staging.inyokaproject.org

Angeregt durch einen Laber-Thread im "Rund um ubuntuusers.de" Bereich und dabei auf dieses Posting gestoßen:

• https://forum.ubuntuusers.de/topic/linux-auf-lenovo-laptop/3/#post-9264513

habe ich mich an meine clamav function in der ~/.bashrc erinnert.

So lassen sich dann dubiose Dateien die online gestellt wurden auch lokal schnell überprüfen, ohne sie extra auf Vierenscanner-Online-Dienste wie Virustotal oder Jotti zu laden.

curl -s 'https://media-cdn.ubuntu-de.org/forum/attachments/13/29/9264505-hier_die_erforderlichen_daten_zu_dem_laptop_ich_hoffe_das_ist_das_richtige' | clamav -
stdin: OK

----------- SCAN SUMMARY -----------
Known viruses: 8574194
Engine version: 0.103.2
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 22.421 sec (0 m 22 s)
Start Date: 2021:08:08 13:34:13
End Date:   2021:08:08 13:34:35

Zum Vergleich das Eicar Anti Malware Testfile:

curl -s 'https://secure.eicar.org/eicar.com' | clamav -
stdin: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 8574194
Engine version: 0.103.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 22.485 sec (0 m 22 s)
Start Date: 2021:08:08 13:36:16
End Date:   2021:08:08 13:36:38

Dort gibt es mehr zu lesen zum Eicar Testfile:

• https://www.eicar.org/?page_id=3950

Das ist die clamav function in der .bashrc:

function clamav () 
{ 
    clamscan --detect-pua --detect-structured=yes --alert-encrypted=yes --alert-macros=yes --alert-partition-intersection=yes --max-filesize=3999M --max-scansize=3999M --max-files=1000000 -z --bell -a -r "$@" 
}

Nach editieren der ~/.bashrc muss diese neu eingelesen werden:

source ~/.bashrc

Hier aber zusätzlich noch die Adressen der beiden Vierenscanner-Online-Dienste Virustotal und Jotti:

• https://www.virustotal.com

• https://virusscan.jotti.org/de-DE/scan-file

Meine function enthält Schalter die clamav empfindlicher machen als die Virenscanner-Online-Dienste. Oft kommt es vor, dass die clamav function schon etwas meldet, während die Virenscanner-Online-Dienste nichts an den Daten auszusetzen haben. Ob es sich dann bei Meldungen der sehr empfindlichen clamav function tatsächlich um Viren handelt, oder ob es übertriebener Alarm ist, muss im Fall der Fälle dann selbst entschieden werden.

ClamAV im ubuntusers.de Wiki:

• ClamAV

Hallo trollsportverein,

Danke, das ist eine schöne Ergänzung für meine .bashrc! ☺

LG
tuxifreund

Wie bist Du von dem Posting auf die clamav Funktion gekommen ?

Im Posting wurde auf diese URL verwiesen:

• https://www.virustotal.com/gui/file/181405c6e8a9b0aeaa9fa0be6b81b64b274fbe0b07724b94167e600d35ca51c8/detection

Die clamav function habe ich schon länger in meiner .bashrc. Zum Beispiel zum überprüfen von *.exe und *.dll Dateien. Bei Nutzung von Wine und Spiele-Demos für Windows kommt es zwangsläufig zu Kontakt mit der Windows-Welt und somit erhöht sich auch die Möglichkeit, dass etwas untergeschoben werden könnte.

Die clamav function lässt sich sowohl so einsetzen, wenn man sich im Terminal im jeweiligen Verzeichnis befindet, um nur *.exe und *.dll Dateien zu überprüfen:

clamav *.exe *.dll 

als auch so, auf ein Verzeichnis zielend, inklusive aller Unterverzeichnisse und alle darin enthaltenen Dateien:

clamav $HOME/SPIELE_DEMO_VERZEICHNIS/

Die Virenscanner-Online-Dienste hatten Dateigrößenbeschränkungen, die nur zu leicht überschritten wurden. War nun beim nachschauen erstaunt, dass der Upload nun auch von wesentlich größeren Daten erlaubt ist. Ich meine kürzlich im Pop-up bei einem der Virenscanner-Online-Dienste sogar mal 650 MB als Limit gesehen zu haben. Einst waren diese Virenscanner-Online-Dienste auf wenige Megabyte beschränkt. Bei Virustotal nerven dafür nun die Captchas.

Danke für die Antwort.