Clam AntiVirus es un conjunto de herramientas GPL anti-virus para sistemas UNIX. El paquete dispone de un demonio multi-hilo flexible y escalable, un escaner de línea de comando, y una herramienta para actualización automática a través de Internet, cada uno de ellos con múltiples y configurables opciones. Los programas se basan en una librería compartida distribuida con el paquete de Clam AntiVirus, que podemos usar en nuestros propios programas (libclamav). Y lo que es aun más importante, la base de datos de virus se mantiene actualizada diariamente.

Características:

Escaner de línea de comandos.

Rápido demonio multi-hilo.

Interfaz milter para sendmail y soporte para muchos servidores de correo.

Actualizador de base de datos con soporte para firmas digitales

Librería de C de análisis de virus.

Análisis según acceso (Linux® y FreeBSD®).

Múltiples actualizaciones diarias de la base de datos de virus (ver la página principal para el número total de firmas).

Soporte embebido para RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet files, MS CHM (HTML Comprimido), MS SZDD.

Soporte embebido para mbox, Maildir, y archivos de correo en formato raw.

Soporte embebido para ficheros ejecutables comprimidos con UPX, FSG, y Petite.

NO Soporta desinfecciones (Se debe hacer uso de programas ajenos a Clamamav, como f-prot).

Base de datos de virus libre y abierta.

Soporta tarjetas NodalCore (Máximo rendimiento).

En este articulo trataremos su instalación (A nivel de Usuario, NO de root) y uso de forma básica para la detección de virus en el equipo. También mostraremos como poder usarlo de forma remota a través de un de uno o varios puertos.

Razones para usar sistemas antivirus libres en Linux

Mucha gente desconoce o ignora el uso de sistemas antivirus en GNU/linux, con la premisa de que no hay Virus para este sistema. Vamos a listar algunas de las principales razones por las que podemos estar interesados en instalar un antivirus en nuestro GNU/Linux:

Tener un Antivirus Libre y transparente como alternativa a soluciones comerciales.

Poder tener una base de datos de virus libre, no perteneciente a empresas del sector. Una base de datos que cualquiera puede consultar y participar en su mejora.

Poder usar un sistema antivirus en GNU/Linux para escanear virus en discos duros con Windows, ya que una vez infectado un disco, lo recomendable es no encenderlo, limpiarlo cuanto antes desde otro sistema operativo (Que este en otra partición o disco) para asi evitar infecciones, difusiones y perdidas de datos.

Para poderlo usar como servidor de correos o servidores SAMBA (NetBios), que ofrecen servicios a máquinas Windows.

Permite detectar ataques de Phising, lo cual es independiente de sistema operativo como sabemos.

Es útil y tiene mucho uso en servidores web para el tema tema rootkits

Permite localizar virus nuevos y subir firmas para el bien común, aunque lo que detectemos no afecte a nuestro sistema operativo.

Permite avisar a amigos y contactos de servicios de mensajerías sobre posibles infecciones de sus sistemas.

¿Que tipo de ficheros soporta clamav?

* Ejecutables normales y los ofuscados mediante:

UPX
FSG (1.3, 1.31, 1.33, 2.0)
Petite (2.x)
NsPack
wwpack32 (1.20)
MEW
Upack
SUE
Y0da Cryptor (1.3)

* Emails

* Ficheros comprimidos:

Zip (+ SFX)
RAR (+ SFX)
Tar
Gzip
Bzip2
MS OLE2
MS Cabinet Files (+ SFX)
MS CHM (Compiled HTML)
MS SZDD compression format
BinHex
SIS (SymbianOS packages)

* Documentos:

MS Office and MacOffice files
RTF
PDF
HTML

* Tipos de ficheros ofuscados:

JPEG (exploit detection)
RIFF (exploit detection)
uuencode
ScrEnc obfuscation
CryptFF

Instalación de Clamav a Nivel de usuario (No del sistema).

Con este tipo de instalación orientada a que pueda ser usada por un usuario no privilegiado, no hay necesidad de crear usuario y grupo específico (--disable-clamav). Todo estará en un directorio donde escojamos, en este caso nuestro home.

Descargar: http://www.clamav.org/download/sources

Instalar (Compilar):

$ ./configure --prefix=/home/***/clamav --disable-clamav
$ make
# make install


NOTA: Si queremos instalar el escaner de mails para sendmail propio de clamav usaremos la opción --enable-milter, el cual creará el ejecutable "clamav-milter".

Instalar los Manuales (man):


# mv /home/busi/clamav/share/man/man8/* /usr/man/man8/
# mv /home/busi/clamav/share/man/man1/* /usr/man/man1/
# mv /home/busi/clamav/share/man/man5/* /usr/man/man5/


NOTA: Los directorios pueden varias dependiendo de la distro. Esto proporciona los manuales de: clamd, clamconf, clamdscan,clamscan,freshclam, sigtool,clamd.conf, freshclam.conf,clamav-milter en la linea de comando ($ man clamd.conf, $ man clamscan,..)

Para tener accesibles los comandos de Clamav desde otras cuentas:


# ln -s $HOME/clamav/bin/clamav-config
# ln -s $HOME/clamav/bin/clamconf
# ln -s $HOME/clamav/bin/clamdscan
# ln -s $HOME/clamav/bin/clamscan
# ln -s $HOME/clamav/bin/freshclam
# ln -s $HOME/clamav/bin/sigtool


NOTA: Este paso sera necesario para el correcto funcionamiento del GUI de clamav (ClamTK)

Ficheros y directorios de clamav:

Ejecutables (bin/ y sbin/) [*]:

clamav-config

Muestra información sobre las opciones de instalación y directorios usados en la misma.

$ clamav-config --cflags --libs --prefix
-I/home/busi/clamav/include -g -O2
-L/home/busi/clamav/lib -L/usr/local/lib -lz -lbz2 -lgmp
/home/busi/clamavclamconf

Muestra información sobre las distintas opciones de los ficheros de configuración (/etc): clamd.conf / freshclam.conf . Muy útil para no tener que meternos en los ficheros y ver nuestra configuración.

clamdscanClamdscan es un simple cliente del demonio clamd, puede ser utilizado como un reemplazo clamscan. Acepta todas las opciones implementadas en clamscan pero no se tendrán en cuenta debido a que su capacidad de escaneo sólo dependerá de que clamd y de la configuración (etc/clamd.conf) con la que arrancó. Realmente es como usar clamscan indicándole todos los parámetros en al linea de comandos, solo que los parámetros (Opciones se encuentran en clamd.conf) ya están en memoria gracias al demonio clamd.

clamscan Es el programa encargado de escanear, ignora por completo al demonio clamd. Su uso es como el de clamdscan solo que en vez de usar el demonio con su configuración, debemos pasarle parámetros en linea de comandos:

$ clamscan --max-ratio=**** --no-pdf --no-html --block-encrypted

Con este comando le estamos diciendo que no escane dicheros pdf ni html. Que considerar como virus archivos comprimidos encriptados y que también sean considerados virus cualquier fichero comprimido de mas de ***. Tiene muchas opciones ($ clamscan --h), pero trataremos su uso en el articulo mediante el demonio, que hace uso de las mismas opciones pero ya marcadas en un fichero de configuración (clamd.conf).

Cuando clamscan encuentra un Virus encontramos las cadenas "filename" y "FOUND". Para redireccionar la salida de clamscan a stdout podemos usar la opcion "--stdout".

freshclam

Este ejecutable tiene la finalidad de actualizar la base de datos de Virus (daily.cvd y main.cvd). Se conecta a un servidor que configuraremos, a ser posible de nuestro país y actualizará el registro de virus nuevos conocidos. Puede ejecutarse en modo demonio y al igual que clamd tiene su propio fichero de configuración $HOME/clamav/etc/freshclam.conf el cual veremos como adaptarlo a nuestras necesidades. Pero también podemos usarlo sin la opción servidor (demonio), pero ya tenemos nosotros que pasarle a mano los parámetros (Como lo que sucede con clamdscan y clamscan).

sigtool

Esta herramienta se usa para sacar entre otras cosas las firmas de virus y ser añadidas a la base de datos. No lo trataremos en el articulo, pero mostraremos un ejemplo de su utilidad, veremos como añadir la firma de un supuesto virus y que luego sea usado por clamav para detectarlo como prueba de concepto:

* Ejemplo de uso de sigtool:

$ clamscan CPUInfo.exe
CPUInfo.exe: OK
-------------------------------------- SCAN SUMMARY -----------
Known viruses: 174511
Engine version: 0.91.2
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 1.67 MB
Time: 5.348 sec (0 m 5 s)


$ sigtool --md5 CPUInfo.exe > prueba.hdb
$ cat prueba.hdb
ec651f8d771cfc57cd1834ae43d0784c:325120:CPUInfo.exe


$ clamscan -d prueba.hdb CPUInfo.exe
CPUInfo.exe: CPUInfo.exe FOUND
-------------------------------------- SCAN SUMMARY -----------
Known viruses: 1
Engine version: 0.91.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.31 MB
Time: 0.007 sec (0 m 0 s)


clamd

Este es el demonio de clamav y tiene la configuración activa del fichero clamd.conf. Como ya comentamos de este servicio hace uso clamdscan, el cual tiene la misma funcionalidad que clamscan (Sin la "d"), solo que las opciones de escaneo las tiene en memoria el demonio clamd. Como veremos más adelante clamd se puede usar de forma que escuche en un determinado puerto y pueda ser controlado de forma remota.

NOTA: Para poder borrar virus y archivos infectados localizados por clamav (Ya comentamos que clamav no desinfecta), debemos tener permisos de escritura en NTFS, para lo cual como ya sabemos, podemos usar ntfs-3g.

Extensión CVD

CVD (ClamAV Virus Database) es un archivo firmado digitálmente que contiene una o más bases de datos. La cabecera es de 512 bytes de longitud con cadena, separados por dos campos:

Primer Campo: ClamAV-VDB:build time:version:number of signatures:functionality
Segundo Campo: level required:MD5 checksum:digital signature:builder name:build time (sec)

Para ver información de este tipo de ficheros debemos usar sigtool.

$ sigtool -i $HOME/clamav/share/clamav/main.cvd
####### Primer campo #######
Build time: 10 Dec 2009 11:50 +0000
Version: 59
Signatures: 169676
Functionality
###### Segundo campo ######
level: 21
Builder: sven
MD5: b35429d8d5d60368eea9630062f7c75a
Digital signature: dxsusO/HW3/GYwVsE9b+tCk+tPN6OyjVF/U8JVh4Ni6l6/CEKYYh
Verification OK.

Configuración Básica de clamav ($HOME/clamav/etc/clamd.conf):

NOTA: Con esta configuración le decimos a clamdscan que al encontrar un virus nos mande un mail a busi@busindre.is-a-guru.com para avisarnos, lógicamente podemos poner el comando que sea, reproducir algún sonido usando mplayer o lo que se nos ocurra.

Configuración básica de las actualizaciones ($HOME/clamav/etc/freshclam.conf)

NOTA: Para ver las letras de nuestro país: http://www.iana.org/root-whois/index.html (En el ejemplo seleccionamos España "es"). clamaverror y clamavupdate son dos scripts fabricados por nosotros para que nos muestre un mensaje en pantalla cuando se actualice de forma satisfactoria (Verde) o errónea (Rojo) la base de datos de virus. Lógicamente esto es optativo.

Creando los ficheros clamaverror y clamavupdate

* Contenido de /usr/bin/clamaverror (Debe tener permisos de ejecución)

xterm -geometry 60x3+1+1 -bg black -fg red -cc 2 -e "echo 'CLAMAV ERROR actualizando base de virus :-(' && sleep 5"

* Contenido de /usr/bin/clamavupdate (Debe tener permisos de ejecución)

xterm -geometry 60x3+1+1 -bg black -fg green -cc 2 -e "echo 'CLAMAV: Base de datos de VIRUS actualizada con exito %v :-)' && sleep 5"

NOTA: Estos avisos muestran una consola con fondo negra de pequeño tamaño, con el texto en color rojo (Error) y verde (Exito) en la esquina superior izquierda de la pantalla.

Una vez tenemos todo configurado, para automatizar el proceso siempre viene bien hacer uso de un script en nuestro directorio de demonios /etc/rc.d/ o en /etc/init.d depende de la distro usada, permitiendo asi usarlo como un demonio más del sistema. Un simple pero útil script podría ser el siguiente:

Ejemplo: /etc/rc.d/rc.clamd o /etc/init.d/clamd

Archivo para descargar: http://www.busindre.com/wp-content/uploads/2007/07/rc.clamd

* Forma de uso:

/etc/rc.d/rc.clamd start -> Arranca el demonio clamd y freeclam
/etc/rc.d/rc.clamd stop -> Para el demonio clamd y freeclam
/etc/rc.d/rc.clamd restart -> Rearranca los demonios clamd y freeclam

NOTA: Dependerá de nosotros los permisos que queramos darle para controlar a los usuarios con respecto a clamav.

Usando Clamav de forma remota

Una de las posibilidades que ofrece el modo demonio de clamav (clamd) es el poder interactuar con el mediante telnet desde una maquina remota, como ya comentamos en su definicón. En la configuración de clamd.conf las opciones TCPAddr y TCPSocket deben estar correctamente puestas. Una vez configurado y arrancado clamd vamos a ver que opciones nos muestra a traves del socket, para conectar a un puerto, como siempre usaremos "telnet".

Comandos clamd:

SESSION -> Permite ingresar mas de un comando sin que se cierre la conexión
PING -> Contesta con PONG, quiere decir que esta operativo
VERSION -> Muestra la versión de clamav ejecutada en el servidor.
RELOAD -> Recarga las base de datos
SCAN -> Escanea de forma recursiva, pero al encontrar un virus termina el escaneo (Incluir ruta completa).
CONTSCAN -> Escanea de forma recursiva, no termina al encontrar un virus (Incluir ruta completa).
STREAM -> Pide al servidor un nuevo puerto al que poder conectarse.
MULTISCAN -> Como CONTSCAN pero usando múltiples hilos, mejora el rendimiento en máquinas SMP.

Ejemplo:


$ telnet www.busindre.com 3310
Trying 192.168.2.33...
Connected to 192.168.2.33.
Escape character is '^]'.
SESSION
PING
PONG
VERSION
ClamAV 0.91.2/5066/Mon Dec 10 00:50:28 2007
RELOAD
RELOADING
SCAN /home/busi/amsn_received/virus
/home/busi/amsn_received/virus/dtprohlp.dll: Adware.WhenU-3 FOUND
CONTSCAN /home/busi/amsn_received/virus
/home/busi/amsn_received/virus/dtprohlp.dll: Adware.WhenU-3 FOUND
/home/busi/amsn_received/virus/IMG0024.zip: Trojan.Delf-1491 FOUND
/home/busi/amsn_received/virus/hotbar.exe: Adware.Hotbar-2 FOUND
/home/busi/amsn_received/virus/PRIVATE-IMAGES.COM: Trojan.Delf-1491 FOUND
STREAM
PORT 1653

NOTA: Valdría con abrir el puerto en el router como TCP/IP y mapearlo a nuestra IP para poder hacer uso de nuestro antivirus desde cualquier lugar remoto.

Si nos encontrarmos con un error de este tipo al escanear, no preocuparse, tiene fácil solución:

Error:


$ clamscan -i *
LibClamAV Error: cli_untgz: Cannot close file /home/****/tmp/clamav-f34bf34c87 ad368e26f5999d30b725d0/main.db
LibClamAV Error: cli_cvdload(): Can't unpack CVD file.
LibClamAV Error: Can't load /home/****/clamav/share/clamav/main.cvd: CVD extraction failure
ERROR: CVD extraction failure

Solución (Para la ruta de este ejemplo):

$ rm -r $HOME/tmp/*

NOTA: Solo tenemos que borrar los temporales, estén configurados donde esten configurados, tenemos que fijarnos en
la linea "LibClamAV Error: cli_untgz: Cannot close file" para identificar la ruta de esos temporales y poder borrarlos.

Instalación de ClamTK (GUI de clamav)

Descargar Gui de Clamav (ClamTK): http://sourceforge.net/project/platformdownload.php?group_id=131278

ClamTk es un front-end Gráfico para ClamAV que usa gtk2-perl, tambien se puede usar klamav si somos amantes de KDE, pero no sera comentado aquí en el artículo. Tiene una interfaz simple y al final del artículo dejo un manual en pdf por si a alguien se le resiste. Veamos como usar y solucionar algunos problemas con ClamTk.

Link de interés: Videotutorial de uso de Klamav

Uso de ClamTK (No requiere compilación)

$ tar -zxvf clamtk-3.04.tar.gz
$ perl clamtk


NOTA: El directorio de logs usado por ClamTK y su opción de guarda de virus de ClamTK (No son los usados en clamav.conf), se encuentran por defecto en $HOME/.clamatk. Ahora veamos algunos errores que podemos encontrar al ejecutar clamtk por primera vez.

Error 1:


$ perl clamtk
Can't locate File/Find/Rule.pm in @INC (@INC contains: /usr/lib/perl5/5.8.7/i486-linux /usr/lib/perl5/5.8.7 /usr/lib/perl5/site_perl/5.8.7/i486-linux /usr/lib/perl5/site_perl/5.8.7 /usr/lib/perl5/site_perl .) at clamtk line 11.
BEGIN failed--compilation aborted at clamtk line 11.

Solución:

$ wget http://search.cpan.org/CPAN/authors/id/R/RC/RCLAMP/File-Find-Rule-0.30.tar.gz
$ tar -zxvf File-Find-Rule-0.30.tar.gz
$ cd File-Find-Rule-0.30
$ perl Makefile.PL
$ make
# make install


Error 2:

Can't locate Text/Glob.pm in @INC (@INC contains: /usr/lib/perl5/5.8.7/i486-linux /usr/lib/perl5/5.8.7 /usr/lib/perl5/site_perl/5.8.7/i486-linux /usr/lib/perl5/site_perl/5.8.7 /usr/lib/perl5/site_perl .) at /usr/lib/perl5/site_perl/5.8.7/File/Find/Rule.pm line 7.
BEGIN failed--compilation aborted at /usr/lib/perl5/site_perl/5.8.7/File/Find/Rule.pm line 7.
Compilation failed in require at clamtk line 11.
BEGIN failed--compilation aborted at clamtk line 11.


Solución:


$ wget http://search.cpan.org/CPAN/authors/id/R/RC/RCLAMP/Text-Glob-0.08.tar.gz
$ tar -zxvf Text-Glob-0.08.tar.gz
$ cd Text-Glob-0.08
$ perl Makefile.PL
$ make
# make install


Error 3:


Can't locate Number/Compare.pm in @INC (@INC contains: /usr/lib/perl5/5.8.7/i486-linux /usr/lib/perl5/5.8.7 /usr/lib/perl5/site_perl/5.8.7/i486-linux /usr/lib/perl5/site_perl/5.8.7 /usr/lib/perl5/site_perl .) at /usr/lib/perl5/site_perl/5.8.7/File/Find/Rule.pm line 8.
BEGIN failed--compilation aborted at /usr/lib/perl5/site_perl/5.8.7/File/Find/Rule.pm line 8.
Compilation failed in require at ./clamtk line 11.
BEGIN failed--compilation aborted at ./clamtk line 11.

Solución:


$ wget http://search.cpan.org/CPAN/authors/id/R/RC/RCLAMP/Number-Compare-0.01.tar.gz
$ tar -zxvf Number-Compare-0.01.tar.gz
$ cd Number-Compare-0.01
$ perl Makefile.PL
$ make
# make install


Error 4:


Can't locate Date/Calc.pm in @INC (@INC contains: /usr/lib/perl5/5.8.7/i486-linux /usr/lib/perl5/5.8.7 /usr/lib/perl5/site_perl/5.8.7/i486-linux /usr/lib/perl5/site_perl/5.8.7 /usr/lib/perl5/site_perl .) at clamtk line 13.
BEGIN failed--compilation aborted at clamtk line 13.

Solución:


$ wget http://search.cpan.org/CPAN/authors/id/S/ST/STBEY/Date-Calc-5.4.tar.gz
$ tar -zxvf Date-Calc-5.4.tar.gz
$ cd Date-Calc-5.4
$ perl Makefile.PL
$ make
# make install


Error 5:

Can't locate Config/Tiny.pm in @INC (@INC contains: /usr/lib/perl5/5.8.8/i386-linux /usr/lib/perl5/5.8.8 /usr/lib/perl5/site_perl/5.8.8/i386-linux /usr/lib/perl5/site_perl/5.8.8 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.8.8/i386-linux /usr/lib/perl5/vendor_perl/5.8.8 /usr/lib/perl5/vendor_perl/5.8.7 /usr/lib/perl5/vendor_perl/5.8.7/i386-linux /usr/lib/perl5/vendor_perl/5.8.6 /usr/lib/perl5/vendor_perl .) at ./clamtk line 16.
BEGIN failed--compilation aborted at ./clamtk line 16.

Solución:


$ wget http://search.cpan.org/CPAN/authors/id/A/AD/ADAMK/Config-Tiny-2.12.tar.gz
$ tar -zxvf Date-Calc-5.4.tar.gz
$ cd Date-Calc-5.4
$ perl Makefile.PL
$ make
# make install


Error 6:

Some distributions do not automatically edit
freshclam.conf and clamd.conf under /etc.
Please edit those before attempting signature updates

Solución:

Esto se produce cuando clamtk busca los ficheros de configuracón en /etc, podemos hacer enlaces simbólicos si tenemos instalados en otra ruta los ficheros de configuración de clamav:

# ln -s /home/***/clamav/etc/freshclam.conf /etc
# ln -s /home/***/clamav/etc/clamd.conf /etc


¿Como reportar un nuevo Virus o falso positivo a Clamav?

Es habitual en ciertos ambientes el encontrarse con algún virus que aun no ha sido identificado por el programa antivirus usado. Al ser un Proyecto libre, Clamav anima a sus usuarios a mejorarlo y si por casualidad encontramos algo que clamav debería detectar podemos mandárselo para que sea estudiado y añadido lo antes posible a la base de datos. Esta base de datos de virus es muy grande y está a la par de las usadas por grandes empresas de sistemas antivirus. Es actualizada con la ayuda de la comunidad de usuario, la cual es muy grande y crece cada día.

Si encontramos un nuevo virus que no ha sido detectado por ClamAV debemos de rellenar un formulario para enviarlo al equipo de Clamav y que sea añadido a la base de datos despues de ser testeado por el equipo de "firmas". Debido al elevado número de envíos, se pide desde el proyecto no enviar más de dos ficheros diarios. Si tenemos intención de enviar una gran cantidad de virus nuevos debemos ponernos en contacto con el equipo de clamav mediante correo electrónico. Para terminar dejaremos unos enlaces que pueden ser de interes.

Manual de como reportar errores de Clamav: http://www.clamav.org/bugs/lang-pref/es/
Manual de uso de Clamtk: http://www.busindre.com/wp-content/uploads/2007/07/ClamTK_Howto.pdf
Usar clamav con Postfix: http:/memberwebs.com/nielsen/software/clamsmtp/
Manual de Clamav (Ingles): http://www.clamav.org/doc/latest/html/node23.html