ClamAV-Virenscanner unterstützt YARA

03.12.2015

In der neuesten Version beherrscht die ClamAV-Software die Malware-Beschreibungssprache YARA.

Ab sofort ist Version 0.99 des Malware-Scanners ClamAV verfügbar. Sie bringt eine ganze Reihe von Neuerungen mit sich, etwa einen neuen On-Access-Scanner für Linux, der Dateien und Verzeichnisse untersucht, wenn ein Anwender darauf zugreift. Im Gegensatz zu einer älteren Version des On-Access-Scanners kann die neue beispielsweise auch rekursivi Unterverzeichnisse im Blick behalten. Findet das Modul einen Virus, verweigert es den Zugriff auf die Datei. Dabei soll das File-Monitoring-System auch relativ effizient arbeiten. So verarbeitete ClamAV im Test in einer virtuellen Maschine die Status-Updates von etwa 18.000 Verzeichnissen pro Sekunde. Mehr Details sind dem Blog-Eintrag zum On-Access-Scanning zu entnehmen.

Neu im aktuellen ClamAV-Release ist der Support für Malware-Beschreibungen im YARA -Format. Darin lassen sich Muster von Malware im Txt- oder Binärformat beschreiben. Für komplexere Regeln unterstützt YARA auch Wildcards, Regular Expressions und logische Operatoren. Zahlreiche Hersteller von Security-Produkten wie Blue Coat, Symantec und Trend Micro unterstützen YARA. ClamAV verarbeitete YARA-Definitionen, wenn der Administrator sie der ClamAV-Datenbank hinzufügt. Einige Einschränkungen, die es bei der Nutzung von YARA mit ClamAV gibt, dokumentiert der entsprechende Blog-Beitrag .

Der Sourcecode von ClamAV 0.99 ist auf der Download-Seite des Projekts zu finden.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sicherheitslücken in ClamAV erfordern Update

ClamAV 0.99.3 schließt einige bedenkliche Sicherheitslücken. 

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023