Clam AntiVirus 0.84 вышел

Поддержка RAR 3.x от McMCC?

Видимо под-под-версия... Или версиями сегодня принято называть сборки? Тогда ты не поверишь - у меня 42467 версия каталиста :)

Кто-то проверил, всё же rar3.x поддерживается? (по changelog'у похоже, что нет изменений в этом плане)

ну и где ж там про rar? специально дернул пакеты из unstable и поставил, фигу, ни в changelog не написано, ни на практике не работает. так, в общем-то обычный рабочий релиз.

похоже он не матрится на неправильный rar архив, а просто не вкуривает такой архив как архив.

Если почитать анонс то там написано что требуются люди для добавления к следующей версии поддержки rar3, а не уже добавлена ;)

Clamav? Это тот самый антивирус, который не умеет лечить файлы от вирусов? Да-да, есть такой :)

P.S. Он один такой (с) Тинькофф :-)

>Clamav? Это тот самый антивирус, который не умеет лечить файлы от вирусов? Да-да, есть такой :)

ИМХО, сейчас это не очень большая необходимость.

> не умеет лечить файлы от вирусов?

А это всё ещё кому-то нужно???

//А это всё ещё кому-то нужно???

Очень умным товарищам нужно ;) Что-бы умничать тут, очки поправляя и морща носик, важничая ;о)))

> ИМХО, сейчас это не очень большая необходимость.

Стандартная отговорка тех, кто что-то не может/не хочет реализовать. Банально. Надоело. Новые отмазки есть?

P.S. А полиморфики даже и детектить не может... Результат детектирования 100 сэмплов инфицированных полиморфиком (например распротраненный интернет-червь Magistr) практически равен генератору случайных чисел (детектим/не детектим). Мда... Диагноз неутешительный.

> Стандартная отговорка тех, кто что-то не может/не хочет реализовать. Банально. Надоело. Новые отмазки есть?

почтовым серверам эта фича всё так же не требуется.
ещё аргументы нужны?

> почтовым серверам эта фича всё так же не требуется.

Чушь неимоверная. Вместо того, чтобы выкусить вирусный макрос из аттача, давайте теперь на почтовых серверах рубить бухгалтерские отчеты/ коммерческие предложения целиком!!! Нда... А админы кламава подстать самому антивирусу... Где ж вас таких находят-то?

Ха-ха-ха.. ты считаешь решением проблеммы "выкусывание вирусных макросов" из атача? по моему мнению, куда более логично отослать письмо и "рецепиенту" и отправителю с вложением пришедшего письма и "варнингом" о наличии в нем вируса. мера куда более эффективная, если она конечно касается именно деловой кореспонденции..

А чё? У вас в моде прикладывать к бух.отчету макровирусы? А комерческие предложения буз сюрпризов тоже не интересны?

Лично мое такое мнение: Если вирус обнаружен - он должен быть убит на месте. Лечить не надо. Надо лечить тех, кто их распространяет. Если в бухгалтерии вирусы - значит лечить надо бухгалтерию, причем БЕГОМ! А если вам прислали комерческое предложение с вирусом - значит такое предложение яйца выеденного не стоит. Почему? Потому что его создателю наплевать на свою и чужую безопасность. Какой же из него комерческий партнер?

вполне прагматичный подход. вирусов быть не должно.

а для тех кто не умеет пользоваться компьютером существуют факс, телефон, курьерская служба, самолёты в конце концов -- никаких препятствий к обмену "коммерческими предложениями" нет.

Обсалютно верно, антивирусный почтовый фильтр, никак не решит проблеммы локальных файловых системм.

> P.S. А полиморфики даже и детектить не может...

кстати сказать, у тебя есть какие-нибудь идеи насчет того как это должно быть сделано, чтоб работало? задача-то интересная

Народ, подскажите метод подключения этого чуда к постфиксу без монстроидального амависа? Ну не хочу я отдавать такую гору памяти софтине, большого смысла в которой для меня лично нет.

Заранее благодарен за советы.

А под виндами работает?

> давайте теперь на почтовых серверах рубить бухгалтерские отчеты/ коммерческие предложения целиком!!!

Ну-ну, а если этот вирь рандомно подпортил пару полей в этом отчете?

Для таких задач лучший способ это карантин или удаление.

Лечить должен уметь клиентский антивирус, к коим clamav я не причисляю.

>А под виндами работает?

работает

А где можно подчерпнуть что такое 'Oversized.RAR FOUND'

полагаю что в исходниках

>А где можно подчерпнуть что такое 'Oversized.RAR FOUND'

Мне кажется, это значит, в RAR запихнут огромный файл. Я так пробовал делать - файл в несколько сот гигабайт (из /dev/zero) запихивать в архив, занимает несколько килобайт, старые антивирусы пытались этот файл при проверке распаковать, ну и понятно что дальше.

>А где можно подчерпнуть что такое 'Oversized.RAR FOUND'

Из документации:

I get many false positives of Oversized.zip

Whenever a file exceeds ArchiveMaxCompressionRatio (see clamd.conf man page), it's considered a logic bomb and marked as Oversized.zip . Try increasing your ArchiveMaxCompressionRatio setting.

Надо полагать oversized.rar аналогичный случай

К постфиксу леххко и изящно clamd цепляется через clamsmtpd без всяких амависов. http://memberwebs.com/nielsen/software/clamsmtp/

2 K48, walrus:

По ходу так и есть. Прикол в том, что у них проверяется только степень сжатия, а не размер того, что на выходе. Какая же это бомба - размером в 6 Мегов в распакованном виде...

> кстати сказать, у тебя есть какие-нибудь идеи насчет того как это

> должно быть сделано, чтоб работало?

Так, как это сделали Данилов и Касперский с Богдановым. Эмулятор процессора. Dr.Web детектирует 99.999999% полиморфиков, каспер процентов 95. И то и другое - приемлемо.

> А чё? У вас в моде прикладывать к бух.отчету макровирусы? А

> комерческие предложения буз сюрпризов тоже не интересны?

Была масса случаев, когда к нам приходили документы с макриками. И Dr.Web их благополучно выкусывал, сохраняя целостность документов. Все просто счастливы. Или я должен ВСЕМ сотрудникам всех фирм, которые нам файлы присылают, руки вправлять? Нет уж, я оставляю это прироготиву тем, кто кламав юзает :)

> А под виндами работает?

А смысл?

Кстати, полиморфики они никогда детектировать не будут скорее всего, ибо тут схема опенсорса не работает. когда любая проблема решается нахрапом огромным количеством разработчиков со всего мира. Девять женщин не смогут родить одного ребенка за месяц. Опенсоурс тут не работает. Тут мозги нужны. Опыт.

Все четко - на почтовик Clamav/ На рабочкки SAV/ Работает 3 год без сбоев. А ля постфикс.

Те, кто использует postfix без amavisd, теряют, как минимум:

- возможность распаковки всех архивов, включая и rar - железобетонную безопасность postfix, из-за того, что подключаются непроверенные фильтры (вспомните историю с грейлист-демоном)

Не амавис - "монстр", а SpamAssassin с его правилами и регексами - сравните тайминги Amavisd+Clamav с выключенным и включенным SA. Если не хватает памяти для амависа на почтовом сервере - может тогда лучше гугловой почтой пользоваться?

Кто-то предлагал вправлять кому-то руки? Нет. Надо просто не иметь дел с теми, кто вирусы присылает. Иметь вирус на компе уже давным давно не модно.

> Надо просто не иметь дел с теми, кто вирусы присылает.

А ещё надо не болеть болезнями, писать программы без багов, и делать только хорошие дела и бороться за мир во всем мире и за коммунизм! Ура, товарищи!!!

> А ещё надо не болеть болезнями, писать программы без багов, и делать > только хорошие дела и бороться за мир во всем мире и за коммунизм! Ура, > товарищи!!!

Ага - да здравствует Чума!!! Надо тем кто ее уничтожил - руки поотрывать - ее надо было не уничтожать а лечить по кусочкам! А заодно долой стерильность в операционных! долой профилактику! Антибиотики спасут мир! Все на иглу!

===

kiwirus

I-Worm, не юродствуй. В нормальных фирмах, где держат нормального сисадмина (и за нормальные деньги) вирей не водится.

> В нормальных фирмах, где держат нормального сисадмина (и за

> нормальные деньги) вирей не водится.

Совершенно верно. Ни вирей ни клямава там не водится и водиться не может впринципе.

> Ага - да здравствует Чума!!! Надо тем кто ее уничтожил - руки > поотрывать - ее надо было не уничтожать а лечить по кусочкам!

Т.е. больных, к примеру, гриппом или туберкулезом предлагается не лечить, а сразу пристреливать и сжигать? Я и вправду начинаю думать, что админы, юзающие кламав не обезображены интеллектом...

Больных гриппом и туберкулезом обычно изолируют от общества, и уж во
вторую очередь лечат. А ещё есть онкологические больные. Они не лечатся.
Это про тебя.

> Т.е. больных, к примеру, гриппом или туберкулезом предлагается не лечить, а сразу пристреливать и сжигать?

больных атипичной пневмонией из китая предлагается заворачивать на границе, и это правильно.

по твоему же сценарию им следует высморкать сопельки и пустить в Хабаровск по их коммерческим делам.

> Я и вправду начинаю думать, что админы, юзающие кламав не обезображены интеллектом...

больной начинает думать -- хороший признак.

тебе уже указали на то, что информации из "вылеченных" файлов доверять нельзя, поскольку никто не гарантирует что вирус не изменил данных в файле (а многие макровирусы этим балуются)

тем более если это бухгалтерские или прочие коммерческие данные.

всё что можно сделать в этом случае -- принять во внимание сам факт получения файла и запросить у отправителя подтверждение.

Ты не можешь гарантировать верность документа, зараженного вирусом и
"вылеченного" антивирусом. Соответственно, всё, что ты тут рассказываешь
- детский лепет и пионерская бравада.

> А ещё надо не болеть болезнями,

согласен. поддержание собственного здоровья -- обязанность всякого сознательного человека перед обществом и перед самим собой.

> писать программы без багов,

однозначно. по крайней мере не использовать технологии гарантированно приводящие к известным багам при достаточно большом объёме кода

> бороться за мир во всем мире

поддерживаю

> и за коммунизм! Ура, товарищи!!!

> Они не лечатся. Это про тебя.

О, аргументы кончились и клиент начинает нервничать. Приятно :-)

> больных атипичной пневмонией из китая предлагается > заворачивать на границе, и это правильно.

Хм. Ну раз начали говорить о неизлечимых болезнях. Хотите поговорить об этом? Ну давайте. Вот к примеру троянцы. Они не лечатся в принципе. И таки да, их надо удалять немедленно. Но недоадмины, юзающие клямав (единственный антивирус который не умеет лечить) ещё и на виндах даже не представляют себе, что лечить можно не только файлы но и операционнцю систему! Вот к примеру такой неизлечимый вирус, который только удалять - HLLM.SirCam, который громогласно прошелся по миру. Да, его можно и нужно удалять. Но что будет, если его клямав просто удалит? Моментально получится полностью неработоспособная операционная система, вернуть к жизни которую сможет только продвинутый виндузятник да и то не сразу поймет, что же случилось. И всё только потому, что клямав не понимает, что не все йогурты одинакого полезны и не все подряд файлы можно удалять. После некоторых вирусов надо корректно восстанавливать реестр, иначе можно сделать хуже чем было! В общем до тех пор, пока не научатся лечить, пока не научатся детектировать полиморфики, до тех пор, пока не появится эвристик - в жопу эту поделку (т.е. к пионерам-недоадминам, таким как ты:-) ). P.S. 95% новых ещё неизвестных миру макровирусов drweb берет эвристиком а каспер оффисгвардом. И даже обновление баз не требуется. Хотя клямав - это ж опенсорс. Что взять с убогого...

> Ты не можешь гарантировать верность документа, зараженного вирусом и > "вылеченного" антивирусом. Соответственно, всё, что ты тут > рассказываешь > - детский лепет и пионерская бравада.

Нет, это то что ты рассказываешь - это поиск сферического коня в вакууме. документы лечатся и лечатся корректно в 99.9999999% случаев. Много ума не требуется для того, чтобы выкусить макрос. Но даже этого "немного" видимо в недостатке у клямавовцев.

>Хм. Ну раз начали говорить о неизлечимых болезнях

> После некоторых вирусов надо корректно восстанавливать реестр

кажется мы начинали разговор о политике антивирусов по потношению к заражённым файлам в почте. при чём тут реестр?

> Хотя клямав - это ж опенсорс. Что взять с убогого...

мне интересно, чем тебе так досадил опенсорс, что ты втыкаешь презрительные комментарии в его сторону к месту и не к месту?

(лично у меня эти выпады ни раздражения, ни чувства уязвленного достоинства не вызывают)