ClamAV

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
ClamAV – Clam AntiVirus
ClamTk.png
ClamAV mit Oberfläche ClamTk unter Xubuntu 10.04
Basisdaten
Entwickler Sourcefire Inc.
Aktuelle Version 0.98.4
(16. Juni 2014)
Betriebssystem Unix, Linux, Windows, Mac OS X, OS/2
Kategorie Virenschutzprogramm
Lizenz GPL
Deutschsprachig nein
www.clamav.net

ClamAV (Clam AntiVirus) ist ein unter der GNU General Public License stehendes sogenanntes Virenschutzprogramm – also eine Anwendung gegen Schädlinge wie etwa Viren – mit einem Phishing-Filter, welcher häufig auf E-Mail-Server zur Ausfilterung sogenannter Computerwürmer und Phishing-E-Mails zum Einsatz kommt. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Anwendungen eingebunden werden kann, einen im Hintergrund laufenden Dienst (Daemon) und eine Befehlszeilen-Anwendung.

Unter Linux greift ClamAV auf fanotify zurück, um den Zugriff auf das Dateisystem über den Virenscanner umzuleiten, und kann daher als Echtzeitscanner verwendet werden; unter Windows sind für den Einsatz als Echtzeitscanner Zusatztools notwendig.

Technische Einzelheiten[Bearbeiten]

ClamAV besteht aus mehreren einzelnen Anwendungen, die wichtigsten sind:

  • Der auf der Befehlszeile arbeitende Virenscanner clamscan,
  • Der wahlweise nutzbare Daemon clamd. Er lädt die Virensignaturen nur einmal beim Systemstart in den Arbeitsspeicher und nicht wie clamscan bei jedem Aufruf.
  • Das vergleichsweise schlanke Frontendprogramm clamdscan übergibt die zu prüfenden Dateien an clamd und wertet dessen Resultate aus.
  • freshclam verwaltet die vorhanden Virensignaturen. Es kann auch Aktualisierungen der Virensignaturen von einem Server von Sourcefire VRT herunterladen.

Für die Einbindung in Mail Transfer Agents existieren weitere Anwendungen wie clamav-milter, amavis, simscan oder qmail-scanner.

Da ClamAV eine freie Software ist, fand es schnell Einzug in unterschiedliche Linux-Distributionen und wurde auch auf andere Betriebssysteme portiert. Zudem wurden eine Reihe von grafischen Oberflächen entwickelt.

[1]

Beispiel-Sitzung[Bearbeiten]

Bei einer ClamAV-Sitzung wird das Programm clamscan aufgerufen, um das aktuelle Verzeichnis zu durchsuchen. Das folgende Beispiel durchsucht drei Dateien. Die erste Datei wird als Phishing-E-Mail erkannt, die zweite als Virus-E-Mail. Die dritte Datei wird als sauber erkannt:

foo@bar:~$ clamscan
/home/foo/Phishing-E-Mail: HTML.Phishing.Bank-159 FOUND
/home/foo/Virus-E-Mail: Adware.Casino-1 FOUND
/home/foo/saubere-Datei: OK
----------- SCAN SUMMARY -----------
Known viruses: 42498
Engine version: 0.88
Scanned directories: 1
Scanned files: 3
Infected files: 2
Data scanned: 0.99 MB
Time: 1.765 sec (0 m 1 s)

Derivate[Bearbeiten]

ClamWin für Windows[Bearbeiten]

ClamWin 0.95.1 ausgeführt auf Windows XP.

ClamWin[2] ist ein unter der GPL stehender Virenscanner für Windows, der von Alex Cherney entwickelt wird und auf ClamAV basiert. Die Portierung des ursprünglichen ClamAV-Quellcodes auf die Windows-Plattform erfolgt seit der Version 0.88.1 und ist nicht mehr von einer Unix-Laufzeitumgebung wie Cygwin abhängig. ClamWin ist in einem Paket als Windows-Installer verfügbar und seit dem 18. April 2006 auch ohne Installation als Portable Software nutzbar, welche beispielsweise auch von einem USB-Stick ausgeführt werden kann.[3]

Zudem gibt es für den Open-Source-Webbrowser Mozilla Firefox die Erweiterungen ClamWin Antivirus Glue for Firefox (mit Unterstützung bis zur Firefox-Version 1.5.0.x) und Fireclam[4] (ab Firefox-Version 3.0), mit der selbstständig alle heruntergeladenen Dateien durch ClamWin überprüft werden können.

In der Anwendung enthalten sind:

Geplant:

  • On-Access-Scanner

ClamAV für Windows[Bearbeiten]

Des Weiteren gibt es auch verschiedene Portierungen von ClamAV für Windows, welche wie die Linux-Variante über die Netzwerkschnittstelle (über Port 3310) ansprechbar sind – sowohl unmittelbar ausführbare Variante als auch mit Hilfe von Cygwin'.

Unmittelbar ausführbare Varianten:

  • ClamAV Antivirus Native Win32 Port[5] – bildet die Grundlage für ClamWin
  • ClamAV for Windows, jetzt Immunet FREE Antivirus[6] – die Basis war der ursprüngliche Quellcode von ClamAV

Portierung auf Cygwin (für Windows):

  • ClamAV/SOSDG[7]

KDE-Oberfläche KlamAV[Bearbeiten]

das KlamAV-Einstellungsfenster

KlamAV ist ein unter der GPL stehender KDE-Frontend für ClamAV, welcher von Robert Hogan entwickelt wird.

In der Anwendung enthalten sind:

ClamXav für Mac OS X[Bearbeiten]

Mit ClamXav existiert auch für das Betriebssystem Mac OS X eine grafische Benutzeroberfläche, die ClamAV als Basis nutzt und ständig weiter entwickelt wird.

ClamAV-GUI für OS/2[Bearbeiten]

Auch für das Betriebssystem OS/2 und sein Derivat eComStation existiert eine grafische Benutzeroberfläche,[8] die ClamAV als Basis nutzt und weiter entwickelt wird.

ClamMail für Windows[Bearbeiten]

ClamMail ist ein E-Mail-Proxy auf Basis von ClamAV. Bevor die Post in den E-Mail-Client kommt, läuft sie durch den Virenscanner. Im Programm enthalten ist eine automatische Aktualisierungs-Funktion.

Geschichte[Bearbeiten]

Seit dem Jahr 2007 gehört das ClamAV-Projekt zu Sourcefire, einem kommerziellen Hard- und Software-Hersteller im Bereich Netzwerksicherheit.[9]

Am 5. Oktober 2009 wurde von den Entwicklern angekündigt, dass die Virensignatur-Aktualisierungen Version älter als 0.94.x nicht mehr unterstützt wird. Dafür ist geplant, ab dem 15. April 2010, alle nicht mehr unterstützten Versionen mit einer speziellen Signatur-Aktualisierung stillzulegen.[9][10][11]

Versionsgeschichte[Bearbeiten]

Version Datum[12] Anmerkungen und wichtigste Änderungen
Ältere Version; nicht mehr unterstützt: 0.70 17. April 2004 Erste bekannte Version; es folgten 6 weitere Versionen in der 0.70er-Reihe (nach 0.70 von 0.71 bis 0.75.1)

Letzte Version: 0.75.1 vom 30. Juli 2004

Ältere Version; nicht mehr unterstützt: 0.80 17. Oktober 2004 Es folgten 19 weitere Versionen in der 0.80er-Reihe (nach 0.80 von 0.81 bis 0.88.7)

Letzte Version: 0.88.7 vom 11. Dezember 2006

Ältere Version; nicht mehr unterstützt: 0.90 13. Februar 2007 Es folgten 14 weitere Versionen in der 0.90er-Reihe bis zum Ende der 0.94er-Reihe (nach 0.90 von 0.90.1 bis 0.94.2)

Letzte Version: 0.94.2 vom 26. November 2008

Ältere Version; nicht mehr unterstützt: 0.95 23. März 2009 Neu: Unterstützung für Windows-Systeme;[13] es folgten 3 weitere Versionen in der 0.95er-Reihe (nach 0.95 von 0.95.1 bis 0.95.3) mit Sicherheits- und Stabilitätsaktualisierungen[14][15]

Letzte Version: 0.95.3 vom 28. Oktober 2009

Ältere Version; nicht mehr unterstützt: 0.96 31. März 2010 Neu: Heuristik zur Windows-Malware-Erkennung; Unterstützung der Dateiformate für 7zip, InstallShield, cpio und weitere;[16] neu in Version 0.96.2: neuer Parser für PDF-Dateien, sowie Optimierung der Ausführungsgeschwindigkeit und des Speicherverbrauches;[17] gemeinschaftlich-basierte Nachweisverfahren (mit Cloud Computing und Unterstützung der Internetgemeinschaft);[18] es folgten fünf Versionen in der 0.96er-Reihe (nach 0.96 von 0.96.1 bis 0.96.5), unter anderem mit Sicherheits- und Stabilitätsaktualisierungen

Letzte Version: 0.96.5 vom 30. November 2010

Ältere Version; nicht mehr unterstützt: 0.97 7. Februar 2011 Neu: Unterstützung von Windows, Unterstützung von Signaturen, die auf SHA1 und SHA256 basieren, verbesserte Fehlererkennung, Geschwindigkeits- und Speicheroptimierungen[19]

Es folgten vier Versionen in der 0.97er-Reihe (nach 0.97 von 0.97.1 bis 0.97.6)
Letzte Version: 0.97.8 vom 23. April 2013

Aktuelle Version: 0.98 19. September 2013 neben der Unterstützung weiterer Dateiformate (wie ISO-9660-Abbilder und selbst entpackende 7z-Archive) wurde unter anderem für On-access-scanning das Modul Clamuko/Dazuko durch fanotify ersetzt;[20]
Aktuelle Version: 0.98.4 vom 16. Juni 2014
Legende:
Alte Version
Ältere Version; noch unterstützt
Aktuelle Version
Aktuelle Vorabversion
Zukünftige Version

Kritik[Bearbeiten]

ClamAV stand vor allem wegen seinen niedrigen Erkennungsraten in der Kritik. Im Januar 2008 erreichte ClamAV in einem Test des Magdeburger Sicherheitsinstituts AV-Test mit über einer Million Schädlingen eine Erkennungsrate von nur 77,3 Prozent (bester Wert 99,9 %, schlechtester 55,8 %). Auch die Rate an Falsch-Alarmen war vergleichsweise hoch.[21][22]

Im August 2007 erreichte ClamAV mit der Version 0.91-1-1 des Linux-Clients unter Ubuntu bei einem unabhängigen Test des Dienstleisters Untangle noch einen Wert von 100 Prozent bei der Catch-Rate (gleichwertig mit den Produkten der Firmen Kaspersky und Norton) im Wild+Eicar-Test und belegte mit über 90 Prozent im Gesamtergebnis den 2. Platz.[23]

Erweiterbarkeit[Bearbeiten]

ClamAV selbst ist (unter Windows) kein Echtzeit-Scanner, kann aber zusammen mit Programmen wie ClamFS, Spyware Terminator, Clam Sentinel oder Winpooch zur Echtzeit-Scannnung genutzt werden.

Weblinks[Bearbeiten]

 Commons: ClamAV – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise[Bearbeiten]

  1. Team Members. ClamAV, abgerufen am 3. August 2012 (englisch).
  2. ClamWin - Free Antivirus. ClamWin, abgerufen am 19. Juni 2014 (deutsch).
  3. ClamWin Portable Support (englisch) – Seite mit Entwicklungsgeschichte bei PortableApps.com; Stand: 28. Juni 2013
  4. Fireclam – Eintrag bei Firefox Add-ons; 13. Oktober 2009
  5. ClamAV Native Win32 Port. Gianluigi Tiesi, abgerufen am 8. April 2009 (englisch).
  6. ClamAV - Windows Antivirus (englisch) – Informationen zu Immunet FREE Antivirus auf der Seite von Clam AntiVirus, vom 19. Juni 2014
  7. ClamAV/SOSDG. Summit Open Source Development Group, abgerufen am 25. März 2009 (englisch).
  8. ClamAV-GUI for eCS (englisch und französisch)
  9. a b Entwickler planen Zwangsabschaltung des freien Virenscanners ClamAV – Artikel bei Heise online, vom 8. Oktober 2009
  10. ClamAV - alte Versionen werden 2010 zwangsweise abgeschaltet – Artikel bei Golem.de, vom 8. Oktober 2009
  11. End of Life Announcement: ClamAV 0.94.x (englisch) – Ankündigung bei Clam AntiVirus, vom 5. Oktober 2009
  12. Browse /clamav (englisch) – Versionsliste bei SourceForge.net; Stand: 26. Juli 2011
  13. ClamAV: Download - ClamAV: Sichern sie Ihr UNIX Netzwerk – Artikel bei Netzwelt, vom 31. Januar 2011
  14. Sicherheits-Update für Open-Source-Virenscanner – Artikel bei Heise online, vom 11. April 2009
  15. Update für freien Virenscanner ClamAV beseitigt Sehschwäche – Artikel bei Heise online, vom 17. Juni 2009
  16. Freier Virenscanner ClamAV in Version 0.96 verfügbar – Artikel bei Heise online, vom 8. April 2010
  17. Neuer PDF-Parser für ClamAV-Antiviren-Scanner – Artikel beim Admin-Magazin, vom 13. August 2010
  18. ClamAV für Windows – Artikel bei CHIP online, vom 20. September 2010
  19. ClamAV 0.97 has been released! (englisch) – Meldung im ClamAV Blog, vom 7. Februar 2011
  20. ClamAV 0.98 has been released! (englisch) – Meldung bei ClamAV, vom 19. September 2013 (abgerufen am: 30. September 2013)
  21. Auf der Pirsch! Antivirenlösungen auf dem Prüfstand – Bericht auf heise.de, Auszug aus c’t 01/2008.
  22. Anti-virus comparison test of current anti-malware products, Q1/2008 (englisch), Testergebnisse von AV-Test (im Internet Archive)
  23. [1] Ergebnisse der FightClub auf der LinuxWorld 2007