usar sigtool com virustotal

alexabolada
(usa Debian)

Enviado em 13/08/2023 - 13:33h

Resposta:

Olá Minions,

As configurações dessas bases de dados adicionais podem variar um pouco, mas vamos lá. Primeiro, certifique-se de que o clamav está instalado no seu sistema.

# apt-get install clamav clamav-daemon

Para configurar o Sanesecurity, você pode seguir estes passos:

# cd /etc/clamav-unofficial-sigs

# cp /usr/share/clamav-unofficial-sigs/config/master.conf /etc/clamav-unofficial-sigs/user.conf

Em seguida, editamos o arquivo de configuração.

# vim /etc/clamav-unofficial-sigs/user.conf

Encontre a linha que contém "user_configuration_complete", remova o comentário "#" e substitua o "no" por "yes".

Em relação ao SecuriteInfo e ao Malware Expert, as instruções estão em seus respectivos sites (securiteinfo.com e malware.expert). Lá você encontrará os passos específicos para adicionar as suas bases de dados ao ClamAV.

Após todas as configurações, atualize as bases de dados:

# freshclam

Lembre-se que toda instalação e configura

Minions
(usa Nenhuma)

Enviado em 13/08/2023 - 22:51h

@alexabolada

O código gerado pelo sigtool tem suporte a "análise heurística"?

alexabolada
(usa Debian)

Enviado em 13/08/2023 - 22:51h

Olá, sua pergunta se refere a uma das funcionalidades do programa sigtool, que é uma ferramenta de criação e gerenciamento de assinaturas do ClamAV.

A análise heurística é uma técnica inteligente de detecção de vírus que não depende de assinaturas específicas, mas sim de padrões comportamentais e características comuns a malwares.

Entretanto, sigtool em si não suporta análise heurística. Isso é algo implementado no nível do motor de scanner do ClamAV, e não na ferramenta de criação de assinatura.

Para atualizar a base de dados de vírus, execute o comando:

# freshclam

 

Para escanear um arquivo ou diretório:

# clamscan /caminho/para/arquivo

 

Espero que tenha esclarecido sua dúvida!

aguamole
(usa KUbuntu)

Enviado em 13/08/2023 - 23:52h

@Minions você pode controlar se quer utilizar a heurística ou não com o parâmetro "--heuristic-alerts[=yes(*)/no]" do clamscan, como pode ver o padrão é yes, com o clamdscan não sei.

aguamole
(usa KUbuntu)

Enviado em 13/08/2023 - 23:54h

@alexabolada o que o conteúdo "/etc/clamav/clamd.conf" com o seguinte "AlgorithmicDetection true" faz no clamdscan?

alexabolada
(usa Debian)

Enviado em 13/08/2023 - 23:55h

Olá! O conteúdo "AlgorithmicDetection true" em /etc/clamav/clamd.conf é uma configuração do ClamAV.

Quando setado para "true", ele permite que o ClamAV use algoritmos de detecção de malware heuríisticos e machine learning. Isso significa que o ClamAV pode detectar ameaças baseadas em padrões comportamentais que são comumente encontrados em programas mal-intencionados, além da correspondência de assinatura padrão.

Os algoritmos de detecção heurísticos são úteis porque permitem que o ClamAV detecte novas variações de malware que podem não ter assinaturas conhecidas. Isso ajuda a prevenir infecções de novas variantes de malware.

Porém, vale lembrar que a detecção heurística pode levar a falsos positivos, pois o antivírus pode identificar softwares legítimos como maliciosos com base em seu comportamento.

A detecção algorítmica é uma maneira poderosa de fornecer uma camada adicional de segurança para o seu sistema.

Se você deseja verificar ou modificar essa configuração, pode usar

aguamole
(usa KUbuntu)

Enviado em 13/08/2023 - 23:57h

@Minions Segundo a alexa a configuração do "AlgorithmicDetection" como true habilita a detecção heurística do clamdscan e se trocar o true por false deve desativar a mesma.
O arquivo de configuração "/etc/clamav/clamd.conf" também é usado pela detecção em tempo real do clamav "clamonacc" se você alterar "AlgorithmicDetection" também vai influenciar o "clamonacc".

Buckminster
(usa Debian)

Enviado em 14/08/2023 - 00:04h

https://www.vivaolinux.com.br/artigo/Antivirus-ClamAV-com-protecao-em-tempo-real/?pagina=3


_________________________________________________________
Always listen the Buck!
Com raras exceções, não dou mais soluções prontas, somente dou dicas.
Enquanto o cursor estiver piscando, há vida!

Buckminster
(usa Debian)

Enviado em 14/08/2023 - 14:00h

HeuristicAlerts BOOL
In some cases (eg. complex malware, exploits in graphic files, and others), ClamAV uses special algorithms to provide accurate detection. This option controls the algorithmic detection.
Default: yes

Esta opção controla o algorithmic detection.

HeuristicScanPrecedence BOOL
Allow heuristic match to take precedence. When enabled, if a heuristic scan (such as phishingScan) detects a possible virus/phishing it will stop scanning immediately. Recommended, saves CPU scan-time. When disabled, virus/phishing detected by heuristic scans will be reported only at the end of a scan. If an archive contains both a heuristically detected virus/phishing, and a real malware, the real malware will be reported. Keep this disabled if you intend to handle "*.Heuristics.*" viruses differently from "real" malware. If a non-heuristically-detected virus (signature-based) is found first, the scan is interrupted immediately, regardless of this config option.
Default: no

https://manpages.debian.org/testing/clamav-daemon/clamd.conf.5.en.html


_________________________________________________________
Always listen the Buck!
Com raras exceções, não dou mais soluções prontas, somente dou dicas.
Enquanto o cursor estiver piscando, há vida!