ClamAV
ClamAV (Clam AntiVirus) ist ein unter der GNU General Public License stehendes Virenschutzprogramm – also eine Anwendung gegen Schädlinge wie etwa Viren – mit einem Phishing-Filter, welcher häufig auf E-Mail-Servern zur Ausfilterung sogenannter Computerwürmer und Phishing-E-Mails zum Einsatz kommt. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Anwendungen eingebunden werden kann, einen im Hintergrund laufenden Dienst (Daemon) und eine Befehlszeilen-Anwendung.
ClamAV | |
---|---|
ClamAV mit der Oberfläche ClamTk auf Xubuntu 10.04 | |
Basisdaten | |
Entwickler | Cisco-Talos (ab 2013; davor Sourcefire) |
Erscheinungsjahr | 2001 |
Aktuelle Version | 1.3.0[1] (7. Februar 2024) |
Betriebssystem | plattformübergreifend (Unixähnliche, wie Linux und macOS, sowie Windows und Ähnliche, wie etwa OS/2) |
Programmiersprache | C++[2], C[2] |
Kategorie | Virenschutzprogramm |
Lizenz | GNU General Public License, Version 2[3][4] |
deutschsprachig | ja |
www.clamav.net |
Unter Linux greift ClamAV auf fanotify zurück, um den Zugriff auf das Dateisystem über den Virenscanner umzuleiten, und kann daher als Echtzeitscanner verwendet werden; unter Windows sind für den Einsatz als Echtzeitscanner Zusatztools notwendig.
Technische Einzelheiten
ClamAV besteht aus mehreren einzelnen Anwendungen. Die wichtigsten sind:
- Der auf der Befehlszeile arbeitende Virenscanner clamscan,
- Der wahlweise nutzbare Daemon clamd. Er lädt die Virensignaturen nur einmal beim Systemstart in den Arbeitsspeicher und nicht wie clamscan bei jedem Aufruf.
- Das vergleichsweise schlanke Frontendprogramm clamdscan übergibt die zu prüfenden Dateien an clamd und wertet dessen Resultate aus.
- freshclam verwaltet die vorhandenen Virensignaturen. Es kann auch Aktualisierungen der Virensignaturen von einem Server von Sourcefire VRT herunterladen.
Für die Einbindung in Mail Transfer Agents existieren weitere Anwendungen wie clamav-milter, amavis, simscan oder qmail-scanner.
Da ClamAV freie Software ist,[5] fand es schnell Einzug in unterschiedliche Linux-Distributionen und wurde auch auf andere Betriebssysteme portiert. Zudem wurden eine Reihe von grafischen Oberflächen entwickelt.
Beispiel-Sitzung
Bei einer ClamAV-Sitzung wird das Programm clamscan aufgerufen, um das aktuelle Verzeichnis zu durchsuchen. Das folgende Beispiel durchsucht drei Dateien. Die erste Datei wird als Phishing-E-Mail erkannt, die zweite als Virus-E-Mail. Die dritte Datei wird als sauber erkannt:
foo@bar:~$ clamscan /home/foo/Phishing-E-Mail: HTML.Phishing.Bank-159 FOUND /home/foo/Virus-E-Mail: Adware.Casino-1 FOUND /home/foo/saubere-Datei: OK
----------- SCAN SUMMARY ----------- Known viruses: 42498 Engine version: 0.88 Scanned directories: 1 Scanned files: 3 Infected files: 2 Data scanned: 0.99 MB Time: 1.765 sec (0 m 1 s)
Derivate und grafische Benutzeroberflächen
ClamWin für Windows
ClamWin[6] ist ein unter der GPL stehender Virenscanner für Windows, der von Alex Cherney entwickelt wird und auf ClamAV basiert. Die Portierung des ursprünglichen ClamAV-Quellcodes auf die Windows-Plattform erfolgt ab der Version 0.88.1 und ist nicht mehr von einer Unix-Laufzeitumgebung wie Cygwin abhängig. ClamWin ist in einem Paket als Windows-Installer verfügbar und seit dem 18. April 2006 alternativ ohne Installation als Portable Software nutzbar, welche beispielsweise von einem USB-Stick ausgeführt werden kann.[7]
Zudem gibt es für den Open-Source-Webbrowser Mozilla Firefox die Erweiterungen ClamWin Antivirus Glue for Firefox (mit Unterstützung bis zur Firefox-Version 1.5.0.x) und Fireclam[8] (ab Firefox-Version 3.0), mit der selbstständig alle heruntergeladenen Dateien durch ClamWin überprüft werden können.
In der Anwendung enthalten sind:
- zeitgeplante Scans
- automatische Aktualisierung der Virensignaturen
- Einbindung in das Kontextmenü des Windows-Explorers
- Einbindung in Microsoft Outlook
- POP3-Virenscan
- Alarm, falls ein Virus gefunden wurde
Geplant:
- Echtzeitüberwachung (Echtzeitscanner, englisch on-access scanner)
Clam Sentinel
Clam Sentinel[9] ist ein Echtzeit-Scanner und setzt auf ClamWin auf.[10] Er läuft unter Windows 98/98 SE/ME/XP/Vista/7/8 und nistet sich als Anwendung im Infobereich der Taskleiste ein. Es erkennt Veränderungen am Dateisystem und prüft diese durch ein im Hintergrund mitlaufendes ClamWin. Auch werden angeschlossene Laufwerke, z. B. USB-Sticks, von Clam Sentinel überwacht. An Funktionen bietet es:
- Erweitert ClamWin mit einem Echtzeitschutz
- Integriertes System zum Erkennen von Angriffen (Intrusion detection)
- Heuristischer Schutz
- Schutz für USB-Sticks und austauschbare Datenträger
- Verwendet das Quarantäneverzeichnis von ClamWin
- Prüft in Echtzeit Logdateien, Laufwerke, Arbeitsspeicher und Nachrichten
- Voreinstellungen sind für die meisten Computer bereits eingerichtet
- Einfache Konfiguration über das Symbol im Informationsbereich (System Tray)
- Unterstützt Betriebssysteme ab Win98 und neuer
- Verfügbar in Englisch, Italienisch, Deutsch und Französisch
- Mehrbenutzerfähig
ClamAV für Windows
Des Weiteren gibt es verschiedene Portierungen von ClamAV für Windows, welche wie die Linux-Variante über die Netzwerkschnittstelle (über Port 3310) ansprechbar sind – sowohl unmittelbar ausführbare Varianten als auch solche, die die Hilfe von Cygwin benötigen.
Unmittelbar ausführbare Varianten:
- ClamAV Antivirus Native Win32 Port[11] – bildet die Grundlage für ClamWin
- ClamAV for Windows, jetzt Immunet Antivirus[12] – die Basis war der ursprüngliche Quellcode von ClamAV
Portierung auf Cygwin (für Windows):
- ClamAV/SOSDG[13]
KDE-Oberfläche KlamAV
KlamAV ist ein unter der GPL stehendes KDE-Frontend für ClamAV, das von Robert Hogan entwickelt wird.
In der Anwendung enthalten sind:
- Zeitgeplante Prüfungen
- Automatische Aktualisierung der Virensignaturen
- Plug-in für KMail und Novell Evolution
- POP3-Virenscan
ClamXav für Mac OS X
Mit ClamXav existiert auch für das Betriebssystem macOS eine grafische Benutzeroberfläche, die ClamAV als Basis nutzt und ständig weiter entwickelt wird. Allerdings handelt es sich hierbei ab der Version 2.8 um ein kommerzielles Produkt.
ClamAV-GUI für OS/2
Auch für das Betriebssystem OS/2 und sein Derivat eComStation existiert eine grafische Benutzeroberfläche,[14] die ClamAV als Basis nutzt und weiter entwickelt wird.
ClamMail für Windows
ClamMail ist ein E-Mail-Proxy auf Basis von ClamAV. Bevor die Post in den E-Mail-Client kommt, läuft sie durch den Virenscanner. Im Programm enthalten ist eine automatische Aktualisierungs-Funktion.
Geschichte
ClamAV existiert seit Mai 2002.[15]
Im Juli 2003 zog ClamAV auf SourceForge um.[16] Im Oktober 2003 folgte Round Robin der Spiegelserver seiner Datenbank per Resource Record, im Januar 2004 eine sprunghafte Vergrößerung der Datenbank, und im Februar 2004 ein von Debian inspiriertes Verfahren zur schnellen Aktualisierung aller Spiegelserver.[17][18][19]
Im August 2007 verkauften die hauptsächlichen Entwickler von ClamAV das Projekt an Sourcefire.[20]
Im Juli 2013 wurde Sourcefire und damit auch ClamAV von Cisco gekauft.[21][22]
Versionsgeschichte
Version | veröffentlicht am[23] | Anmerkungen und wichtigste Änderungen | |||
---|---|---|---|---|---|
0.60 | 29. Juli 2003[24] | Unterstützung bis 1. September 2004. | |||
0.65 | 12. November 2003[24] | Komprimierte und digital signierte Datenbank.[24] | |||
0.70 | 15. März 2004[25] | Robusterer Daemon und auf VBA-Makros für MS Office erweitert.[25] Es folgten 6 weitere Versionen der 0.7er-Reihe von 0.71 bis 0.75.1 am 30. Juli 2004. | |||
0.80 | 17. Oktober 2004 | Es folgten 19 weitere Versionen in der 0.80er-Reihe (nach 0.80 von 0.81 bis 0.88.7) Letzte Version: 0.88.7 am 11. Dezember 2006 | |||
0.90 | 13. Februar 2007 | Es folgten 14 weitere Versionen in der 0.90er-Reihe bis zum Ende der 0.94er-Reihe (nach 0.90 von 0.90.1 bis 0.94.2) Letzte Version: 0.94.2 am 26. November 2008 | |||
0.95 | 23. März 2009 | Neu: Unterstützung für Windows-Systeme;[26] es folgten 3 weitere Versionen in der 0.95er-Reihe (nach 0.95 von 0.95.1 bis 0.95.3) mit Sicherheits- und Stabilitätsaktualisierungen[27][28] Letzte Version: 0.95.3 am 28. Oktober 2009 | |||
0.96 | 31. März 2010 | Neu: Heuristik zur Windows-Malware-Erkennung; Unterstützung der Dateiformate für 7-Zip, InstallShield, cpio und weitere;[29] neu in Version 0.96.2: neuer Parser für PDF-Dateien, sowie Optimierung der Ausführungsgeschwindigkeit und des Speicherverbrauches;[30] gemeinschaftlich-basierte Nachweisverfahren (mit Cloud Computing und Unterstützung der Internetgemeinschaft); es folgten fünf Versionen in der 0.96er-Reihe (nach 0.96 von 0.96.1 bis 0.96.5),[31] unter anderem mit Sicherheits- und Stabilitätsaktualisierungen Letzte Version: 0.96.5 am 30. November 2010 | |||
0.97 | 7. Februar 2011 | Neu: Unterstützung von Windows, Unterstützung von Signaturen, die auf SHA1 und SHA256 basieren, verbesserte Fehlererkennung, Geschwindigkeits- und Speicheroptimierungen[32] Es folgten vier Versionen in der 0.97er-Reihe (nach 0.97 von 0.97.1 bis 0.97.6) | |||
0.98 | 19. September 2013 | neben der Unterstützung weiterer Dateiformate (wie ISO-9660-Abbilder und selbst entpackende 7z-Archive) wurde unter anderem für Echtzeitüberwachung das Modul Clamuko/Dazuko durch fanotify ersetzt;[33] Letzte Version: 0.98.7 am 28. April 2015 | |||
0.99 | 1. Dezember 2015 | u. a. Erweiterung mit der Malware-Beschreibungssprache YARA, zudem eine neue Echtzeitüberwachung für Linux[34] Letzte Version: 0.99.4 am 1. März 2018 | |||
0.100 | 9. April 2018 | Unterstützung von OpenSSL, hingegen keine Unterstützung mehr für Windows XP (und Vista)[35] Letzte Version: 0.100.3 am 26. März 2019[36] | |||
0.101 | 3. Dezember 2018 | es werden nun u. a. auch sogenannte Rar-Archive in der Version 5 unterstützt[37] Letzte Version: 0.101.5 am 20. November 2019[38] | |||
0.102 | 2. Oktober 2019 | u. a. mit Verbesserungen beim Prüfen ausführbarer Dateien im PE-Format[39][38] Letzte Version: 0.102.4 am 16. Juli 2020[40] | |||
0.103 | 14. September 2020 | u. a. können Datenbanken nun auch während des Scannens geladen werden[41]
Am 3. September 2021 zum LTS-Zweig erklärt mit Unterstützung bis September 2023.[42] | |||
0.104 | 3. September 2021 | Letzte Version: 0.104.4 am 26. Juli 2022[44][45] | |||
0.105 | 3. Mai 2022 | Letzte Version: 0.105.2 am 15. Februar 2023[45] | |||
1.0 | 28. November 2022 | Wurde als LTS-Version mit Unterstützung bis zum 28. November 2025 herausgegeben.[46] Aktuell: 1.0.4 vom 25. Oktober 2023[43] | |||
1.1 | 1. Mai 2023[47] | Aktuell: 1.1.3 vom 25. Oktober 2023[43] | |||
1.2 | 28. August 2023 | Aktuell: 1.2.1 vom 25. Oktober 2023[43][48] | |||
1.3 | 7. Februar 2024 | Aktuell: 1.3 vom 7. Februar 2024 | |||
Ältere Version; nicht mehr unterstützt Ältere Version; noch unterstützt Aktuelle Version |
Erweiterbarkeit
Das unter Linux optional zu installierende Open-Source-Projekt clamav-unofficial-sigs soll dazu dienen, eine große Menge an weiteren Virendefinitionen einzubinden und die Erkennungsrate von ClamAV zu steigern.[49][50]
ClamAV selbst ist (unter Windows) kein Echtzeit-Scanner, kann aber zusammen mit Programmen wie ClamFS, Spyware Terminator, Clam Sentinel oder Winpooch als Echtzeit-Scanner genutzt werden.
Siehe auch
- Desinfec’t (ehemals Knoppicillin genannt)
Literatur
- Ralf Spenneberg: 20 Jahre ClamAV: Open-Source-Malware-Detektion. In: iX – Magazin für professionelle Informationstechnik. Nr. 3, 22. Februar 2023, S. 58 (heise.de).
Weblinks
- Clam AntiVirus – Offizielle Webseite (englisch)
- User Manual (englisch; PDF, 252 kB)
Einzelnachweise
- Micah Snyder: ClamAV 1.3.0 feature release and 1.2.2, 1.0.5 security patch release!. 7. Februar 2024 (abgerufen am 8. Februar 2024).
- www.openhub.net.
- sourceforge.net. In: SourceForge. (abgerufen am 22. Dezember 2016).
- directory.fsf.org. In: Free Software Directory. (abgerufen am 22. Dezember 2016).
- About. ClamAV, abgerufen am 13. Dezember 2014 (englisch).
- ClamWin – Free Antivirus. ClamWin, abgerufen am 19. Juni 2014.
- ClamWin Portable Support (englisch) – Seite mit Entwicklungsgeschichte bei PortableApps.com; Stand: 28. Juni 2013.
- Fireclam (Seite nicht mehr abrufbar, festgestellt im Dezember 2023. Suche in Webarchiven) Info: Der Link wurde automatisch als defekt markiert. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis. – Eintrag bei Firefox Add-ons (abgerufen am 13. Oktober 2009)
- Clam Sentinel – Free Realtime Antivirus. Clam Sentinel, abgerufen am 1. September 2014.
- Clam Sentinel – Making ClamWin Be Used In Real-Time. Cyber Pillar, abgerufen am 1. September 2014 (englisch).
- ClamAV Native Win32 Port. Gianluigi Tiesi, abgerufen am 8. April 2009 (englisch).
- ClamAV – Windows Antivirus (englisch) – Informationen zu Immunet AntiVirus auf der Seite von Clam AntiVirus, am 24. November 2016.
- ClamAV/SOSDG (englisch) – Summit Open Source Development Group, am 25. März 2009 (letzte Sicherung im Internet Archive, am 6. Januar 2014)
- ClamAV-GUI for eCS (englisch und französisch)
- Alan Shimel: ClamAV Founders Moving On From Sourcefire. In: Network World. International Data Group, 20. Juni 2012, abgerufen am 15. Dezember 2015.
- New home for ClamAV. In: SourceForge. 29. Juli 2003, abgerufen am 15. Dezember 2015.
- database distribution. In: SourceForge. 30. Oktober 2003, abgerufen am 15. Dezember 2015.
- huge database update. In: SourceForge. 8. Januar 2004, abgerufen am 15. Dezember 2015.
- New mirroring system. In: SourceForge. 18. Februar 2004, abgerufen am 15. Dezember 2015.
- Dirk Martin Knop: Sourcefire kauft ClamAV-Projekt. In: Heise. 17. August 2007, abgerufen am 15. Dezember 2015.
- Sourcefire: Cisco kauft Anbieter von Intrusion Detection System Snort – Golem, am 24. Juli 2013.
- Cisco kauft Sourcefire – Admin-Magazin, am 25. Juli 2013.
- Browse /clamav (englisch) – Versionsliste bei SourceForge; Stand: 26. Juli 2011.
- Important notice for people using ClamAV 0.60. In: SourceForge. 15. August 2004, abgerufen am 15. Dezember 2015.
- 0.70 release: new clamd and VBA macros decoding. In: SourceForge. 15. März 2004, abgerufen am 15. Dezember 2015.
- ClamAV: Download – ClamAV: Sichern sie Ihr UNIX Netzwerk – Netzwelt, am 31. Januar 2011.
- Sicherheits-Update für Open-Source-Virenscanner – Heise, am 11. April 2009.
- Update für freien Virenscanner ClamAV beseitigt Sehschwäche – Heise, am 17. Juni 2009.
- Freier Virenscanner ClamAV in Version 0.96 verfügbar – Heise, am 8. April 2010.
- Neuer PDF-Parser für ClamAV-Antiviren-Scanner – Admin-Magazin, am 13. August 2010.
- ClamAV für Windows 0.96.5 Download – Chip, am 19. Dezember 2010 (letzte Sicherung im Internet Archive, am 19. September 2013)
- ClamAV 0.97 has been released! (englisch) – ClamAV Blog, am 7. Februar 2011.
- ClamAV 0.98 has been released! (englisch) – ClamAV, am 19. September 2013 (letzte Sicherung im Internet Archive, am 13. Februar 2014)
- ClamAV-Virenscanner unterstützt YARA – Admin-Magazin, am 3. Dezember 2015.
- ClamAV 0.100.0 has been released! (englisch) – ClamAV Blog, am 9. April 2018.
- ClamAV 0.101.2 and 0.100.3 patches have been released! (englisch) – Blog-Eintrag, am 26. März 2019.
- ClamAV 0.101.0 has been released! (englisch) – ClamAV Blog, am 3. Dezember 2018.
- ClamAV 0.102.1 and 0.101.5 patches have been released! (englisch) – zugehöriger Blog-Eintrag, am 20. November 2019
- ClamAV 0.102.0 has been released (englisch) – zugehöriger Blog-Eintrag, am 2. Oktober 2019; u. a. auch mit ‚Additional improvements to Windows executable (PE file) parsing.‘ (teilweise lehnübersetzt also: „Zusätzliche Verbesserungen beim Parsen von ausführbaren Windows-Dateien (PE-Dateien).“)
- ClamAV 0.102.4 security patch released (englisch) – zugehöriger Blog-Eintrag, am 16. Juli 2020
- ClamAV 0.103.0 has been released. In: ClamAV Blog. 14. September 2020, abgerufen am 3. September 2021 (englisch).
- Changes to ClamAV end-of-life policy and a new Long Term Support policy. In: ClamAV Blog. 3. September 2021, abgerufen am 3. September 2021 (englisch).
- ClamAV 1.2.1, 1.1.3, 1.0.4, 0.103.11 patch versions published. In: ClamAV-Blog. 25. Oktober 2023, abgerufen am 28. Oktober 2023 (amerikanisches Englisch).
- ClamAV 0.103.7, 0.104.4 and 0.105.1 patch versions published. In: ClamAV-Blog. 25. Juli 2022, abgerufen am 21. September 2023 (amerikanisches Englisch).
- ClamAV 0.103.8, 0.105.2 and 1.0.1 patch versions published. In: ClamAV-Blog. 15. Februar 2023, abgerufen am 21. September 2023 (amerikanisches Englisch).
- End of Life (EOL) Policy. Version Support Matrix. In: ClamAV-Dokumentation (ClamAV Documentation). Abgerufen am 21. September 2023 (amerikanisches Englisch).
- ClamAV 1.1.0 released. In: ClamAV-Blog. 1. Mai 2023, abgerufen am 21. September 2023 (amerikanisches Englisch).
- ClamAV 1.2.0 feature version and 1.1.1, 1.0.2, 0.103.10 patch versions published. In: ClamAV-Blog. 28. August 2023, abgerufen am 21. September 2023 (amerikanisches Englisch).
- clamav-unofficial-sigs auf Github
- Umfangreichere Virensignatur von Clamav mit clamav-unofficial-sigs abgerufen am 10. Februar 2020.