ClamAV Erkennungsrate verbessern

In Zeiten von Ransomware und Co. halte ich es für sinnvoll, dass E-Mails bereits serverseitig auf Viren geprüft werden. Klar, eigentlich sollte man meinen, dass heutzutage niemand mehr solche Anhänge öffnet. Das prominenteste Beispiel Locky hat uns das Gegenteil bewiesen. Über 5000 Infektionen pro Stunde, alleine in Deutschland, sind eine Hausnummer. Deswegen habe ich mir Gedanken gemacht, wie die ClamAV Erkennungsrate verbessert werden kann.

Zusätzliche Signaturen

Die offiziellen Signaturen von ClamAV sind meiner Meinung nach nicht die besten. Auch Wochen nach bekanntwerden von Locky, erkannte ClamAV in meinem Test diesen Virus nicht. Fast wollte ich ClamAV wieder deinstallieren, dann jedoch habe ich nach zusätzlichen Signaturen gesucht. Das Ergebnis kann sich absolut sehen lassen. In meinem Test wurden alle Viren, die vorher durchflutschten, zuverlässig erkannt. Bisher gabs kein False-Positive, aber auch kein False-Negative.

Der große Nachteil an der Sache ist, dass ClamAV mit zusätzlichen Signaturen ein echter Speicherfresser ist. Bei mir verbraucht ClamAV knapp 800MB RAM.

Am einfachsten gelingt die Installation zusätzlicher Signaturen mit dem ClamAV Unofficial Signatures Updater, der auf Github von “extremeshok” weiter entwickelt wird. Die Installation ist dort super beschrieben und in wenigen Minuten erledigt. In der Konfiguration kann man verschiedene Quellen angeben, von welchen die Signaturen bezogen werden. Einige davon funktionieren nur mit vorheriger Registrierung. Ich habe mich mal bei allen angemeldet.

Wenn ich die Installation allerdings nochmal machen würde, würde ich auf diesen Schritt verzichten und nur die Signaturen von SaneSecurity beziehen, welche ohne Anmeldung geladen werden können. Bisher wurden alle gefundene Viren anhand Signaturen von SaneSecurity erkannt. Dadurch kann man sicherlich auch eine Menge RAM sparen.

Von folgenden Quellen ladet das Tool automatisiert die Signaturen runter und hält sie aktuell:

Wie gesagt, die Installation ist auf der Github Page von extremeshok super beschrieben, deswegen verzichte ich an dieser Stelle auf ein HowTo.

PS: ich seh grad, extremeshok hat auch ein SpamAssassin Plugin geschrieben. Vielleicht teste ich das demnächst mal.

5 Comments on “ClamAV Erkennungsrate verbessern

  1. Pingback: Mit Postfix SPAM blockieren | SYN-FLUT.de

  2. Die beschriebene Einrichtung hat erfolgreich geklappt. Bin mal gespannt, wie die Erkennungsrate mit den zusätzlichen Pattern wird. Bisher hat lediglich der parallel in AMaViS laufende Sophos Scanner Viren rausgefischt. Ist auf jeden Fall einen Versuch wert, bevor ein weiterer (womöglich kommerzieller) Scanner eingebunden wird.

  3. Vielen Dank für den guten Tipp!
    Und nur so zur Info: Mit den offiziellen Signaturen belegt ClamAV bei mir 306 MB RAM. Wenn man die von SaneSecurity hinzufügt, sind es 352 MB. Jetzt bin ich gespannt, wie sich das auf die Erkennungsrate auswirkt …

    • Okay, gut zu wissen. Bei mir belegt er über 400 MB. Ich verwende aktuell Version 0.98.7, direkt aus dem Ubuntu Repository. Vielleicht gab es in neueren Versionen ein paar Verbesserungen hinsichtlich des Speicherbedarfs. Vielleicht aktualisiere ich mal und berichte.

      Viele Grüße
      Alex

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert