С кои антивирусни програми работят вашите подписи ?

Нашите подписи работят с ClamAV 0.103 минимум, ако имате платен абонамент, и с ClamXav. Въпреки това, ако имате версия 0.102 или по-ниска, трябва незабавно да актуализирате антивирусната си програма, тъй като тя вече не се поддържа от януари 2022.

Публикувате ли доклади за актуализации на вашите антивирусни подписи ?

Да, доклад се публикува ежедневно и е достъпен на нашия уебсайт

Какъв е процентът на откриване на вашите подписи ?

Относно zero-day малуери, процентът на откриване на нашите подписи е над 90%. Той може да достигне до 99%! Официалните подписи на ClamAV имат процент на откриване под 10%. Можете сами да проверите тези статистики на нашата уебстраница, която се актуализира ежедневно с намерени малуери на компрометирани уебсайтове.

Вашите подписи дублират ли официалните подписи на ClamAV ?

Не, нашите подписи се отнасят само за малуери, които все още не са открити от ClamAV. Те са допълнение към тези на ClamAV и значително увеличават процента на откриване на малуери.

Какви са предимствата на платения абонамент ?

Безплатният абонамент ("Basic") позволява да валидирате инсталацията на нашия продукт на вашия сървър, но не предоставя защита срещу малуери. От друга страна, платеният абонамент ("Професионален", "Златен" или "Дистрибутор") предоставя антивирусни подписи срещу "zero-hour" малуери, тоест малуери, уловени в рамките на един час. Освен това, платеният абонамент осигурява достъп до общи подписи, които откриват варианти на нови малуери. Следователно, платеният абонамент осигурява оптимална защита срещу малуери.

Позволява ли абонаментът защита на няколко компютъра ?

Да, при условие че спазвате максималния брой IP адреси, разрешени за изтегляне на подписи, според избрания абонамент.

Каква е най-добрата конфигурация на crontab за freshclam ?

Можете да изтегляте нашите подписи веднъж на час. Затова препоръчваме следната конфигурация:
n * * * * freshclam --quiet
n е случайно число, което избирате между 3 и 57.

Мога ли да ви изпратя малуери по имейл ?

Да, изпратете вашите малуери на адрес malware@surfezsanspub.fr в ZIP файл, защитен с парола: infected
Ако вашият ZIP съдържа малуери, подписи ще бъдат публикувани в рамките на по-малко от 60 минути.

Вашите подписи генерират ли фалшиви положителни резултати ?

Не. Процентът на фалшиви положителни резултати е изключително нисък. Все пак ви препоръчваме да направите тестове в предпродукционна среда, преди да използвате нашите подписи в продукция. Ако откриете фалшиви положителни резултати, можете да се свържете с нас чрез раздела "Свържете се с нас".

Мога ли да използвам други неофициални подписи като SaneSecurity, MalwarePatrol или YARA правила ?

Да, препоръчваме да използвате и други неофициални подписи за антивирусната програма ClamAV, за да максимизирате вашата защита, според вашите нужди.

Мога ли да правя огледално копиране на вашите подписи на сървър в моята мрежа ?

Да, можете. Но публичното огледално копиране на нашите подписи е строго забранено, под заплаха от съдебно преследване!

Има няколко файла с подписи. Какви са разликите между тях ?

Ето подробности за файловете с подписи:

• securiteinfo.hdb: Основно изпълними малуери (exe, com, dll и др.), които са на по-малко от една година. Типично използване: всякакво използване.
• securiteinfohtml.hdb и javascript.ndb: Малуери в HTML или Javascript. Типично използване: Прокси и пощенски сървъри.
• securiteinfoascii.hdb: Малуери във файлове с текст (Perl или shell скриптове, bat, експлойти и др.). Типично използване: всякакво използване.
• spam_marketing.ndb: Черен списък на спамъри. Типично използване: пощенски сървъри.
• securiteinfoandroid.hdb: Android малуери. Типично използване: Защита на смартфони и таблети с Android.
• securiteinfo.ign2: Анти-фалшиви положителни. Задължително използване, независимо от крайната употреба.
• securiteinfoold.hdb: Стари малуери на повече от една година. По избор. Използвайте го, ако не сте ограничени в ресурси (RAM/CPU), или ако желаете максимално откриване на малуери, или ако сте колекционер на вируси, който прави сравнителни анализи на антивирусни програми.
• securiteinfopdf.hdb: Малуери и спамове в PDF. Типично използване: всякакво използване.
• securiteinfo0hour.hdb: Малуери, появили се в интернет през последните 60 минути. Това са най-активните малуери в момента, в който четете тези редове. Задължително използване, независимо от крайната употреба. Не е включен в абонамента Basic
• securiteinfo.mdb: Общи подписи на малуери. Задължително използване, независимо от крайната употреба. Не е включен в абонамента Basic
• securiteinfo.yara: Общи подписи на малуери. Задължително използване, независимо от крайната употреба. Не е включен в абонамента Basic
• securiteinfo.pdb и securiteinfo.wdb: Анти-фишинг подписи. Типично използване: пощенски сървъри. Не е включен в абонамента Basic

Допринасяте ли за ClamAV ?

Да, редовно изпращаме фалшиви положителни резултати и сигнатури на ClamAV. За съжаление, по неизвестна причина, ClamAV не интегрира систематично нашите приноси. Вижте нашите приноси за повече информация.

Различават ли се URL адресите за изтегляне на сигнатури между безплатната и платената версия ?

Не, URL адресите са еднакви, независимо дали вашият акаунт има безплатен достъп или платен абонамент, с изключение на добавянето на 5 нови бази данни със сигнатури, достъпни за платени абонати: securiteinfo0hour.hdb, securiteinfo.mdb, securiteinfo.yara, securiteinfo.pdb и securiteinfo.wdb
Вижте раздела „Инсталиране“ на вашия личен акаунт.

Каква е най-добрата конфигурация за clamd.conf ?

За да постигнете максимална степен на откриване, препоръчваме да модифицирате следните редове във вашия clamd.conf:
ВНИМАНИЕ: Тези модификации изискват минимум 16GB RAM памет

• DetectPUA yes
• ExcludePUA PUA.Win.Packer
• ExcludePUA PUA.Win.Trojan.Packed
• ExcludePUA PUA.Win.Trojan.Molebox
• ExcludePUA PUA.Win.Packer.Upx
• ExcludePUA PUA.Doc.Packed
• MaxScanTime 120000
• MaxScanSize 2048M
• MaxFileSize 2048M
• MaxRecursion 30
• MaxFiles 15000
• MaxEmbeddedPE 2048M
• MaxHTMLNormalize 2048M
• MaxHTMLNoTags 2048M
• MaxScriptNormalize 2048M
• MaxZipTypeRcg 50M
• PCREMaxFileSize 2048M

Как да поставя сигнатура в белия списък, за да спре да бъде откривана ?

Прочетете тази статия (на английски): Whitelisting signatures for ClamAV antivirus

Какъв е най-добрият метод за изтегляне на сигнатури ?

Единственият метод, който разрешаваме, е използването на freshclam, както е описано в раздела 'Инсталиране'.
Всеки друг метод, включително скриптове на трети страни, не се поддържа/поддържа от SecuriteInfo.com.

Имам проблем с ClamAV, който не е решен във FAQ

Посетете нашата страница, посветена на решаването на проблеми с ClamAV: https://www.securiteinfo.com/clamav-antivirus/problemes-et-erreurs-les-plus-courantes-clamav.shtml

Как да конфигурирам параметъра MaxThreads в clamd.conf ?

Параметърът MaxThreads указва на ClamAV максималния брой нишки, които може да използва по време на сканиране.
Препоръчваме следната стойност :
MaxThreads = (брой логически ядра на вашия CPU) + 1
Примери :

Ако вашият CPU има 8 ядра и поддържа хипертрединг, имате 8 * 2 = 16 логически ядра. Следователно MaxThreads = 17.
Ако вашият CPU има 4 ядра без хипертрединг, имате 4 логически ядра, следователно MaxThreads = 5.

Как да разберете колко логически ядра има вашият компютър под Linux ? Изпълнете следната команда :

cat /proc/cpuinfo |grep "^processor"|wc -l

Добавете + 1 и ще получите стойността за MaxThreads.

Разбира се, ако имате нужда от производителност, по-полезно е да увеличите броя на ядрата на вашия CPU, отколкото всеки друг аспект на вашия компютър.

Как да направя антивирусно сканиране възможно най-бързо ?

За да стартирате сканиране, използвайки всички ядра на CPU, е необходимо да инсталирате командата parallel :

apt-get install parallel

Командата parallel позволява многократно изпълнение на команда според броя на логическите ядра на вашия процесор. Това е еквивалентно на xargs, но с едновременна изпълнение. Parallel е мощен инструмент, който ускорява всички задачи в командния ред.

За да извършите антивирусно сканиране с ClamAV възможно най-бързо, следвайте следните инструкции :


Антивирусно сканиране с поддиректории :

find . -type f |parallel clamdscan -i --stream --no-summary {}

Антивирусно сканиране на текущата директория без поддиректории :

find . -maxdepth 1 -type f |parallel clamdscan -i --stream --no-summary {}

Тези команди ще използват всички логически ядра на вашия CPU.
Ако искате да ограничите използването на логическите ядра, използвайте параметъра "-j" на parallel. Например :

Антивирусно сканиране с поддиректории, използвайки само 2 логически ядра на вашия CPU :

find . -type f |parallel -j2 clamdscan -i --stream --no-summary {}


Кой създава сигнатурите на SecuriteInfo.com ?

Арно Жак, мениджър на SecuriteInfo.com, е създателят на сигнатурите. Той беше официален създател на сигнатури за ClamAV в продължение на 8 години. Повече информация ще намерите на тази страница


Забележка : ClamAV е регистрирана марка на Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...