivirus, et gratuit en plus !

ClamAV est un logiciel antivirus open-source disponible gratuitement pour les utilisateurs.
L'un de ses principaux avantages est sa capacité à détecter une large gamme de menaces, y compris les virus, les chevaux de Troie, les logiciels espions, les scripts malveillants (y compris les macros dans les documents Office), et bien d'autres malwares. ClamAV peut être utilisé sur plusieurs plates-formes, y compris Linux, Windows, Mac OS X, et il peut être intégré à des applications de messagerie électronique et de serveurs de fichiers pour scanner les fichiers en temps réel.
Le logiciel est également extensible, ce qui signifie que les utilisateurs peuvent ajouter des signatures personnalisées pour détecter des menaces spécifiques.
Enfin, ClamAV est connu pour avoir un impact minimal sur les performances du système, ce qui signifie qu'il peut être utilisé efficacement sur des systèmes plus anciens ou moins puissants.
C'est pour toutes ces raisons que ClamAV est considéré comme l'un des meilleurs antivirus Linux, et que de nombreux particuliers et entreprises l'ont choisi pour se protéger des malwares et des mails indésirables.

Mais ClamAV peut-il faire mieux pour détecter des malwares

Effectivement, il existe un certain nombre de bonnes pratiques pour détecter beaucoup plus de malwares qu'avec l'installation par défaut tout droit sorti du site officiel clamav.net.
Voici les principales actions à mener pour bodybuilder ClamAV :

Mettre à jour ClamAV

Le site officiel de ClamAV sort généralement plusieurs versions par an de leur produit. Certaines sont des version mineurs qui ne font que corriger quelques vulnérabilités. D'autres sont de véritables évolutions du moteur d'analyse et permettent de détecter un plus grand nombre de malwares. Dans les deux cas, nous vous recommandons vivement de mettre à jour votre version de ClamAV. Pour vous tenir au courant des nouvelles versions qui sortent, vous pouvez vous inscrire sur la mailing list offcielle des communiqués.
C'est donc notre conseil numéro 1 : toujours avoir votre antivirus ClamAV à la dernière version.

Ajouter des bases de données antivirales supplémentaires

ClamAV permet l'ajout de bases de données antivirales supplémentaires. Et cela a un impact très important sur la détection des malwares, des spams et autres phishing.
Ces bases de données sont souvent développées par des tiers dont les principaux sont :

SecuriteInfo.com qui est certainement la meilleure base de données antivirales non officielle pour ClamAV.
SaneSecurity
Malware Patrol

Ajouter les trois dans votre installation vous permettra de recevoir le travail de tout le microcosme de ClamAV et non pas seulement de l'équipe officielle.

Mettre à jour régulièrement la base de données de signatures de virus

Bon, vous le savez déjà, la mise à jour de la base de données des signatures antivirales est vitale pour votre antivirus. Sans mise à jour, votre antivirus ne pourra détecter les toutes dernières menaces...
Mais ce que vous ne savez peut être pas, c'est que ClamAV banni temporairement toutes les IP qui demandent une mise à jour plus frequente que toutes les heures.
Donc, pour rechercher une mise à jour toute les heures sans risquer de se faire bannir, il faut mettre "Checks 24" dans votre fichier freshclam.conf.
L'équipe officielle de Clamav publie une nouvelle version de la base de signatures une seule fois par jour, en revanche SecuriteInfo.com le fait toutes les heures. Donc pour vous protéger des malwares "0-hour" la vérification toutes les heures est impératif.
Au passage nous conseillons de n'utiliser que freshclam pour la mise à jour de vos bases de données antivirales.

Activer la détection des PUA

PUA signifie "Possibly Unwanted Application", c'est à dire des applications que nous ne voulons probablement pas voir sur les ordinateurs d'une entreprise.
Par exemple, est-ce admissible de trouver un mineur de bitcoin, ou des outils de hack, ou encore un keyloggeur ? Tout cela ce sont des PUA.
Donc si vous avez besoin d'une sécurité renforcée et de détecter tout ce qui est border line, nous vous conseillons d'activer la détection des PUA.
Pour cela il faut mettre "DetectPUA yes" dans votre fichier clamd.conf.

Augmenter les paramètres de scan

Pour faire passer des malwares sous le nez des antivirus, les hackers mettent leurs malwares dans de très gros fichiers (200 Mo et plus).
La plupart des antivirus du marché ne scannent pas les fichiers trop gros pour ne pas ralentir l'ordinateur. C'est le cas de ClamAV dont les paramètres ne sont pas assez élevés.
Veillez à bien avoir 8Go de RAM minimum dans votre ordinateur avant de changer les paramètres suivants dans le fichier clamd.conf :

Bien sûr les paramètres ci-dessus sont donnés à titre indicatifs, et vous êtes libre de les modifier en fonction de la quantité de RAM et de la puissance de votre ordinateur.

Une bien meilleure détection des malwares avec ClamAV

Si vous appliquez tout ces conseils, vous obtiendrez une détection approchant les 99% des malwares connus.
Pour allez plus loin vous pouvez lire nos deux articles, mis à jour quotidiennement, "Statistiques concernant nos signatures antivirales pour ClamAV" et "Les malwares trouvés sur des sites web piratés".