Schutzprogramme, Verschlüsselung & Datensicherheit

ClamAV – Virenscanner spricht YARA

In der neuesten Version beherrscht die ClamAV-Software die Malware-Beschreibungssprache YARA informierte admin-magazin.de. Ab sofort ist Version 0.99 des Malware-Scanners ClamAV verfügbar. Sie bringt eine ganze Reihe von Neuerungen mit sich, etwa einen neuen On-Access-Scanner für Linux, der Dateien und Verzeichnisse untersucht, wenn ein Anwender darauf zugreift. 

Im Gegensatz zu einer älteren Version des On-Access-Scanners kann die neue beispielsweise auch rekursiv Unterverzeichnisse im Blick behalten. Findet das Modul einen Virus, verweigert es den Zugriff auf die Datei. Dabei soll das File-Monitoring-System auch relativ effizient arbeiten. So verarbeitete ClamAV im Test in einer virtuellen Maschine die Status-Updates von etwa 18.000 Verzeichnissen pro Sekunde. Mehr Details sind dem Blog-Eintrag zum On-Access-Scanning zu entnehmen.

Neu im aktuellen ClamAV-Release ist der Support für Malware-Beschreibungen im YARA-Format. Darin lassen sich Muster von Malware im Txt- oder Binärformat beschreiben. Für komplexere Regeln unterstützt YARA auch Wildcards, Regular Expressions und logische Operatoren. Zahlreiche Hersteller von Security-Produkten wie Blue Coat, Symantec und Trend Micro unterstützen YARA. ClamAV verarbeitete YARA-Definitionen, wenn der Administrator sie der ClamAV-Datenbank hinzufügt. Einige Einschränkungen, die es bei der Nutzung von YARA mit ClamAV gibt, dokumentiert der entsprechende Blog-Beitrag. Der Sourcecode von ClamAV 0.99 ist auf http://www.clamav.net/downloads zu finden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben