Mit welchem Antivirus funktionieren Ihre Signaturen ?

Unsere Signaturen funktionieren mit ClamAV mindestens Version 0.103, wenn Sie ein kostenpflichtiges Abonnement haben, und ClamXav. Allerdings gilt: Falls Sie Version 0.102 oder älter nutzen, sollten Sie Ihr Antivirus sofort aktualisieren, da diese Versionen seit Januar 2022 nicht mehr unterstützt werden.

Veröffentlichen Sie Update-Berichte zu Ihren Signaturen ?

Ja, ein Bericht wird täglich veröffentlicht und ist auf unserer Website verfügbar.

Wie hoch ist die Erkennungsrate Ihrer Signaturen ?

Bei Zero-Day-Malware liegt die Erkennungsrate unserer Signaturen bei über 90 %. Sie kann sogar bis zu 99 % erreichen! Die offiziellen Signaturen von ClamAV haben eine Erkennungsrate von weniger als 10 %. Sie können diese Statistiken auf unserer täglich aktualisierten Seite zu Malware von gehackten Websites selbst überprüfen.

Doppeln sich Ihre Signaturen mit den offiziellen Signaturen von ClamAV ?

Nein, unsere Signaturen betreffen ausschließlich Malware, die von ClamAV noch nicht erkannt wird. Unsere Signaturen ergänzen die von ClamAV und erhöhen die Erkennungsrate von Malware erheblich.

Welche Vorteile bietet ein kostenpflichtiges Abonnement ?

Das kostenlose Abonnement ("Basic") ermöglicht die Validierung der Installation unseres Produkts auf Ihrem Server, bietet jedoch keinen Malware-Schutz. Das kostenpflichtige Abonnement ("Professional", "Gold" oder "Reseller") hingegen ermöglicht den Zugriff auf Signaturen gegen "Zero-Hour"-Malware, d. h. Malware, die innerhalb einer Stunde nach ihrer Entdeckung erfasst wurde. Zudem bietet es Zugang zu generischen Signaturen, die neue Malware-Varianten erkennen können. Ein kostenpflichtiges Abonnement bietet somit optimalen Schutz vor Malware.

Schützt das Abonnement mehrere Computer ?

Ja, solange Sie die maximale Anzahl von IP-Adressen, die gemäß dem gewählten Abonnement Signaturen herunterladen dürfen, einhalten.

Wie sieht die optimale Crontab-Konfiguration für freshclam aus ?

Sie können unsere Signaturen einmal pro Stunde herunterladen. Wir empfehlen folgende Konfiguration:
n * * * * freshclam --quiet
n ist eine zufällige Zahl, die Sie zwischen 3 und 57 wählen.

Kann ich Ihnen Malware per E-Mail zusenden ?

Ja, senden Sie Malware an die Adresse malware@surfezsanspub.fr in einer ZIP-Datei, die mit dem Passwort infected geschützt ist.
Wenn Ihre ZIP-Datei Malware enthält, werden Signaturen innerhalb von 60 Minuten veröffentlicht.

Erzeugen Ihre Signaturen False Positives ?

Nein, die Rate von False Positives ist extrem niedrig. Dennoch empfehlen wir, unsere Signaturen vor der Nutzung in der Produktion zu testen. Falls Sie False Positives finden, können Sie uns über den Reiter "Kontaktieren Sie uns" informieren.

Kann ich andere inoffizielle Signaturen wie SaneSecurity, MalwarePatrol oder YARA-Regeln verwenden ?

Ja, wir empfehlen ebenfalls die Nutzung anderer inoffizieller Signaturen für ClamAV, je nach Ihren Anforderungen, um den Schutz zu maximieren.

Kann ich Ihre Signaturen auf einem Server in meinem Netzwerk spiegeln ?

Ja, das ist erlaubt. Öffentliches Mirroring unserer Signaturen ist jedoch streng verboten und wird rechtlich verfolgt!

Es gibt verschiedene Signaturdateien. Worin unterscheiden sie sich ?

Hier sind die Details zu den Signaturdateien:

• securiteinfo.hdb: Hauptsächlich ausführbare Malware (exe, com, dll, ...) jünger als ein Jahr. Typische Nutzung: allgemeiner Gebrauch.
• securiteinfohtml.hdb und javascript.ndb: Malware in HTML oder JavaScript. Typische Nutzung: Proxy- und Mailserver.
• securiteinfoascii.hdb: Malware in Textdateien (Perl- oder Shell-Skripte, bat, Exploits, ...). Typische Nutzung: allgemeiner Gebrauch.
• spam_marketing.ndb: Blacklist von Spammern. Typische Nutzung: Mailserver.
• securiteinfoandroid.hdb: Android-Malware. Typische Nutzung: Schutz von Android-Smartphones und -Tablets.
• securiteinfo.ign2: Anti-False-Positives. Sollte unbedingt unabhängig vom Endgebrauch verwendet werden.
• securiteinfoold.hdb: Alte Malware älter als ein Jahr. Optional. Nutzen Sie sie, wenn Sie nicht durch Ressourcen (RAM/CPU) eingeschränkt sind, maximale Malware-Erkennung wünschen oder ein Virensammler sind.
• securiteinfopdf.hdb: Malware und Spam in PDF-Dateien. Typische Nutzung: allgemeiner Gebrauch.
• securiteinfo0hour.hdb: Malware, die in den letzten 60 Minuten im Internet aufgetaucht ist. Es handelt sich um die derzeit aktivste Malware. Sollte unbedingt unabhängig vom Endgebrauch verwendet werden. Nicht im Basic-Abonnement enthalten
• securiteinfo.mdb: Generische Malware-Signaturen. Sollte unbedingt unabhängig vom Endgebrauch verwendet werden. Nicht im Basic-Abonnement enthalten
• securiteinfo.yara: Generische Malware-Signaturen. Sollte unbedingt unabhängig vom Endgebrauch verwendet werden. Nicht im Basic-Abonnement enthalten
• securiteinfo.pdb und securiteinfo.wdb: Anti-Phishing-Signaturen. Typische Nutzung: Mailserver. Nicht im Basic-Abonnement enthalten

Tragen Sie zu ClamAV bei ?

Ja, wir reichen regelmäßig False Positives und Signaturen bei ClamAV ein. Leider werden unsere Beiträge aus unbekannten Gründen nicht systematisch von ClamAV integriert. Weitere Informationen finden Sie unter unsere Beiträge.

Sind die Download-URLs der Signaturen zwischen der kostenlosen und der kostenpflichtigen Version unterschiedlich ?

Nein, die URLs sind identisch, unabhängig davon, ob Ihr Konto kostenlosen Zugriff oder ein kostenpflichtiges Abonnement hat. Ausgenommen sind fünf neue Signaturdatenbanken, die nur mit einem kostenpflichtigen Abonnement verfügbar sind: securiteinfo0hour.hdb, securiteinfo.mdb, securiteinfo.yara, securiteinfo.pdb und securiteinfo.wdb.
Weitere Informationen finden Sie im Reiter "Installation" in Ihrem persönlichen Konto.

Was ist die beste Konfiguration für clamd.conf ?

Um eine maximale Erkennungsrate zu erzielen, empfehlen wir, die folgenden Zeilen in Ihrer clamd.conf zu ändern:
HINWEIS: Diese Änderungen setzen mindestens 16 GB RAM voraus

• DetectPUA yes
• ExcludePUA PUA.Win.Packer
• ExcludePUA PUA.Win.Trojan.Packed
• ExcludePUA PUA.Win.Trojan.Molebox
• ExcludePUA PUA.Win.Packer.Upx
• ExcludePUA PUA.Doc.Packed
• MaxScanTime 120000
• MaxScanSize 2048M
• MaxFileSize 2048M
• MaxRecursion 30
• MaxFiles 15000
• MaxEmbeddedPE 2048M
• MaxHTMLNormalize 2048M
• MaxHTMLNoTags 2048M
• MaxScriptNormalize 2048M
• MaxZipTypeRcg 50M
• PCREMaxFileSize 2048M

Wie kann man eine Signatur auf eine Whitelist setzen, damit sie nicht mehr erkannt wird ?

Lesen Sie diesen Artikel (auf Englisch): Whitelisting signatures for ClamAV antivirus

Was ist die beste Methode, um Signaturen herunterzuladen ?

Die einzige von uns erlaubte Methode ist die Nutzung von freshclam, wie im Reiter "Installation" angegeben.
Andere Methoden, einschließlich Drittanbieter-Skripten, werden von SecuriteInfo.com nicht unterstützt oder gewartet.

Ich habe ein Problem mit ClamAV, das in der FAQ nicht gelöst wird

Besuchen Sie unsere Seite, die sich der Lösung von ClamAV-Problemen widmet: https://www.securiteinfo.com/clamav-antivirus/problemes-et-erreurs-les-plus-courantes-clamav.shtml

Wie richte ich den MaxThreads-Parameter in clamd.conf ein?

Der MaxThreads-Parameter weist ClamAV die maximale Anzahl an Threads zu, die während eines Scans alloziert werden können.
Wir empfehlen, den folgenden Wert einzustellen:
MaxThreads = (Anzahl der logischen CPU-Kerne) + 1
Beispiele:

Wenn Ihr CPU 8 Kerne hat und Hyperthreading unterstützt, haben Sie 8 * 2 = 16 logische Kerne. Also MaxThreads = 17.
Wenn Ihr CPU 4 Kerne ohne Hyperthreading hat, haben Sie 4 logische Kerne, also MaxThreads = 5.

Wie finde ich heraus, wie viele logische Kerne Ihr Computer unter Linux hat? Führen Sie den folgenden Befehl aus:

cat /proc/cpuinfo |grep "^processor"|wc -l

Fügen Sie + 1 hinzu und Sie haben die Zahl, die für MaxThreads eingestellt werden sollte.

Natürlich haben Sie verstanden, dass es bei der Leistungssteigerung effektiver ist, die Anzahl der CPU-Kerne zu erhöhen, als andere Aspekte Ihres PCs zu verbessern.

Wie führe ich einen Antiviren-Scan so schnell wie möglich durch?

Um einen Scan mit Nutzung aller CPU-Kerne zu starten, ist es erforderlich, den Befehl parallel zu installieren:

apt-get install parallel

Der Befehl parallel ermöglicht die gleichzeitige Ausführung einer Befehlszeile basierend auf der Anzahl der logischen Kerne Ihres Prozessors. Es ist äquivalent zu xargs, aber mit paralleler Ausführung. Parallel ist daher ein sehr leistungsfähiges Tool, das alle Befehlszeilenaufgaben beschleunigt.

Um einen Antiviren-Scan mit ClamAV so schnell wie möglich durchzuführen, befolgen Sie diese Schritte:


Antiviren-Scan mit Unterverzeichnissen:

find . -type f |parallel clamdscan -i --stream --no-summary {}

Antiviren-Scan des aktuellen Verzeichnisses ohne Unterverzeichnisse:

find . -maxdepth 1 -type f |parallel clamdscan -i --stream --no-summary {}

Diese Befehle nutzen alle logischen Kerne Ihrer CPU.
Wenn Sie die Anzahl der genutzten logischen Kerne begrenzen möchten, verwenden Sie den "-j"-Parameter von parallel. Zum Beispiel:

Antiviren-Scan mit Unterverzeichnissen, unter Verwendung nur 2 logischer Kerne Ihrer CPU:

find . -type f |parallel -j2 clamdscan -i --stream --no-summary {}


Wer erstellt die Signaturen von SecuriteInfo.com?

Die Signaturen werden von Arnaud Jacques, dem Inhaber von SecuriteInfo.com, erstellt. Er war offiziell acht Jahre lang Signaturersteller für ClamAV. Weitere Informationen finden Sie hier


Hinweis: ClamAV ist eine eingetragene Marke von Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...