ClamAV

ClamAV – Clam AntiVirus
ClamAV mit der Oberfläche ClamTk auf Xubuntu 10.04
Basisdaten
Entwickler	Cisco (ab Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.; davor Sourcefire)
Erscheinungsjahr	2001
Aktuelle Version	0.99.2[1] (Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.)
Betriebssystem	plattformübergreifend (Unixähnliche, wie Linux und Mac, sowie Windows und Ähnliche, wie etwa OS/2)
Programmiersprache	C++[2], C[2]
Kategorie	Virenschutzprogramm
Lizenz	GPL
deutschsprachig	ja
www.clamav.net

ClamAV (Clam AntiVirus) ist ein unter der GNU General Public License stehendes Virenschutzprogramm – also eine Anwendung gegen Schädlinge wie etwa Viren – mit einem Phishing-Filter, welcher häufig auf E-Mail-Servern zur Ausfilterung sogenannter Computerwürmer und Phishing-E-Mails zum Einsatz kommt. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Anwendungen eingebunden werden kann, einen im Hintergrund laufenden Dienst (Daemon) und eine Befehlszeilen-Anwendung.

Unter Linux greift ClamAV auf fanotify zurück, um den Zugriff auf das Dateisystem über den Virenscanner umzuleiten, und kann daher als Echtzeitscanner verwendet werden; unter Windows sind für den Einsatz als Echtzeitscanner Zusatztools notwendig.

Technische Einzelheiten

ClamAV besteht aus mehreren einzelnen Anwendungen, die wichtigsten sind:

• Der auf der Befehlszeile arbeitende Virenscanner clamscan,
• Der wahlweise nutzbare Daemon clamd. Er lädt die Virensignaturen nur einmal beim Systemstart in den Arbeitsspeicher und nicht wie clamscan bei jedem Aufruf.
• Das vergleichsweise schlanke Frontendprogramm clamdscan übergibt die zu prüfenden Dateien an clamd und wertet dessen Resultate aus.
• freshclam verwaltet die vorhanden Virensignaturen. Es kann auch Aktualisierungen der Virensignaturen von einem Server von Sourcefire VRT herunterladen.

Für die Einbindung in Mail Transfer Agents existieren weitere Anwendungen wie clamav-milter, amavis, simscan oder qmail-scanner.

Da ClamAV freie Software ist,^[3] fand es schnell Einzug in unterschiedliche Linux-Distributionen und wurde auch auf andere Betriebssysteme portiert. Zudem wurden eine Reihe von grafischen Oberflächen entwickelt.

Beispiel-Sitzung

Bei einer ClamAV-Sitzung wird das Programm clamscan aufgerufen, um das aktuelle Verzeichnis zu durchsuchen. Das folgende Beispiel durchsucht drei Dateien. Die erste Datei wird als Phishing-E-Mail erkannt, die zweite als Virus-E-Mail. Die dritte Datei wird als sauber erkannt:

foo@bar:~$ clamscan
/home/foo/Phishing-E-Mail: HTML.Phishing.Bank-159 FOUND
/home/foo/Virus-E-Mail: Adware.Casino-1 FOUND
/home/foo/saubere-Datei: OK

----------- SCAN SUMMARY -----------
Known viruses: 42498
Engine version: 0.88
Scanned directories: 1
Scanned files: 3
Infected files: 2
Data scanned: 0.99 MB
Time: 1.765 sec (0 m 1 s)

Derivate und grafische Benutzeroberflächen

ClamWin für Windows

ClamWin^[4] ist ein unter der GPL stehender Virenscanner für Windows, der von Alex Cherney entwickelt wird und auf ClamAV basiert. Die Portierung des ursprünglichen ClamAV-Quellcodes auf die Windows-Plattform erfolgt seit der Version 0.88.1 und ist nicht mehr von einer Unix-Laufzeitumgebung wie Cygwin abhängig. ClamWin ist in einem Paket als Windows-Installer verfügbar und seit dem Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an. auch ohne Installation als Portable Software nutzbar, welche beispielsweise auch von einem USB-Stick ausgeführt werden kann.^[5]

Zudem gibt es für den Open-Source-Webbrowser Mozilla Firefox die Erweiterungen ClamWin Antivirus Glue for Firefox (mit Unterstützung bis zur Firefox-Version 1.5.0.x) und Fireclam^[6] (ab Firefox-Version 3.0), mit der selbstständig alle heruntergeladenen Dateien durch ClamWin überprüft werden können.

In der Anwendung enthalten sind:

• zeitgeplante Scans
• automatische Aktualisierung der Virensignaturen
• Einbindung in das Kontextmenü des Windows-Explorers
• Einbindung in Microsoft Outlook
• POP3-Virenscan
• Alarm, falls ein Virus gefunden wurde

Geplant:

• Echtzeitüberwachung (Echtzeitscanner, englisch on-access scanner)

Clam Sentinel

Clam Sentinel^[7] ist ein Echtzeit-Scanner und setzt auf ClamWin auf.^[8] Es läuft unter Windows 98/98SE/ME/XP/Vista/7/8 und nistet sich als Anwendung im Infobereich der Taskleiste ein. Es erkennt Veränderungen am Dateisystem und prüft diese durch ein im Hintergrund mitlaufendes ClamWin-Antivirus. Auch werden angeschlossene Laufwerke wie z.B. USB-Sticks von Clam-Sentinel überwacht, solange bis diese Geräte wieder getrennt werden. An Funktionen bietet es:

• Erweitert ClamWin mit einem Echtzeitschutz
• Integriertes System zum Erkennen von Angriffen (Intrusion detection)
• Heuristischer Schutz
• Schutz für USB-Sticks und austauschbare Datenträger
• Verwendet das Quarantäneverzeichnis von ClamWin
• Prüft in Echtzeit Logdateien, Laufwerke, Arbeitsspeicher und Nachrichten
• Voreinstellungen sind für die meisten Computer bereits eingerichtet
• Einfache Konfiguration über das Symbol im Informationsbereich (System Tray)
• Unterstützt Betriebssysteme ab Win98 und neuer
• Verfügbar in Englisch, Italienisch, Deutsch und Französisch
• Mehrbenutzerfähig

ClamAV für Windows

Des Weiteren gibt es auch verschiedene Portierungen von ClamAV für Windows, welche wie die Linux-Variante über die Netzwerkschnittstelle (über Port 3310) ansprechbar sind – sowohl unmittelbar ausführbare Varianten als auch solche, die die Hilfe von Cygwin benötigen.

Unmittelbar ausführbare Varianten:

• ClamAV Antivirus Native Win32 Port^[9] – bildet die Grundlage für ClamWin
• ClamAV for Windows, jetzt Immunet FREE Antivirus^[10] – die Basis war der ursprüngliche Quellcode von ClamAV

Portierung auf Cygwin (für Windows):

• ClamAV/SOSDG^[11]

KDE-Oberfläche KlamAV

KlamAV ist ein unter der GPL stehender KDE-Frontend für ClamAV, welcher von Robert Hogan entwickelt wird.

In der Anwendung enthalten sind:

• zeitgeplante Prüfungen
• automatische Aktualisierung der Virensignaturen
• Plug-in für KMail und Novell Evolution
• POP3-Virenscann

ClamXav für Mac OS X

Mit ClamXav existiert auch für das Betriebssystem Mac OS X eine grafische Benutzeroberfläche, die ClamAV als Basis nutzt und ständig weiter entwickelt wird. Allerdings handelt es sich hierbei seit der Version 2.8 um ein kommerzielles Produkt.

ClamAV-GUI für OS/2

Auch für das Betriebssystem OS/2 und sein Derivat eComStation existiert eine grafische Benutzeroberfläche,^[12] die ClamAV als Basis nutzt und weiter entwickelt wird.

ClamMail für Windows

ClamMail ist ein E-Mail-Proxy auf Basis von ClamAV. Bevor die Post in den E-Mail-Client kommt, läuft sie durch den Virenscanner. Im Programm enthalten ist eine automatische Aktualisierungs-Funktion.

Geschichte

ClamAV existiert seit den frühen Nullerjahren des 21. Jahrhunderts.^[13]

Im Juli 2003 zog ClamAV auf SourceForge um.^[14] Im Oktober 2003 folgte Round Robin der Spiegelserver seiner Datenbank per Resource Record, im Januar 2004 eine sprunghafte Vergrößerung der Datenbank, und im Februar 2004 ein von Debian inspiriertes Verfahren zur schnellen Aktualisierung aller Spiegelserver.^[15][16][17]

Im August 2007 verkauften die hauptsächlichen Entwickler von ClamAV das Projekt an Sourcefire.^[18]

Im Juli 2013 wurde Sourcefire und damit auch ClamAV von Cisco gekauft.^[19][20]

Versionsgeschichte

Erweiterbarkeit

ClamAV selbst ist (unter Windows) kein Echtzeit-Scanner, kann aber zusammen mit Programmen wie ClamFS, Spyware Terminator, Clam Sentinel oder Winpooch zur Echtzeit-Scannung genutzt werden.

Kritik

ClamAV stand vor allem wegen seiner niedrigen Erkennungsraten in der Kritik. Im Januar 2008 erreichte ClamAV in einem Test des Magdeburger Sicherheitsinstituts AV-Test mit über einer Million Schädlingen eine Erkennungsrate von nur 77,3 Prozent (bester Wert 99,9 %, schlechtester 55,8 %). Auch die Rate an Falsch-Alarmen war vergleichsweise hoch.^[33][34]

Im August 2007 erreichte ClamAV mit der Version 0.91-1-1 des Linux-Clients unter Ubuntu bei einem unabhängigen Test des Dienstleisters Untangle noch einen Wert von 100 Prozent bei der Catch-Rate (gleichwertig mit den Produkten der Firmen Kaspersky und Norton) im Wild- und EICAR-Test und belegte mit über 90 Prozent im Gesamtergebnis den 2. Platz.^[35]

Weblinks

Commons: ClamAV – Sammlung von Bildern, Videos und Audiodateien

• Clam AntiVirus – Offizielle Webseite (englisch)
  • User Manual (englisch; PDF, 252 kB)

• ClamWin Free Antivirus – Unternehmensseite für ClamWin
• ClamWin Portable – Seite der übertragbaren Variante bei PortableApps.com

• ClamMail – ein E-Mail-Proxy für Windows bei SourceForge (englisch)
• ClamXav – ClamAV für Mac OS X (englisch)

Einzelnachweise

1. ↑ ^{a b} ClamAV: herunterladen (englisch) – ClamavNet; abgerufen am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
2. ↑ ^{a b} www.openhub.net.
3. ↑ About. ClamAV, abgerufen am 13. Dezember 2014 (englisch). 
4. ↑ ClamWin - Free Antivirus. ClamWin, abgerufen am 19. Juni 2014. 
5. ↑ ClamWin Portable Support (englisch) – Seite mit Entwicklungsgeschichte bei PortableApps.com; Stand: Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
6. ↑ Fireclam – Eintrag bei Firefox Add-ons (abgerufen am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.)
7. ↑ Clam Sentinel - Free Realtime Antivirus. Clam Sentinel, abgerufen am 1. September 2014. 
8. ↑ Clam Sentinel - Making ClamWin Be Used In Real-Time. Cyber Pillar, abgerufen am 1. September 2014 (englisch). 
9. ↑ ClamAV Native Win32 Port. Gianluigi Tiesi, abgerufen am 8. April 2009 (englisch). 
10. ↑ ClamAV - Windows Antivirus (englisch) – Informationen zu Immunet FREE Antivirus auf der Seite von Clam AntiVirus, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
11. ↑ ClamAV/SOSDG (Memento vom 6. Januar 2014 im Internet Archive) (englisch) – Summit Open Source Development Group, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an. (zuletzt im Internet Archive gesichert am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.)
12. ↑ ClamAV-GUI for eCS (englisch und französisch)
13. ↑ Alan Shimel: ClamAV Founders Moving On From Sourcefire. In: Network World. International Data Group, 20. Juni 2012, abgerufen am 15. Dezember 2015. 
14. ↑ New home for ClamAV. In: SourceForge. 29. Juli 2003, abgerufen am 15. Dezember 2015. 
15. ↑ database distribution. In: SourceForge. 30. Oktober 2003, abgerufen am 15. Dezember 2015. 
16. ↑ huge database update. In: SourceForge. 8. Januar 2004, abgerufen am 15. Dezember 2015. 
17. ↑ New mirroring system. In: SourceForge. 18. Februar 2004, abgerufen am 15. Dezember 2015. 
18. ↑ Dirk Martin Knop: Sourcefire kauft ClamAV-Projekt. In: Heise online. 17. August 2007, abgerufen am 15. Dezember 2015. 
19. ↑ Sourcefire: Cisco kauft Anbieter von Intrusion Detection System Snort – Golem, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
20. ↑ Cisco kauft Sourcefire – Admin-Magazin, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
21. ↑ Browse /clamav (englisch) – Versionsliste bei SourceForge; Stand: Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
22. ↑ ^{a b c} Important notice for people using ClamAV 0.60. In: SourceForge. 15. August 2004, abgerufen am 15. Dezember 2015. 
23. ↑ ^{a b} 0.70 release: new clamd and VBA macros decoding. In: SourceForge. 15. März 2004, abgerufen am 15. Dezember 2015. 
24. ↑ ClamAV: Download - ClamAV: Sichern sie Ihr UNIX Netzwerk – Netzwelt, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
25. ↑ Sicherheits-Update für Open-Source-Virenscanner – Heise online, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
26. ↑ Update für freien Virenscanner ClamAV beseitigt Sehschwäche – Heise online, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
27. ↑ Freier Virenscanner ClamAV in Version 0.96 verfügbar – Heise online, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
28. ↑ Neuer PDF-Parser für ClamAV-Antiviren-Scanner – Admin-Magazin, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
29. ↑ ClamAV für Windows – CHIP online, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
30. ↑ ClamAV 0.97 has been released! (englisch) – ClamAV Blog, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
31. ↑ ClamAV 0.98 has been released! (englisch) – ClamAV, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an. (abgerufen am: Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.)
32. ↑ ClamAV-Virenscanner unterstützt YARA – Admin-Magazin, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
33. ↑ Auf der Pirsch! Antivirenlösungen auf dem Prüfstand – c’t 01/2008, am Vorlage:Datum – die Form mit drei unbenannten Parametern oder anderen einzelnen Zeiteinheiten ist veraltet und wird nicht mehr unterstützt. Bitte gib das Datum einfach im Klartext an.
34. ↑ Anti-virus comparison test of current anti-malware products, Q1/2008 (Memento vom 15. Juli 2011 im Internet Archive) (englisch), Testergebnisse von AV-Test
35. ↑ Untangle Fight Club (englisch) – Ergebnisse des FightClub auf der LinuxWorld 2007