Z jakimi antywirusami działają Wasze podpisy ?

Nasze podpisy działają z ClamAV 0.103 minimum, jeśli masz płatną subskrypcję, i ClamXav. Jednakże, jeśli masz wersję 0.102 lub starszą, powinieneś natychmiast zaktualizować swój antywirus, ponieważ nie jest już wspierany od stycznia 2022.

Czy publikujecie raporty o aktualizacjach Waszych podpisów antywirusowych ?

Tak, codziennie publikujemy raport, który jest dostępny na naszej stronie internetowej

Jaki jest wskaźnik wykrywalności Waszych podpisów ?

Jeśli chodzi o wirusy 0-day, wskaźnik wykrywalności naszych podpisów wynosi ponad 90%. Może osiągnąć nawet 99%! Oficjalne podpisy ClamAV mają wskaźnik wykrywalności poniżej 10%. Możesz samodzielnie sprawdzić te statystyki na naszej codziennie aktualizowanej stronie wirusów znalezionych na zhakowanych stronach internetowych.

Czy Wasze podpisy pokrywają się z oficjalnymi podpisami ClamAV ?

Nie, nasze podpisy dotyczą wyłącznie wirusów, które nie zostały jeszcze wykryte przez ClamAV. Nasze podpisy są więc komplementarne wobec podpisów ClamAV, znacznie zwiększając wskaźnik wykrywalności wirusów.

Jakie są korzyści z wykupienia płatnej subskrypcji ?

Darmowa subskrypcja ("Basic") umożliwia potwierdzenie instalacji naszego produktu na Twoim serwerze, ale nie zapewnia ochrony przed złośliwym oprogramowaniem. Z kolei płatna subskrypcja ("Profesjonalna", "Złota" lub "Reseller") umożliwia korzystanie z podpisów antywirusowych przeciwko wirusa "zero-hour", czyli wirusów wykrytych w ciągu ostatniej godziny. Ponadto, płatna subskrypcja umożliwia dostęp do podpisów ogólnych, które pozwalają wykrywać warianty nowych wirusów. Płatna subskrypcja zapewnia więc optymalną ochronę przed złośliwym oprogramowaniem.

Czy subskrypcja umożliwia ochronę kilku komputerów ?

Tak, pod warunkiem, że przestrzegasz maksymalnej liczby adresów IP upoważnionych do pobierania podpisów, w zależności od wybranego planu subskrypcji.

Jaka jest najlepsza konfiguracja crontab dla freshclam ?

Możesz pobierać nasze podpisy raz na godzinę. Dlatego polecamy następującą konfigurację :
n * * * * freshclam --quiet
n to losowa liczba, którą wybierasz między 3 a 57.

Czy mogę wysłać Wam wirusy mailem ?

Tak, wyślij swoje wirusy na adres malware@surfezsanspub.fr w pliku ZIP zabezpieczonym hasłem : infected
Jeśli Twój plik ZIP zawiera wirusy, podpisy zostaną opublikowane w ciągu 60 minut.

Czy Wasze podpisy generują fałszywe alarmy ?

Nie. Wskaźnik fałszywych alarmów jest bardzo niski. Niemniej jednak zalecamy przeprowadzenie testów w środowisku przedprodukcyjnym przed użyciem naszych podpisów w produkcji. Jeśli znajdziesz fałszywe alarmy, możesz skontaktować się z nami za pomocą zakładki "Kontakt".

Czy mogę używać innych nieoficjalnych podpisów, takich jak SaneSecurity, MalwarePatrol lub reguły YARA ?

Tak, zalecamy także używanie innych nieoficjalnych podpisów dla programu antywirusowego ClamAV w celu maksymalizacji ochrony, w zależności od Twoich potrzeb.

Czy mogę zrobić mirroring Waszych podpisów na serwerze w mojej sieci ?

Tak, możesz. Jednak publiczny mirroring naszych podpisów jest surowo zabroniony, pod groźbą postępowań prawnych!

Jest kilka plików z podpisami. Jakie są różnice między nimi ?

Oto szczegóły plików z podpisami :

• securiteinfo.hdb : Głównie złośliwe oprogramowanie wykonywalne (exe, com, dll, ...) starsze niż rok. Typowe zastosowanie : każde zastosowanie.
• securiteinfohtml.hdb i javascript.ndb : Złośliwe oprogramowanie w HTML lub Javascript. Typowe zastosowanie : Proxy i serwery poczty.
• securiteinfoascii.hdb : Złośliwe oprogramowanie w plikach tekstowych (skrypty Perl lub shell, bat, exploitów, ...). Typowe zastosowanie : każde zastosowanie.
• spam_marketing.ndb : czarna lista spammerów. Typowe zastosowanie : serwer poczty.
• securiteinfoandroid.hdb : Złośliwe oprogramowanie na Androida. Typowe zastosowanie : Ochrona smartfonów i tabletów Android.
• securiteinfo.ign2 : Anty-fałszywe alarmy. Musi być używane niezależnie od docelowego zastosowania.
• securiteinfoold.hdb : Stare wirusy, które mają więcej niż rok. Opcjonalne. Użyj, jeśli nie masz ograniczeń zasobów (RAM/CPU), lub jeśli chcesz maksymalną detekcję wirusów, lub jeśli jesteś kolekcjonerem wirusów wykonującym porównania programów antywirusowych.
• securiteinfopdf.hdb : Złośliwe oprogramowanie i spam w PDF. Typowe zastosowanie : każde zastosowanie.
• securiteinfo0hour.hdb : Złośliwe oprogramowanie pojawiające się w Internecie w ciągu ostatnich 60 minut. Są to najbardziej aktywne wirusy w momencie czytania tego tekstu. Muszą być używane niezależnie od docelowego zastosowania. Nie wlicza się w subskrypcję Basic
• securiteinfo.mdb : Ogólne podpisy złośliwego oprogramowania. Muszą być używane niezależnie od docelowego zastosowania. Nie wlicza się w subskrypcję Basic
• securiteinfo.yara : Ogólne podpisy złośliwego oprogramowania. Muszą być używane niezależnie od docelowego zastosowania. Nie wlicza się w subskrypcję Basic
• securiteinfo.pdb i securiteinfo.wdb : Podpisy anty-phishingowe. Typowe zastosowanie : serwer poczty. Nie wlicza się w subskrypcję Basic

Czy przyczyniacie się do ClamAV ?

Tak, regularnie wysyłamy fałszywe pozytywy i sygnatury do ClamAV. Niestety, z nieznanych powodów, ClamAV nie integruje naszych wkładów w sposób systematyczny. Zobacz nasze wkłady po więcej informacji.

Czy URL do pobierania sygnatur różnią się między wersją darmową a płatną ?

Nie, URL są identyczne, niezależnie od tego, czy masz konto darmowe, czy płatne, z wyjątkiem dodania 5 nowych baz sygnatur dostępnych w płatnym abonamencie: securiteinfo0hour.hdb, securiteinfo.mdb, securiteinfo.yara, securiteinfo.pdb oraz securiteinfo.wdb
Zobacz zakładkę "Instalacja" w Twoim koncie osobistym.

Jaka jest najlepsza konfiguracja dla clamd.conf ?

Aby uzyskać maksymalny wskaźnik wykrywania, zalecamy zmianę następujących linii w Twoim pliku clamd.conf :
UWAGA : Te zmiany sugerują, że masz co najmniej 16 GB pamięci RAM

• DetectPUA yes
• ExcludePUA PUA.Win.Packer
• ExcludePUA PUA.Win.Trojan.Packed
• ExcludePUA PUA.Win.Trojan.Molebox
• ExcludePUA PUA.Win.Packer.Upx
• ExcludePUA PUA.Doc.Packed
• MaxScanTime 120000
• MaxScanSize 2048M
• MaxFileSize 2048M
• MaxRecursion 30
• MaxFiles 15000
• MaxEmbeddedPE 2048M
• MaxHTMLNormalize 2048M
• MaxHTMLNoTags 2048M
• MaxScriptNormalize 2048M
• MaxZipTypeRcg 50M
• PCREMaxFileSize 2048M

Jak umieścić sygnaturę na białej liście, aby nie była wykrywana ?

Przeczytaj ten artykuł (po angielsku): Whitelisting signatures for ClamAV antivirus

Jaka jest najlepsza metoda pobierania sygnatur ?

Jedyną dozwoloną metodą jest użycie freshclam, jak wskazano w zakładce 'Instalacja'.
Wszelkie inne metody, w tym skrypty osób trzecich, nie są wspierane/utrzymywane przez SecuriteInfo.com.

Mam problem z ClamAV, który nie jest rozwiązany w FAQ

Odwiedź naszą stronę poświęconą rozwiązywaniu problemów z ClamAV: https://www.securiteinfo.com/clamav-antivirus/problemes-et-erreurs-les-plus-courantes-clamav.shtml

Jak skonfigurować parametr MaxThreads w pliku clamd.conf ?

Parametr MaxThreads wskazuje ClamAV maksymalną liczbę wątków, które może przydzielić podczas skanowania.
Zalecamy ustawienie następującej wartości :
MaxThreads = (liczba rdzeni logicznych twojego CPU) + 1
Przykłady :

Jeśli Twoje CPU ma 8 rdzeni i obsługuje hiperwątkowanie, masz 8 * 2 = 16 rdzeni logicznych. Więc MaxThreads = 17.
Jeśli Twoje CPU ma 4 rdzenie bez hiperwątkowania, masz 4 rdzenie logiczne, więc MaxThreads = 5.

Jak sprawdzić, ile rdzeni logicznych masz na komputerze z systemem Linux ? Uruchom następującą komendę :

cat /proc/cpuinfo |grep "^processor"|wc -l

Dodaj + 1 i będziesz miał liczbę, którą należy ustawić dla MaxThreads.

Oczywiście zrozumiałeś, że jeśli potrzebujesz wydajności, bardziej przydatne jest zwiększenie liczby rdzeni w CPU niż jakikolwiek inny aspekt Twojego komputera.

Jak wykonać skanowanie antywirusowe jak najszybciej ?

Aby uruchomić skanowanie przy użyciu wszystkich rdzeni CPU, konieczne jest zainstalowanie polecenia parallel :

apt-get install parallel

Polecenie parallel pozwala na równoczesne wykonanie polecenia w zależności od liczby rdzeni logicznych Twojego procesora. Jest to odpowiednik xargs, ale w trybie równoległym. Parallel jest więc bardzo potężnym narzędziem przyspieszającym wszelkie zadania w linii komend.

Aby przeprowadzić skanowanie antywirusowe z ClamAV jak najszybciej, wykonaj następujące czynności :


Skanowanie antywirusowe z podkatalogami :

find . -type f |parallel clamdscan -i --stream --no-summary {}

Skanowanie antywirusowe w bieżącym katalogu bez podkatalogów :

find . -maxdepth 1 -type f |parallel clamdscan -i --stream --no-summary {}

Te komendy użyją wszystkich rdzeni logicznych Twojego CPU.
Jeśli chcesz ograniczyć liczbę rdzeni logicznych, użyj parametru "-j" w parallel. Na przykład :

Skanowanie antywirusowe z podkatalogami, używając tylko 2 rdzeni logicznych Twojego CPU :

find . -type f |parallel -j2 clamdscan -i --stream --no-summary {}


Kto tworzy sygnatury SecuriteInfo.com ?

To Arnaud Jacques, menedżer SecuriteInfo.com, tworzy sygnatury. Był oficjalnym twórcą sygnatur dla ClamAV przez 8 lat. Więcej informacji znajdziesz na tej stronie


Uwaga: ClamAV jest zarejestrowanym znakiem towarowym Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...