Tips en Trucs 2018

ClamAV Antivirus Scanner

Malware, Virussen en Trojans komen op Linux weliswaar minder voor, maar bestaan wel. De virusscanner ClamAV heeft dus alle recht van bestaan.

ClamAV is een open source antivirus programma die je voor verschillende zaken kunt inzetten. Zo scant ClamAV e-mail- en webservers, maar ook bestanden op computers bij u thuis. Daarbij maakt ClamAV gebruik van moderne methodes zoals multi-thread (meerdere taken tegelijk door verschillende processorkernen laten uitvoeren). Je kan ClamAV zowel via een grafisch programma (ClamTk) bedienen of via de terminal (handig voor bediening op afstand en in scripts). Er bestaan voor ClamAV eveneens veel hulpprogramma's waaronder voor het automatisch bijwerken van de virusdatabase. ClamAV is bovendien een cross-platform programma en kan je dus gebruiken op Linux, Windows en macOS.

Enkele kenmerken

ClamAV is geen real-time virusscanner. M.a.w. uw bestanden worden niet gescand als je ze gebruikt, maar enkel als je ze op bepaalde tijdstippen of manueel scant. Dit klinkt misschien minder veilig, maar heeft wel als voordeel dat ClamAV uw systeem niet vertraagt.

• Kan zowel via de terminal als met de muis bediend worden.
• Kan op servers via filters e-mails scannen, voor deze afgeleverd worden.
• De virusdatabase kan op verschillende manieren automatisch of manueel bijgewerkt worden.
• Soms verschijnen er meerdere updates per dag.
• Ondersteuning voor verschillende e-mail formaten.
• Ondersteuning voor verschillende archiefbestanden: waaronder Zip, RAR, Dmg, Tar, Gzip, Bzip2, OLE2, Cabinet, CHM, BinHex, SIS, enz.
• Ondersteuning voor verschillende programmaformaten zoals ELF en zelfuitpakkende programma's gecomprimeerd met UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack en verborgen met SUE, Y0da Cryptor, enz.
• Ondersteuning voor verschillende documentformaten zoals MS Office en Mac Office bestanden, HTML, Flash, RTF en PDF.

ClamAV installeren

ClamAV is beschikbaar in de standaard softwarebronnen van openSUSE, maar niet de meest recente versie, zodat we een softwarebron moeten toevoegen. In openSUSE installeer je de meest recente versie van ClamAV als volgt:

• Surf naar software.opensuse.org/.
• Zoek naar het pakket clamtk.
• Je krijgt tegels met gevonden softwarepakketten. Klik op de naam van de tegel van het pakket clamtk.
• Klik op uw distributieversie (bij mij openSUSE Leap 42.3) op de knop Toon experimentele pakketten om deze weer te geven.
• Installeer het clamtk pakket uit de security softwarebron via de bijhorende knop Eénklik-installeren.
• Open clamtk.ymp met YaST één-klik installeren (standaard).
• Volg daarna de instructies van de YaST één-klik installeren assistent.
  • Bevestig het toevoegen van de Aanvullende softwarebronnen met de knop Volgende.
  • Bevestig de Te installeren software met de knop Volgende.
  • Bevestig het Voorstel met de knop Volgende.
  • Bevestig de Waarschuwing met de knop Ja.
  • Typ het root wachtwoord en klik op de knop OK.
  • Bevestig het Niet-vertrouwde GnuGPG-sleutel importeren venster met de knop Vertrouwen.
  • Sluit na de installatie het venster met de knop Voltooien.
• Sluit het browservenster.

Start Menu Toepassingen > Systeem > ClamTk.

ClamAV bijwerken

Antivirus programma's zijn waardeloos als ze geen virussen kunnen herkennen. Ze gebruiken daarvoor een database met viruskenmerken (signatures). Na de start van ClamTk wordt je via een oranje melding met de tekst The antivirus signatures are outdated onderaan het venster meteen attent gemaakt dat de database met viruskenmerken verouderd is. De viruskenmerkendatabase werkt je als volgt bij:

• Dubbelklik op het onderdeel Update Assistant.
• Activeer de optie I would like to update signatures myself.
• Klik op de knop Toepassen.
• Klik op de knop < Terug om terug naar het hoofdscherm van ClamTk te gaan.
• Dubbelklik op het onderdeel Update.
• Klik op de knop OK om te kijken of er updates beschikbaar zijn.
• Wacht tot de database met de viruskenmerken bijgewerkt zijn. Dit kan lang duren, wees dus geduldig.
• Na het voltooien van het bijwerken, verdwijnt de oranje balk met de melding en krijg je twee gele balken en de melding Complete in een blauwe balk.
  
• Klik op de knop < Terug om terug naar het hoofdscherm van ClamTk te gaan.

ClamTk

Het hoofdscherm van ClamTk bestaat uit vier secties. De eerste sectie bevat onderdelen om ClamAv in te stellen (Configuration). In het onderdeel Settings kan je instellen dat ClamAV bij het scannen van een map ook de submappen moet scannen, ook grote bestanden moet scannen, verborgen bestanden (.*) moet scannen, melden of er een nieuwe versie is, dubbelklikken om een onderdeel te openen. ClamAV kan naast virussen ook PUA's (Potentially Unwanted Applications) opsporen. ClamAV beschouwt de volgende categorieën programma's als potentieel ongewenst:

• Programma's die automatisch bestanden comprimeren (Packed).
• Programma's om wachtwoorden te recupereren.
• Programma's om netwerkverkeer te onderzoeken.
• P2P programma's zoals torrent programma's die veel netwerkverkeer kunnen veroorzaken.
• IRC programma's kunnen u afleiden van uw werk en afhankelijk van het programma ook virussen verspreiden.
• Programmma's om het systeem op afstand te bedienen (VNC, RAdmin).
• Hulpprogramma's om processen af te breken en op te sporen (process killers/finders).
• Spyware om toetsenbordaanslagen te verzamelen (keyloggers) en andere spionage programma's.
• Server gebaseerde badware zoals DistributedNet.
• Gekende probleem script geschreven in Javascript, ActiveX, enz.

Met het onderdeel Whitelist kan je mappen aanduiden die je nooit op virussen wilt scannen. Als je een proxy server gebruikt, kan je dit instellen in het onderdeel Network. Met de taakplanner (Scheduler) kan je uw Persoonlijke map op een in te stellen tijstip laten scannen. En op een bepaald tijdstip de database met viruskenmerken laten bijwerken.

De sectie History bevat twee onderdelen. Het onderdeel History bevat een lijst met alle uitgevoerde virusscans waarvan je het verslag nog eens kunt nalezen. Het onderdeel Quarantaine bevat alle verdachte bestanden die je definitief kunt verwijderen of in het geval van een vals alarm (false positive) terugzetten.

De sectie Updates kwam hierboven al aan bod. De laatste sectie (Analysis) gebruik je om een bestand (file) of een map (directory) op virussen te controleren. Met het onderdeel Analysis kan je het bestand online laten onderzoeken op malware.