З якими антивірусами працюють ваші підписи?

Наші підписи працюють з ClamAV 0.103 мінімум, якщо у вас є платна підписка, та ClamXav. Однак, якщо у вас версія 0.102 або нижча, вам слід негайно оновити свій антивірус, оскільки він більше не підтримується з січня 2022 року.

Чи публікуєте ви звіти про оновлення ваших антивірусних підписів?

Так, звіт публікується щодня і доступний на нашому сайті

Який рівень виявлення ваших підписів?

Щодо malware 0 day, рівень виявлення наших підписів перевищує 90%. Це може досягати до 99%! Офіційні підписи ClamAV мають рівень виявлення нижчий за 10%. Ви можете перевірити ці статистичні дані на нашій сторінці, яка оновлюється щодня з malware знайдених на зламаних вебсайтах.

Ваші підписи дублюють офіційні підписи ClamAV?

Ні, наші підписи стосуються тільки malware, які ще не виявляються ClamAV. Наші підписи є доповненням до підписів ClamAV і значно підвищують рівень виявлення malware.

Які переваги має платна підписка?

Безкоштовна підписка ("Basic") дозволяє підтвердити встановлення нашого продукту на вашому сервері, але не забезпечує захист від malware. Натомість, платна підписка ("Professional", "Gold" або "Reseller") дає змогу отримувати підписи від антивірусів проти malware "zero-hour", тобто malware, які були зловлені впродовж останньої години. Крім того, платна підписка дає доступ до загальних підписів, які допомагають виявляти варіанти нових malware. Платна підписка забезпечує оптимальний захист від malware.

Чи дозволяє підписка захищати кілька комп'ютерів?

Так, за умови дотримання максимальної кількості IP-адрес, які можуть завантажувати підписи, залежно від вибраної підписки.

Яка найкраща конфігурація crontab для freshclam?

Ви можете завантажувати наші підписи кожну годину. Тому рекомендуємо наступну конфігурацію:
n * * * * freshclam --quiet
n — це випадкове число, яке ви вибираєте між 3 та 57.

Чи можу я надіслати вам malware по електронній пошті?

Так, надішліть ваш malware на адресу malware@surfezsanspub.fr в заархівованому файлі ZIP з паролем: infected
Якщо ваш ZIP містить malware, підписи будуть опубліковані менш ніж за 60 хвилин.

Чи генерують ваші підписи хибні спрацьовування?

Ні. Рівень хибних спрацьовувань дуже низький. Однак, ми рекомендуємо провести тестування в умовах передвиробництва, перш ніж використовувати наші підписи в продуктивному середовищі. Якщо ви знайдете хибні спрацьовування, ви можете звернутися до нас через вкладку "Зв'язатися з нами".

Чи можу я використовувати інші неофіційні підписи, як SaneSecurity, MalwarePatrol чи правила YARA?

Так, ми рекомендуємо використовувати й інші неофіційні підписи для антивірусу ClamAV для максимізації вашого захисту, залежно від ваших потреб.

Чи можу я зробити міррування ваших підписів на сервері моєї мережі?

Так, можете. Але публічне міррування наших підписів суворо заборонено, інакше будуть застосовані юридичні заходи!

Є кілька файлів підписів. Які між ними відмінності?

Ось деталі файлів підписів :

• securiteinfo.hdb : Переважно malware, що виконуються (exe, com, dll, ...) віком до року. Типове використання: будь-яке використання.
• securiteinfohtml.hdb та javascript.ndb : Malware в HTML або Javascript. Типове використання: Proxy та поштові сервери.
• securiteinfoascii.hdb : Malware у текстових файлах (скрипти Perl чи shell, bat, exploits, ...). Типове використання: будь-яке використання.
• spam_marketing.ndb : чорний список спамерів. Типове використання: поштові сервери.
• securiteinfoandroid.hdb : Malware для Android. Типове використання: захист смартфонів і планшетів Android.
• securiteinfo.ign2 : Анти-хибні спрацьовування. Обов'язково до використання в будь-якому випадку.
• securiteinfoold.hdb : Старі malware, більше ніж рік. Необов'язково. Використовуйте, якщо не обмежені в ресурсах (RAM/CPU) або хочете максимальний рівень виявлення malware, або якщо ви є колекціонером вірусів для порівняння антивірусних програм.
• securiteinfopdf.hdb : Malware і спам у форматі PDF. Типове використання: будь-яке використання.
• securiteinfo0hour.hdb : Malware, що з'явилися в Інтернеті за останні 60 хвилин. Це найбільш активні malware на момент, коли ви читаєте цей текст. Обов'язково до використання в будь-якому випадку. Не входить до безкоштовної підписки Basic
• securiteinfo.mdb : Генеричні підписи malware. Обов'язково до використання в будь-якому випадку. Не входить до безкоштовної підписки Basic
• securiteinfo.yara : Генеричні підписи malware. Обов'язково до використання в будь-якому випадку. Не входить до безкоштовної підписки Basic
• securiteinfo.pdb та securiteinfo.wdb : Підписи проти фішингу. Типове використання: поштові сервери. Не входить до безкоштовної підписки Basic

Ви берете участь у розробці ClamAV ?

Так, ми регулярно подаємо помилкові сповіщення та сигнатури до ClamAV. На жаль, з невідомої причини, ClamAV не завжди інтегрує наші внески. Дивіться наші внески для отримання додаткової інформації.

Чи різні URL для завантаження сигнатур між безкоштовною та платною версією ?

Ні, URL однакові, незалежно від того, чи є у вас безкоштовний доступ чи платна підписка, за винятком додавання 5 нових баз сигнатур, доступних лише за платною підпискою: securiteinfo0hour.hdb, securiteinfo.mdb, securiteinfo.yara, securiteinfo.pdb та securiteinfo.wdb
Дивіться вкладку "Інсталяція" у вашому особистому акаунті.

Яка найкраща конфігурація для clamd.conf ?

Щоб отримати максимальний рівень виявлення, ми рекомендуємо змінити наступні рядки у вашому clamd.conf :
УВАГА: Ці зміни передбачають, що у вас є хоча б 16 ГБ оперативної пам'яті

• DetectPUA yes
• ExcludePUA PUA.Win.Packer
• ExcludePUA PUA.Win.Trojan.Packed
• ExcludePUA PUA.Win.Trojan.Molebox
• ExcludePUA PUA.Win.Packer.Upx
• ExcludePUA PUA.Doc.Packed
• MaxScanTime 120000
• MaxScanSize 2048M
• MaxFileSize 2048M
• MaxRecursion 30
• MaxFiles 15000
• MaxEmbeddedPE 2048M
• MaxHTMLNormalize 2048M
• MaxHTMLNoTags 2048M
• MaxScriptNormalize 2048M
• MaxZipTypeRcg 50M
• PCREMaxFileSize 2048M

Як додати сигнатуру до білого списку, щоб вона більше не детектувалася ?

Читайте цю статтю (англійською): Whitelisting signatures for ClamAV antivirus

Який найкращий метод для завантаження сигнатур ?

Єдиний метод, який ми дозволяємо, це використання freshclam, як зазначено у вкладці 'Інсталяція'.
Інші методи, включаючи сторонні скрипти, не підтримуються/не оновлюються SecuriteInfo.com.

У мене є проблема з ClamAV, яка не вирішена в FAQ

Відвідайте нашу сторінку, присвячену вирішенню проблем з ClamAV: https://www.securiteinfo.com/clamav-antivirus/problemes-et-erreurs-les-plus-courantes-clamav.shtml

Як налаштувати параметр MaxThreads для clamd.conf ?

Параметр MaxThreads вказує ClamAV максимальну кількість потоків, які він може виділити під час сканування.
Ми рекомендуємо встановити наступне значення :
MaxThreads = (кількість логічних ядер вашого процесора) + 1
Приклади :

Якщо ваш процесор має 8 ядер і підтримує гіперпотоки, у вас буде 8 * 2 = 16 логічних ядер. Тому MaxThreads = 17.
Якщо ваш процесор має 4 ядра без гіперпотоків, у вас є 4 логічних ядра, тому MaxThreads = 5.

Як дізнатися, скільки логічних ядер у вашому комп'ютері на Linux ? Виконайте наступну команду :

cat /proc/cpuinfo |grep "^processor"|wc -l

Додайте +1 і це буде число, яке потрібно вказати для MaxThreads.

Звісно, ви розумієте, що якщо вам потрібна продуктивність, корисніше збільшити кількість ядер вашого процесора, а не інші параметри ПК.

Як зробити антивірусне сканування якнайшвидше ?

Для того щоб провести сканування, використовуючи всі ядра процесора, потрібно встановити команду parallel :

apt-get install parallel

Команда parallel дозволяє виконувати кілька команд одночасно, в залежності від кількості логічних ядер вашого процесора. Це еквівалент xargs, але з одночасним виконанням. Parallel — дуже потужний інструмент для прискорення всіх завдань в командному рядку.

Щоб зробити антивірусне сканування з ClamAV якнайшвидше, ось що потрібно зробити :


Сканування антивірусом з підкаталогами :

find . -type f |parallel clamdscan -i --stream --no-summary {}

Сканування антивірусом поточного каталогу без підкаталогів :

find . -maxdepth 1 -type f |parallel clamdscan -i --stream --no-summary {}

Ці команди використовуватимуть всі логічні ядра вашого процесора.
Якщо ви хочете обмежити кількість використаних логічних ядер, використовуйте параметр "-j" для parallel. Наприклад :

Сканування антивірусом з підкаталогами, використовуючи лише 2 логічні ядра вашого процесора :

find . -type f |parallel -j2 clamdscan -i --stream --no-summary {}


Хто створює сигнатури для SecuriteInfo.com ?

Сигнатури створює Арно Жак, керівник SecuriteInfo.com. Він був офіційним розробником сигнатур для ClamAV протягом 8 років. Більше інформації можна знайти на цій сторінці


Примітка: ClamAV є зареєстрованою торговою маркою Cisco

Tags

ANTIVIRUS CLAMAV LINUX WINDOWS MACOS

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...