usar sigtool com virustotal

Resposta:

Olá Minions,

As configurações dessas bases de dados adicionais podem variar um pouco, mas vamos lá. Primeiro, certifique-se de que o clamav está instalado no seu sistema.

# apt-get install clamav clamav-daemon

Para configurar o Sanesecurity, você pode seguir estes passos:

# cd /etc/clamav-unofficial-sigs

# cp /usr/share/clamav-unofficial-sigs/config/master.conf /etc/clamav-unofficial-sigs/user.conf

Em seguida, editamos o arquivo de configuração.

# vim /etc/clamav-unofficial-sigs/user.conf

Encontre a linha que contém "user_configuration_complete", remova o comentário "#" e substitua o "no" por "yes".

Em relação ao SecuriteInfo e ao Malware Expert, as instruções estão em seus respectivos sites (securiteinfo.com e malware.expert). Lá você encontrará os passos específicos para adicionar as suas bases de dados ao ClamAV.

Após todas as configurações, atualize as bases de dados:

# freshclam

Lembre-se que toda instalação e configura

@alexabolada

O código gerado pelo sigtool tem suporte a "análise heurística"?

Olá, sua pergunta se refere a uma das funcionalidades do programa sigtool, que é uma ferramenta de criação e gerenciamento de assinaturas do ClamAV.

A análise heurística é uma técnica inteligente de detecção de vírus que não depende de assinaturas específicas, mas sim de padrões comportamentais e características comuns a malwares.

Entretanto, sigtool em si não suporta análise heurística. Isso é algo implementado no nível do motor de scanner do ClamAV, e não na ferramenta de criação de assinatura.

Para atualizar a base de dados de vírus, execute o comando:

# freshclam

 

Para escanear um arquivo ou diretório:

# clamscan /caminho/para/arquivo

 

Espero que tenha esclarecido sua dúvida!

@Minions você pode controlar se quer utilizar a heurística ou não com o parâmetro "--heuristic-alerts[=yes(*)/no]" do clamscan, como pode ver o padrão é yes, com o clamdscan não sei.

@alexabolada o que o conteúdo "/etc/clamav/clamd.conf" com o seguinte "AlgorithmicDetection true" faz no clamdscan?

Olá! O conteúdo "AlgorithmicDetection true" em /etc/clamav/clamd.conf é uma configuração do ClamAV.

Quando setado para "true", ele permite que o ClamAV use algoritmos de detecção de malware heuríisticos e machine learning. Isso significa que o ClamAV pode detectar ameaças baseadas em padrões comportamentais que são comumente encontrados em programas mal-intencionados, além da correspondência de assinatura padrão.

Os algoritmos de detecção heurísticos são úteis porque permitem que o ClamAV detecte novas variações de malware que podem não ter assinaturas conhecidas. Isso ajuda a prevenir infecções de novas variantes de malware.

Porém, vale lembrar que a detecção heurística pode levar a falsos positivos, pois o antivírus pode identificar softwares legítimos como maliciosos com base em seu comportamento.

A detecção algorítmica é uma maneira poderosa de fornecer uma camada adicional de segurança para o seu sistema.

Se você deseja verificar ou modificar essa configuração, pode usar

@Minions Segundo a alexa a configuração do "AlgorithmicDetection" como true habilita a detecção heurística do clamdscan e se trocar o true por false deve desativar a mesma.
O arquivo de configuração "/etc/clamav/clamd.conf" também é usado pela detecção em tempo real do clamav "clamonacc" se você alterar "AlgorithmicDetection" também vai influenciar o "clamonacc".

https://www.vivaolinux.com.br/artigo/Antivirus-ClamAV-com-protecao-em-tempo-real/?pagina=3


_________________________________________________________
Always listen the Buck!
Com raras exceções, não dou mais soluções prontas, somente dou dicas.
Enquanto o cursor estiver piscando, há vida!

HeuristicAlerts BOOL
In some cases (eg. complex malware, exploits in graphic files, and others), ClamAV uses special algorithms to provide accurate detection. This option controls the algorithmic detection.
Default: yes

Esta opção controla o algorithmic detection.

HeuristicScanPrecedence BOOL
Allow heuristic match to take precedence. When enabled, if a heuristic scan (such as phishingScan) detects a possible virus/phishing it will stop scanning immediately. Recommended, saves CPU scan-time. When disabled, virus/phishing detected by heuristic scans will be reported only at the end of a scan. If an archive contains both a heuristically detected virus/phishing, and a real malware, the real malware will be reported. Keep this disabled if you intend to handle "*.Heuristics.*" viruses differently from "real" malware. If a non-heuristically-detected virus (signature-based) is found first, the scan is interrupted immediately, regardless of this config option.
Default: no

https://manpages.debian.org/testing/clamav-daemon/clamd.conf.5.en.html


_________________________________________________________
Always listen the Buck!
Com raras exceções, não dou mais soluções prontas, somente dou dicas.
Enquanto o cursor estiver piscando, há vida!