Inicio

sábado, 17 de junio de 2017

ClamAv

ClamAv

es un antivirus de código abierto (GPL) para UNIX. Proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y una herramienta avanzada para la actualización automática de las bases de las definiciones de virus.

Pagina oficial

Instalación

ClamAv, se encuentra en los repositorios de la gran mayoría de las distribuciones GNU/Linux, Para instalarlo, debemos ejecutar con permisos de superusuario (en el caso de debian como usuario root) nuestro gestor de descargas invocando el paquete clamav.

-Archlinux


-Debian


-Fedora


Actualización de base de datos

Antes de realizar un escaneo con nuestro antivirus, es aconsejable realizar una actualización de su base de datos de firmas, para asegurarnos que estas estén actualizadas por completo antes de ejecutarlo.
 Para comprobar que la base de datos de ClamAv este actualizada, debemos ejecutar con permisos de superusuario el siguiente comando:


Los archivos de la base de datos se guardan en el directorio "/var/lib/clamav" tal y como se muestra en la siguiente imagen:


También podemos acceder a su archivo de configuración ubicado en "/etc/clamav/freshclam.conf"


Para manipularlo accedemos a el, con el editor de texto que más nos guste, para el caso y con permisos de superusuario lo voy a editar con "nano", observaremos lo siguiente:




En donde 

-UpdateLogFile  

Es donde se guardan los registros de actualización.

-DatabaseMirror

Es desde donde se descargan las actualizaciones de las bases de datos.

-NotifyClamd

Es el archivo de configuración de ClamAv.

Freshclam, es una dependencia del paquete clamav, que se instala junto con este paquete. Nunca me paso, pero leí de casos en donde es necesario instalar de forma independiente y manual el paquete fleshclam, porque no se instalo automáticamente como dependencia de clamav.

Sintaxis

sudo clamscan -[parámetro] -[parámetro] [ruta]

Me gustaría detenerme un segundo antes de seguir con los tipos de escaneos, para mencionar que por defecto como usuario solo tenemos permisos sobre nuestro directorio personal ubicado en el directorio home, modificar directorios y archivos mas allá de home siempre requerirá permisos de usuario root. Es por esta razón que es muy difícil que un virus sin que le hayamos dado acceso root o superusuario se almacene fuera de este directorio.

Teniendo en cuenta esto, nunca esta de mas hacer escaneos completos a nuestro sistema.

Escanear /home

Siguiendo la sintaxis ejecutamos...


Donde el parámetro "-r" nos indica que se va a escanear recursivamente el contenido de la ruta "/home", esto quiere decir que se analizaran todos los subdirectorios contenidos en /home. También podemos observar, que como dijimos anteriormente, no es necesario conceder permisos superusuario para el análisis de este directorio.

Bajo esta orden, clamav nos imprimirá en pantalla cada objeto analizado seguido del estado del objeto, por lo que nos sera muy difícil y engorroso de identificar las infecciones en caso de que las haya.
Para ello podemos indicarle a clamav, que nos muestre únicamente las infecciones que surjan en el transcurso del análisis.


El parámetro "-i" indicara a clamav que nos muestre una lista de las infecciones a medida que estas vayan apareciendo, dejando el proceso de escaneo en segundo plano.
También podemos agregar el parámetro "--bell" para que suene un pitido cada vez que detecte una infección.


También podemos solicitar que se nos guarde un reporte completo del análisis en un archivo de texto.


Agregando el parámetro "-l archivo.txt" nos guardara el reporte completo del análisis en el directorio /home/usuario.

Eliminar Infecciones

Una vez que estemos seguros de las detecciones y de que son realmente infecciones procedemos a reescanear el directorio, pero esta vez bajo la orden de suprimirlos.


Agregando el parámetro "--remove" y la forma de escaneo que mas nos guste, eliminara todos las infecciones a medida que estas vayan apareciendo.

Es conveniente, primero hacer un escanero sin este parámetro para estar seguros de las detecciones que vamos a eliminar, vuelvo a recomendar esto.

Análisis completo del sistema

La sintaxis es exactamente la misma, solo cambia los permisos que en este caso tenemos que conceder, y la ruta que va a ser analizada.

En este caso el análisis seria:


Donde "sudo" nos concede los permisos y "/" es la raíz del sistema. Una vez que tengamos los resultados del análisis, se hayan encontrado infecciones y estemos completamente seguros (mas que nunca) de lo que vamos a eliminar, ejecutamos la siguiente orden.


Y como siempre, podemos consultar el manual "clamscan --help" para mas opciones.

Espero que sea de utilidad.
Saludos, Cristian.

4 comentarios:

  1. porfa, no entiendo bien, solo sistema operativo LINUX

    ResponderBorrar
    Respuestas
    1. El articulo fue escrito para usuarios GNU/Linux. Pero ClamAv también esta disponible para otros sistemas operativos.

      Borrar