Categories: Sicherheit
      Date: Apr  6, 2007
     Title: ClamAV - Mit Opensource gegen die Virenflut
Es gibt Virenscanner für Workstation und Server, für Windows, Linux, Unix und MacOS Betriebsysteme. Es gibt nur wenige mit sehr guter Erkennungsrate und in voller Ausstattung ist fast keiner mehr kostenfrei. Und es gibt ClamAV, der (fast) alles kann.


Clam AntiVirus, meist ClamAV genannt, ist ein unter der GNU General Public Licence (GPL) stehendes OpenSource Toolkit gegen Viren und Phishing. Zum Einsatz kommt es bei Mail-Gateways zum Filtern von Malware und Phishing E-Mails. Bei ClamAV handelt es sich um eine Bibliothek die in eigene Software integriert werden kann. Als Hilfsmittel steht ein flexibler, skalierbarer Multi-Threaded Daemon, sowie ein kommandozeilenbasierter Scanner zur Verfügung. Die Aktualisierung der lokalen Virendefinition wird durch ein automatisches Update über das Internet im Hintergrund realisiert. Unter Linux arbeitet die Applikation mit Dazuko einer von Avira entwickelten Schnittstelle zwischen Dateisystem und Echtzeit-Virenscanner zusammen, das den Zugang zu Daten automatisch sperrt oder zulässt. Somit ist das Toolkit sowohl als on-Access, als auch als on-Demand Scanner zu verstehen, zumindest unter Linux und FreeBSD.

Ausstattung


Das Ausstattungsspektrum von ClamAV umfasst neben dem Milter, einem Bindeglied zwischen Virenscanner und dem Mail Transfer Agent sendmail, auch eine Unterstützung für verschiedene Archiv-Format wie Zip, RAR, Tar, Gzip, Bzip2, MS OLE2, MS Cabinet, MS CHM, BinHex, SIS und einige mehr. Zudem können Dateien im Executable and Linking Format (ELF ), also Dateien im Standard-Binärformat ausführbarer Programme unter vielen Linux analysiert werden. Dabei spielt es keine Rolle ob sie mit UPX, FSG, Petite, NsPack, wwpack32, MEW oder Upack komprimiert und mit Obfuscatoren wie z.B. SUE, Y0da, Cryptor oder anderen Programmen verschleiert wurden. Auch mit populären Dokumentformaten wie die von Microsoft Office und MacOffice, HTML, RTF und PDF kann ClamAV problemlos umgehen.

Derzeit erkennt ClamAV über 106.000 Viren, Würmer und Trojaner. Dazu gehören auch Microsoft Office Makroviren, mobile Malware und andere Bedrohungen.

URL: http://www.clamav.net

Derivate


Für ClamAV gibt es unterschiedliche Derivate. Diese erfüllen alle einen anderen Zweck und haben eines gemein, sie nutzen die Engine von ClamAV zum aufspüren von Viren.

ClamWin
ClamWin ist ein von Alex Cherney geschriebener und unter der GPL stehender Virenscanner für Microsoft Windows der die Engine von ClamAV nutzt. Er verfügt über eine automatische Aktualisierungsroutine, eine Kontextmenüintegration für den Windows Explorer und eine Integration in Microsoft Outlook. Jedoch ist er von Haus aus nicht dazu in der Lage Dateien in Echtzeit zu scannen und wird aus diesem Grund auch nicht im Windows Sicherheitscenter angezeigt. Das Scannen ist derzeit ist nur dann möglich wenn er explizit dazu aufgerufen wird oder wenn es im Scheduler als Job vorhanden ist. Dieses Problem lässt sich aber mit einer Kopplung von ClamAV und der Opensource Software Winpooch lösen. In naher Zukunft steht aber auch ein von ClamWin integrierter Echtzeitscanner zu Verfügung.
Für den Mozilla Firefox existiert eine Erweiterung, mit der automatisch alle heruntergeladenen Dateien von ClamWin überprüft werden.

URL: http://de.clamwin.com

KlamAV
KlamAV ist ähnlich wie ClamWin (für Windows) ein grafisches Frontend für KDE. Es wird von Robert Hogan entwickelt und verfügt zum aktuellen Zeitpunkt über die Möglichkeit einer zeitgesteuerten Scannroutine und einem automatischen updaten der Virensignatur. Außerdem ist eine Integration in die E-Mail Clients KMail und Novell Evolution möglich.

URL: http://klamav.sourceforge.net

ClamXav
Genau wie ClamWin (Windows) und KlamAV (Linux) ist ClamXav eine grafische Oberfläche für MacOS X

URL: http://www.clamxav.com

ClamMail
ClamMail ist ein E-Mail Proxy mit automatischer Updateroutine.

URL: http://www.bransoft.com/clammail/en/clammail.html

Addon für Mozilla Firefox
URL: https://addons.mozilla.org/en-US/firefox/addon/771 (Nur bis Version 1.5.0)
URL: http://kevin-peter.de (bis Version 3.5.0)

Wer das mittlerweile veraltete Firefox Plugin nicht mehr nutzen möchte, kann über das Plugin Download Statusbar jeden Download von ClamWin überprüfen lassen.

  1. Download Statusbar installieren (deutsch | englisch)
  2. In den Einstellungen den Reiter "Virenprüfung" auswählen (Screenshot)
  3. Im Feld "Pfad zum Anti-Virus-Programm" den Pfad (z.B. C:\Programme\ClamWin\bin\ClamWin.exe) zum Virenscanner (ClamWin.exe) angeben. (Screenshot)
  4. Im Feld "Parameter:" folgende Parameter angeben: "--mode=scanner --path=%1 --close" Der Parameter "--close" bewirkt, dass sich das ClamWin-Fenster nach einem Scan ohne Befund automatisch schließt (damit man es nicht nach jedem Download zuklicken muss). Beim Befund bleibt es offen. (Screenshot)