ClamAV

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
ClamAV – Clam AntiVirus
ClamTk.png
ClamAV mit Oberfläche ClamTk unter Xubuntu 10.04
Basisdaten
Entwickler Sourcefire Inc.
Aktuelle Version 0.98.5
(13. Dezember 2014)
Betriebssystem Unix, Linux, Windows, Mac, OS/2
Kategorie Virenschutzprogramm
Lizenz GPL
Deutschsprachig nein
www.clamav.net

ClamAV (Clam AntiVirus) ist ein unter der GNU General Public License stehendes Virenschutzprogramm – also eine Anwendung gegen Schädlinge wie etwa Viren – mit einem Phishing-Filter, welcher häufig auf E-Mail-Server zur Ausfilterung sogenannter Computerwürmer und Phishing-E-Mails zum Einsatz kommt. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Anwendungen eingebunden werden kann, einen im Hintergrund laufenden Dienst (Daemon) und eine Befehlszeilen-Anwendung.

Unter Linux greift ClamAV auf fanotify zurück, um den Zugriff auf das Dateisystem über den Virenscanner umzuleiten, und kann daher als Echtzeitscanner verwendet werden; unter Windows sind für den Einsatz als Echtzeitscanner Zusatztools notwendig.

Technische Einzelheiten[Bearbeiten]

ClamAV besteht aus mehreren einzelnen Anwendungen, die wichtigsten sind:

  • Der auf der Befehlszeile arbeitende Virenscanner clamscan,
  • Der wahlweise nutzbare Daemon clamd. Er lädt die Virensignaturen nur einmal beim Systemstart in den Arbeitsspeicher und nicht wie clamscan bei jedem Aufruf.
  • Das vergleichsweise schlanke Frontendprogramm clamdscan übergibt die zu prüfenden Dateien an clamd und wertet dessen Resultate aus.
  • freshclam verwaltet die vorhanden Virensignaturen. Es kann auch Aktualisierungen der Virensignaturen von einem Server von Sourcefire VRT herunterladen.

Für die Einbindung in Mail Transfer Agents existieren weitere Anwendungen wie clamav-milter, amavis, simscan oder qmail-scanner.

Da ClamAV freie Software ist,[1] fand es schnell Einzug in unterschiedliche Linux-Distributionen und wurde auch auf andere Betriebssysteme portiert. Zudem wurden eine Reihe von grafischen Oberflächen entwickelt.

Beispiel-Sitzung[Bearbeiten]

Bei einer ClamAV-Sitzung wird das Programm clamscan aufgerufen, um das aktuelle Verzeichnis zu durchsuchen. Das folgende Beispiel durchsucht drei Dateien. Die erste Datei wird als Phishing-E-Mail erkannt, die zweite als Virus-E-Mail. Die dritte Datei wird als sauber erkannt:

foo@bar:~$ clamscan
/home/foo/Phishing-E-Mail: HTML.Phishing.Bank-159 FOUND
/home/foo/Virus-E-Mail: Adware.Casino-1 FOUND
/home/foo/saubere-Datei: OK
----------- SCAN SUMMARY -----------
Known viruses: 42498
Engine version: 0.88
Scanned directories: 1
Scanned files: 3
Infected files: 2
Data scanned: 0.99 MB
Time: 1.765 sec (0 m 1 s)

Derivate[Bearbeiten]

ClamWin für Windows[Bearbeiten]

ClamWin 0.95.1 ausgeführt auf Windows XP.

ClamWin[2] ist ein unter der GPL stehender Virenscanner für Windows, der von Alex Cherney entwickelt wird und auf ClamAV basiert. Die Portierung des ursprünglichen ClamAV-Quellcodes auf die Windows-Plattform erfolgt seit der Version 0.88.1 und ist nicht mehr von einer Unix-Laufzeitumgebung wie Cygwin abhängig. ClamWin ist in einem Paket als Windows-Installer verfügbar und seit dem 18. April 2006 auch ohne Installation als Portable Software nutzbar, welche beispielsweise auch von einem USB-Stick ausgeführt werden kann.[3]

Zudem gibt es für den Open-Source-Webbrowser Mozilla Firefox die Erweiterungen ClamWin Antivirus Glue for Firefox (mit Unterstützung bis zur Firefox-Version 1.5.0.x) und Fireclam[4] (ab Firefox-Version 3.0), mit der selbstständig alle heruntergeladenen Dateien durch ClamWin überprüft werden können.

In der Anwendung enthalten sind:

Geplant:

  • On-Access-Scanner

Clam Sentinel[Bearbeiten]

Clam Sentinel[5] ist ein Echtzeit-Scanner und setzt auf ClamWin auf[6]. Es läuft unter Windows 98/98SE/ME/XP/Vista/7/8 und nistet sich als Anwendung im Infobereich der Taskleiste. Es erkennt Veränderungen am Dateisystem und prüft diese durch ein im Hintergrund mitlaufendes ClamWin Antivirus. Auch werden angeschlossene Laufwerke wie z.B. USB-Sticks von Clam Sentinel überwacht, solange bis diese Geräte wieder getrennt werden. An Funktionen bietet es:

  • Erweitert ClamWin mit einem Echtzeitschutz
  • Integriertes System zum Erkennen von Angriffen (Intrusion detection)
  • Heuristischer Schutz
  • Schutz für USB-Sticks und austauschbare Datenträger
  • Verwendet das Quarantäneverzeichnis von ClamWin
  • Prüft in Echtzeit Logdateien, Laufwerke, Arbeitsspeicher und Nachrichten
  • Voreinstellungen sind für die meisten Computer bereits eingerichtet
  • Einfache Konfiguration über das Symbol im Informationsbereich (System Tray)
  • Unterstützt Betriebssysteme ab Win98 und neuer
  • Verfügbar in Englisch, Italienisch, Deutsch und Französisch
  • Mehrbenutzerfähig

ClamAV für Windows[Bearbeiten]

Des Weiteren gibt es auch verschiedene Portierungen von ClamAV für Windows, welche wie die Linux-Variante über die Netzwerkschnittstelle (über Port 3310) ansprechbar sind – sowohl unmittelbar ausführbare Variante als auch mit Hilfe von Cygwin'.

Unmittelbar ausführbare Varianten:

  • ClamAV Antivirus Native Win32 Port[7] – bildet die Grundlage für ClamWin
  • ClamAV for Windows, jetzt Immunet FREE Antivirus[8] – die Basis war der ursprüngliche Quellcode von ClamAV

Portierung auf Cygwin (für Windows):

  • ClamAV/SOSDG[9]

KDE-Oberfläche KlamAV[Bearbeiten]

das KlamAV-Einstellungsfenster

KlamAV ist ein unter der GPL stehender KDE-Frontend für ClamAV, welcher von Robert Hogan entwickelt wird.

In der Anwendung enthalten sind:

ClamXav für Mac OS X[Bearbeiten]

Mit ClamXav existiert auch für das Betriebssystem Mac OS X eine grafische Benutzeroberfläche, die ClamAV als Basis nutzt und ständig weiter entwickelt wird.

ClamAV-GUI für OS/2[Bearbeiten]

Auch für das Betriebssystem OS/2 und sein Derivat eComStation existiert eine grafische Benutzeroberfläche,[10] die ClamAV als Basis nutzt und weiter entwickelt wird.

ClamMail für Windows[Bearbeiten]

ClamMail ist ein E-Mail-Proxy auf Basis von ClamAV. Bevor die Post in den E-Mail-Client kommt, läuft sie durch den Virenscanner. Im Programm enthalten ist eine automatische Aktualisierungs-Funktion.

Geschichte[Bearbeiten]

Seit dem Jahr 2007 gehört das ClamAV-Projekt zu Sourcefire, einem kommerziellen Hard- und Software-Hersteller im Bereich Netzwerksicherheit.[11]

Am 5. Oktober 2009 wurde von den Entwicklern angekündigt, dass die Virensignatur-Aktualisierungen Version älter als 0.94.x nicht mehr unterstützt wird. Dafür ist geplant, ab dem 15. April 2010, alle nicht mehr unterstützten Versionen mit einer speziellen Signatur-Aktualisierung stillzulegen.[11][12][13]

Im Juli 2013 wurde Sourcefire und damit auch die Projekte Snort und ClamAV von Cisco für 2,7 Milliarden Dollar gekauft.

Versionsgeschichte[Bearbeiten]

Version veröffentlicht am[14] Anmerkungen und wichtigste Änderungen
Ältere Version; nicht mehr unterstützt: 0.70 17. April 2004 Erste bekannte Version; es folgten 6 weitere Versionen in der 0.70er-Reihe (nach 0.70 von 0.71 bis 0.75.1)

Letzte Version: 0.75.1 vom 30. Juli 2004

Ältere Version; nicht mehr unterstützt: 0.80 17. Oktober 2004 Es folgten 19 weitere Versionen in der 0.80er-Reihe (nach 0.80 von 0.81 bis 0.88.7)

Letzte Version: 0.88.7 vom 11. Dezember 2006

Ältere Version; nicht mehr unterstützt: 0.90 13. Februar 2007 Es folgten 14 weitere Versionen in der 0.90er-Reihe bis zum Ende der 0.94er-Reihe (nach 0.90 von 0.90.1 bis 0.94.2)

Letzte Version: 0.94.2 vom 26. November 2008

Ältere Version; nicht mehr unterstützt: 0.95 23. März 2009 Neu: Unterstützung für Windows-Systeme;[15] es folgten 3 weitere Versionen in der 0.95er-Reihe (nach 0.95 von 0.95.1 bis 0.95.3) mit Sicherheits- und Stabilitätsaktualisierungen[16][17]

Letzte Version: 0.95.3 vom 28. Oktober 2009

Ältere Version; nicht mehr unterstützt: 0.96 31. März 2010 Neu: Heuristik zur Windows-Malware-Erkennung; Unterstützung der Dateiformate für 7zip, InstallShield, cpio und weitere;[18] neu in Version 0.96.2: neuer Parser für PDF-Dateien, sowie Optimierung der Ausführungsgeschwindigkeit und des Speicherverbrauches;[19] gemeinschaftlich-basierte Nachweisverfahren (mit Cloud Computing und Unterstützung der Internetgemeinschaft);[20] es folgten fünf Versionen in der 0.96er-Reihe (nach 0.96 von 0.96.1 bis 0.96.5), unter anderem mit Sicherheits- und Stabilitätsaktualisierungen

Letzte Version: 0.96.5 vom 30. November 2010

Ältere Version; nicht mehr unterstützt: 0.97 7. Februar 2011 Neu: Unterstützung von Windows, Unterstützung von Signaturen, die auf SHA1 und SHA256 basieren, verbesserte Fehlererkennung, Geschwindigkeits- und Speicheroptimierungen[21]

Es folgten vier Versionen in der 0.97er-Reihe (nach 0.97 von 0.97.1 bis 0.97.6)
Letzte Version: 0.97.8 vom 23. April 2013

Aktuelle Version: 0.98 19. September 2013 neben der Unterstützung weiterer Dateiformate (wie ISO-9660-Abbilder und selbst entpackende 7z-Archive) wurde unter anderem für On-access-scanning das Modul Clamuko/Dazuko durch fanotify ersetzt;[22]

Aktuelle Version: 0.98.5 vom 13. Dezember 2014

Legende:
Alte Version
Ältere Version; noch unterstützt
Aktuelle Version
Aktuelle Vorabversion
Zukünftige Version

Kritik[Bearbeiten]

ClamAV stand vor allem wegen seinen niedrigen Erkennungsraten in der Kritik. Im Januar 2008 erreichte ClamAV in einem Test des Magdeburger Sicherheitsinstituts AV-Test mit über einer Million Schädlingen eine Erkennungsrate von nur 77,3 Prozent (bester Wert 99,9 %, schlechtester 55,8 %). Auch die Rate an Falsch-Alarmen war vergleichsweise hoch.[23][24]

Im August 2007 erreichte ClamAV mit der Version 0.91-1-1 des Linux-Clients unter Ubuntu bei einem unabhängigen Test des Dienstleisters Untangle noch einen Wert von 100 Prozent bei der Catch-Rate (gleichwertig mit den Produkten der Firmen Kaspersky und Norton) im Wild+Eicar-Test und belegte mit über 90 Prozent im Gesamtergebnis den 2. Platz.[25]

Erweiterbarkeit[Bearbeiten]

ClamAV selbst ist (unter Windows) kein Echtzeit-Scanner, kann aber zusammen mit Programmen wie ClamFS, Spyware Terminator, Clam Sentinel oder Winpooch zur Echtzeit-Scannnung genutzt werden.

Weblinks[Bearbeiten]

 Commons: ClamAV – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise[Bearbeiten]

  1. About. ClamAV, abgerufen am 13. Dezember 2014 (englisch).
  2. ClamWin - Free Antivirus. ClamWin, abgerufen am 19. Juni 2014 (deutsch).
  3. ClamWin Portable Support (englisch) – Seite mit Entwicklungsgeschichte bei PortableApps.com; Stand: 28. Juni 2013
  4. Fireclam – Eintrag bei Firefox Add-ons; 13. Oktober 2009
  5. Clam Sentinel - Free Realtime Antivirus. Clam Sentinel, abgerufen am 1. September 2014 (deutsch).
  6. Clam Sentinel - Making ClamWin Be Used In Real-Time. Cyber Pillar, abgerufen am 1. September 2014 (englisch).
  7. ClamAV Native Win32 Port. Gianluigi Tiesi, abgerufen am 8. April 2009 (englisch).
  8. ClamAV - Windows Antivirus (englisch) – Informationen zu Immunet FREE Antivirus auf der Seite von Clam AntiVirus, vom 19. Juni 2014
  9. ClamAV/SOSDG. Summit Open Source Development Group, abgerufen am 25. März 2009 (englisch).
  10. ClamAV-GUI for eCS (englisch und französisch)
  11. a b Entwickler planen Zwangsabschaltung des freien Virenscanners ClamAV – Artikel bei Heise online, vom 8. Oktober 2009
  12. ClamAV - alte Versionen werden 2010 zwangsweise abgeschaltet – Artikel bei Golem.de, vom 8. Oktober 2009
  13. End of Life Announcement: ClamAV 0.94.x (englisch) – Ankündigung bei Clam AntiVirus, vom 5. Oktober 2009
  14. Browse /clamav (englisch) – Versionsliste bei SourceForge.net; Stand: 26. Juli 2011
  15. ClamAV: Download - ClamAV: Sichern sie Ihr UNIX Netzwerk – Artikel bei Netzwelt, vom 31. Januar 2011
  16. Sicherheits-Update für Open-Source-Virenscanner – Artikel bei Heise online, vom 11. April 2009
  17. Update für freien Virenscanner ClamAV beseitigt Sehschwäche – Artikel bei Heise online, vom 17. Juni 2009
  18. Freier Virenscanner ClamAV in Version 0.96 verfügbar – Artikel bei Heise online, vom 8. April 2010
  19. Neuer PDF-Parser für ClamAV-Antiviren-Scanner – Artikel beim Admin-Magazin, vom 13. August 2010
  20. ClamAV für Windows – Artikel bei CHIP online, vom 20. September 2010
  21. ClamAV 0.97 has been released! (englisch) – Meldung im ClamAV Blog, vom 7. Februar 2011
  22. ClamAV 0.98 has been released! (englisch) – Meldung bei ClamAV, vom 19. September 2013 (abgerufen am: 30. September 2013)
  23. Auf der Pirsch! Antivirenlösungen auf dem Prüfstand – Bericht auf heise.de, Auszug aus c’t 01/2008.
  24. Anti-virus comparison test of current anti-malware products, Q1/2008 (englisch), Testergebnisse von AV-Test (im Internet Archive)
  25. [1] Ergebnisse der FightClub auf der LinuxWorld 2007