ClamAV

Программа для поиска и удаления вирусов

• Windows 10
• Windows 8.1
• Windows 8
• Windows 7
• Windows Vista
• Windows XP

Тип лицензии:
Freeware (бесплатное)

ClamAV — бесплатная программа для поиска, удаления и защиты от вирусов в режиме реального времени. Специализация антивируса — защита от вредоносного ПО, распространяющегося посредством электронной почты. Однако ClamAV имеет функции сканирования компьютера, запускающиеся вручную. Главная особенности ClamAV — отсутствие графического пользовательского интерфейса. Управление, настройка и обновление антивирусных баз осуществляется средствами Windows PowerShell путем набора пользователем специализированных команд.

Программа ClamAV подходит для запуска на компьютерах под управлением 32/64-бит Windows XP, Vista, 7, 8 и 10.

Зачем нужен антивирус ClamAV?

Основное предназначение ClamAV — защита компьютера от почтовых вирусов. Данный антивирус может быть встроен в любой почтовый клиент (The Bat, Outlook и т.д.), после чего все приходящие пользователю письма будут автоматически сканироваться ClamAV и изолироваться при обнаружении угроз. Кроме того, данное антивирусное средство применяется и для защиты почтовых серверов, работающих в среде Windows (как правило, серверных версиях).

Второе предназначение антивируса ClamAV — поиск вирусных программ на компьютере (жестких дисках и любых внешних накопителях). Однако функция сканирования ПК запускается вручную.

Функции ClamAV

Помимо сказано выше, в список возможностей и особенностей антивирусного средства ClamAV также относятся:

• Широкая база вирусных сигнатур, насчитывающая свыше 850 тыс. различных типов вирусов — троянцев, шпионов, червей, руткитов и т.д.
• Возможность обнаружения вредоносных программ, упакованных в архивы различных форматов, включая ZIP, Gzip, RAR, Bzip2, MS SZDD, MS CHM и другие.
• Анализ всех типов исполняемых файлов (Portable Executable) Microsoft Windows (EXE, DLL, SYS, DRV, EFI и т.д.), файлов, упакованных посредством UPX, FSG и Petite.
• Сканирование всех разновидностей файлов формата mbox и Maildir, использующихся для хранения электронной почты.

Как установить ClamAV на Windows?

Способ установки ClamAV зависит от используемой редакции антивируса. Их две — обычная (устанавливающаяся) и портативная. Обе версии упакованы в архив, доступный для скачивания с этой страницы.

Шаг 1 (установка/распаковка)

• При использовании устанавливающейся версии ClamAV — запустите установщик программы от имени администратора (правый клик по файлу — «Запуск от имени администратора») и выполните установку антивируса обычным способом.
• Откройте поисковую строку Windows и скопируйте в нее команду «Windows PowerShell». В результатах поиска отобразится значок приложения «Windows PowerShell», кликните по нему правой кнопкой мыши и выберите «Запуск от имени администратора».
• В открывшееся окно «Windows PowerShell» скопируйте команду: cd «c:\program files\clamav» (с кавычками) и нажмите клавишу «Enter». Переходите к следующему шагу — «Первоначальнаянастройка».
• При использовании портативной версии — распакуйте архив в любую папку и перейдите в нее. Кликните правой кнопкой мыши с зажатой клавишей «Shift» по пустой области открытой папки и выберите из контекстного меню пункт «Открыть окно PowerShell здесь» (ваша учетная запись Windows должна быть администраторской). Переходите к следующему шагу.

Шаг 2 (первоначальная настройка)

Скопируйте поочередно (нажимайте «Enter» после копирования) в «Windows PowerShell» две следующие команды (не закрывайте Windows PowerShell, он еще пригодится):

1. copy .\conf_examples\freshclam.conf.sample .\freshclam.conf
2. exe .\freshclam.conf

После ввода второй команды запустится текстовый редактор WordPad. В нем будет приведен текст. Найдите в нем слово «Example» и просто удалите его. После чего закройте документ и согласитесь на сохранение.

Шаг 3 (скачивание/обновление антивирусных баз)

Перед началом использования антивируса необходимо обновить его вирусные базы. Это рекомендуется делать время от времени. Здесь все просто — впишите в Windows PowerShell команду «.\freshclam.exe» и дождитесь окончания скачивания и последующей верификации баз вирусных сигнатур.

Портативную версию ClamAV уже после обновления баз можно будет скопировать на любой внешний носитель, после чего — запускать на любом компьютере прямо с него.

Пример запуска сканирования папки на вирусы в ручном режиме

Как и во всех предыдущих случаях, для запуска процедуры сканирования любых объектов на вирусы используется приложение Windows PowerShell. Для этого используется команда вида: + clamscan.exe + . Например, если программа установлена в папку по умолчанию «Program Files» на «Локальном диске С:», а нам необходимо выполнить сканирование съемного накопителя «E:», команда будет иметь следующий вид:

C:\»Program Files»\ClamAV\clamscan.exe —recursive E:\

Здесь параметр «—recursive» задает антивирусу команду на сканирование всего содержимого диска (флешки) «E:», т.е. сначала сканируются файлы в корневом каталоге, а затем все папки, включая вложенные.

Всю прочую информацию о настройке антивируса ClamAV (включая настройку автозапуска и работу в режиме защиты в реальном времени) можно найти на официальном сайте разработчиков.

Устанавливаем Clam Antivirus на Windows Server 2003

Странный выбор, но но это шлюз в интернет, на сервере установлен Kerio Control, в котором интеграция с Касперским не предусмотрена, а из предоставленных на выбор Clam — самый адекватный. Да, я знаю, что 2003 — это уже мохнатый динозавр, но что имеем. Для 2008 последовательнсть действий аналогична

1) Скачиваем сам Clam AV . Следует участь, что сейчас версия для windows у них отдана под новую разработку Immunet, что нас совершенно не устраивает, потому что Kerio его не видит.

2) Устанавливаем. Я не менял настроек и согласился с предложенными инсталлятором. По умолчанию все ложится в папку C:\Program Files\Sourcefire Inc\ClamAV

3) Заходим в папку и создаем директорию database, в которой будут лежать обновления.

4) Правим конфигурационные файлы. Образцы можно взять из директории conf_examples. Скопировать их в папку с антивирусом и отредактировать:

4.1) В файл clamd.conf внести следующие изменения:

• Закомментировать инструкцию Example
• PidFile «C:\Program Files\Sourcefire Inc\ClamAV\clamd.pid»
• LogFile «C:\Program Files\Sourcefire Inc\ClamAV\clamd.log»
• DatabaseDirectory «C:\Program Files\Sourcefire Inc\ClamAV\database»
• TCPSocket 3310
• TCPAddr 127.0.0.1

4.2) В freshclam.conf закомментировать инструкцию Example

5) Запускаем из командной строки freshclam.exe и загружаем обновления.

6) Теперь нужно сделать так, чтобы антивирус запускался в качестве службы. В Интернете много советов запустить clamd.exe —install, но это не работает в последних версиях антивируса. Теперь придется поплясать с бубном.

• Скачиваем с сайта Microsoft пакет «Windows Server 2003 Resource Kit Tools». Берем из него instsrv.exe и srvany.exe и копируем их в папку с антивирусом.
• Придумываем имя для службы. Пусть он у нас называется clamAV.
• Запускаем cmd, переходим в директорию C:\Program Files\Sourcefire Inc\ClamAV
• выполняем команду instsrv.exe clamAV «C:\Program Files\Sourcefire Inc\ClamAV\srvany.exe»
  (второй возможный вариант sc create clamAV binPath= «C:\Program Files\Sourcefire Inc\ClamAV\srvany.exe» (внимание, знак пробела после =)
  (возможно, потребуется Visual C++ 2005, на моей машине он был)
• Дописываем параметры запуска службы в реестр:
  — В разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesclamAV создать подраздел Paramaters
  — В нем создать строковый ключ Application со значением
  «C:\Program Files\Sourcefire Inc\ClamAV\clamd.exe» —config-file=»C:\Program Files\Sourcefire Inc\ClamAV\clamd.conf»

7) Запускаем антивирус sc start clamAV или net start clamAV

8) Служба Clamav запущена на порту 3310. Проверить состояние можно командой netstat -an |find «3310».
Правильный ответ должен быть TCP 0.0.0.0:3310 0.0.0.0:0 LISTENING

Запускаем планировщик заданий и добавляем задачу на обновление. Делаем настройки на скачивание обновлений и перезапуск антивируса:

Обновление баз «C:\Program Files\Sourcefire Inc\ClamAV\freshclam.exe»
sc stop clamAV
sc start clamAV

10) При наличии стороннего антивируса на этой же машине добавить папку с ClamAV в исключения

Антивирус ClamAV: установка и сканирование

Антивирус ClamAV предназначен для проверки содержимого электронной почты на наличие вредоносного программного обеспечения и опасных файлов. Помимо этой функции, его можно использовать и для сканирования сайтов.

Системные требования

ClamAV — кроссплатформенный антивирус: точное количество версий операционных систем, на которых его можно запустить, не могут назвать даже разработчики. Тем не менее, на официальном сайте есть список протестированных ОС, где ClamAV гарантированно работает. Часть систем в нём устарела (Debian 7 и 8), из актуальных можно выделить эти:

Ubuntu 16.04 Ubuntu 18.04

CentOS 7

В списке протестированных ОС присутствуют FreeBSD 11 и 12, Windows 7 и 10. Но, так как опыт в работе с этими системами у нас небольшой, об установке и запуске на этих системах можно прочитать в документации.

Также есть требования к ресурсам сервера:

• минимальный объём оперативной памяти: 1 Гб
• минимальная мощность процессора: 1 ядро с частотой от 2.0 ГГц
• минимальный объём диска: не менее 5 ГБ свободного места на диске

Важно: минимальный объём необходимых ресурсов определяется при запуске приложения на чистом сервере без других активных процессов и нагрузки. На боевых серверах работают сайты, базы данных, скрипты — поэтому может потребоваться больше ресурсов.

После установки начнётся автоматическое обновление баз вирусных сигнатур — процесс занимает достаточно длительное время. В это время при запуске сканирования будет отображаться ошибка о том, что файл базы не найден.

В процессе сканирования ClamAV расходует значительный объём оперативной памяти — база вирусных сигнатур выгружается в память для ускорения анализа файлов.
Поэтому для серверов с высокой посещаемостью и нагрузкой ClamAV будет спорным решением — так как может привести к нехватке оперативной памяти.

Установка и сканирование

Порядок действий для установки и сканирования будет зависеть от того, используете ли вы панель управления:

ClamAV на сервере с панелью ISPmanager

Важно: если антивирус нужен вам для проверки и лечения сайтов, рекомендуемым решением для этого в панели ISPmanager является антивирус ImunifyAV. ClamAV в панели устанавливается и работает только для проверки почты.

Для начала установки откройте панель управления ISPmanager. Доступы к ней можно найти в Личном кабинете — раздел Товары — Виртуальные серверы — выберите ваш сервер в списке, сверху «Инструкция» .

Инструкция к серверу в Личном кабинете

В разделе «ISPmanager — панель управления виртуальным сервером» нажмите «Перейти в ISPmanager» :

Данные доступа ISPmanager

• Установка ClamAV
• Обновление баз
• Сканирование почты
• Сканирование сайтов

Установка ClamAV

Запустить установку ClamAV можно из раздела Настройки — Возможности . Выберите в списке «Почтовый сервер (SMTP/POP3/IMAP)» , сверху «Изменить» :

Раздел «Возможности» в ISPmanager

Отметьте в списке «ClamAV (exim)» и нажмите «Применить изменения» .

Установка ClamAV

Начнётся процесс установки. Когда иконка диска в колонке «Статус» исчезнет, ClamAV будет установлен на ваш сервер.

Индикатор прогресса установки

Обновление баз

Чтобы базы ClamAV своевременно обновлялись, нужно создать задачу для планировщика. Для этого перейдите в раздел Система — Планировщик и нажмите «Создать» :

Планировщик в ISPmanager

В поле «Команда» введите:

Она будет запускать утилиту обновления вирусных сигнатур ClamAV.

Настройка задания на обновление баз ClamAV

В разделе «Расписание» выберите режим настройки и укажите время запуска обновления баз:

• базовый — позволит указать время запуска задачи в упрощённом 24-м формате;
• экспертный — позволит тонко настроить расписание с помощью стандартного синтаксиса cron-выражений.

Обновление рекомендуется настраивать на период минимальной активности пользователей ваших сайтов, например, на ночное время.

При желании можно отключить отправку уведомлений об обновлении баз, отметив пункт «Не отправлять отчёт по e-mail» .

Нажмите «Ok» для сохранения задания.

Сканирование почты

В ISPmanager все настройки сканирования доступны через интерфейс панели.

Чтобы включить проверку почты, перейдите в раздел Домены — Почтовые домены . Выберите ваш домен в списке и нажмите «Изменить» :

Почтовый домены в ISPmanager

Чтобы ClamAV начал сканировать почту на этом домене, отметьте пункт «Включить проверку на вирусы» :

Настройка сканирования почтового домена

В свойствах почтового домена появится иконка ClamAV:

Индикатор антивируса

Теперь ваша почта защищена: письма с вредоносными файлами будут автоматически отклоняться почтовым сервером. Отправитель такого письма получит ошибку:

Проверить же факт обработки такого письма на вашем сервере можно в логах антивируса:

Результатом будет список сообщений антивируса, например:

Эту же информацию можно увидеть в логах самого почтового сервера:

Если письмо было отклонено антивирусом, в журнале вы увидите следующее сообщение:

Сканирование сайтов

Если вы хотите приспособить ClamAV в качестве антивируса для вашего сайта, это не рекомендуется, но возможно. Для этого нужно выполнить два шага:

Укажите email для получения отчётов по результату сканирования. Для этого откройте раздел Система — Планировщик и нажмите «Настройки» .

Настройки планировщика

В поле «Адрес e-mail» введите вашу электронную почту и нажмите «Ok» :

Настройка почты для уведомлений

Теперь нужно создать задание для запуска самого сканирования. Вернитесь в раздел Система — Планировщик и нажмите «Создать» :

в поле «Команда» введите:

Эта утилита запустит сканирование директории /var/www и всех её вложенных папок с выводом количества инфицированных файлов в отчёт;

установите время сканирования. Это ресурсоёмкий процесс, поэтому его тоже лучше назначать на время минимальной активности, причём после обновления баз;

включите получение отчётов. Так вы сможете оперативно узнавать о состоянии сайта.

В результате получится вот такой набор настроек:

Задание на автоматическое сканирование сайтов через ClamAV в ISPmanager

Для сканирования доступны и другие опции, которые позволяют сделать сканирование полезнее:

Этот вариант команды будет автоматически копировать инфицированные файлы в директорию /var/www/www-root/data/infected (директория приведена в качестве примера — замените путь на свой вариант). Это упростит процесс чистки — все файлы будут под рукой в одной папке, останется проверить их, удалить вредоносный код и скопировать обратно в каталог сайта с заменой:

Если вместо опции copy использовать move , тогда файл будет перемещён, а не скопирован.

Экстремальный вариант — использовать на свой страх и риск! Автоматически удаляет все файлы, которые антивирус сочтёт опасными.

Чем это опасно — под раздачу могут попасть и рабочие данные, которые по каким-то признакам показались антивирусу подозрительными.

ClamAV имеет много других возможностей — генерацию описания каждого просканированного файла, настройку категорий файлов для сканирования, сканирование на основе отдельной базы вирусных сигнатур и многое другое. Изучить полный перечень функций можно с помощью команды man clamav в терминале или по ссылке.

Здесь же в разделе Система — Планировщик можно запустить задание на обновление баз или сканирование вручную, не дожидаясь времени, указанного в расписании. Для этого выберите задачу в списке и нажмите «Выполнить» :

Ручной запуск заданий

В результате в открывшейся вкладке будет доступен отчёт:

Стандартный отчёт ClamAV

ClamAV на сервере без панели управления

Для начала работы нужно подключиться к серверу по SSH.

Установка ClamAV

Способ установки зависит от вашей операционной системы:

CentOS

Добавим репозиторий EPEL в список доступных источников ПО и обновим список доступных пакетов:

Готово, процесс установки завершён.

Debian и Ubuntu

Обновим список доступных для установки пакетов:

Запустим установку ClamAV

Обновление баз

Перед сканированием в первую очередь нужно обновить базы вирусных сигнатур. Если вы запускаете проверку вручную, введите в консоли команду:

Запустится процесс обновления.

Вывод информации о прогрессе обновления в терминал

Чтобы автоматизировать этот процесс, удобнее будет добавить его в планировщик cron :

Откроем планировщик командой:

Добавим наше задание* в список. Например, настроим ежедневную проверку баз в 02:00. Для этого добавляем в открывшийся файл** следующую строчку:

* подробнее о синтаксисе для работы с crontab можно узнать здесь

** файл открывается в консольном текстовом редакторе. Для входа в режим редактирования на клавиатуре нажмите I . Для выхода из режима редактирования нажмите Esc . Для сохранения и выхода из файла введите сочетание :wq Для выхода без сохранения введите :q!

Сохраняем файл и проверяем, что задание записано корректно:

Вывод будет таким:

Активные задания пользователя root в планировщике cron

Ручное сканирование

ClamAV можно использовать в нескольких режимах:

• через демон clamd с помощью утилиты clamdscan . Особенности — можно тонко настроить работу демона через конфигурационный файл /etc/clamd.d/scan.conf на CentOS, /etc/clamav/clamd.conf в Debian и Ubuntu;
• через тот же демон clamd с помощью утилиты clamonacc . Особенности — она проверяет данные на лету в фоновом режиме, отправляя уведомления в случае обнаружения вредоносных файлов;
• с помощью утилиты clamscan в формате разовой проверки.

Мы остановимся на последнем как на самом простом.

Чтобы запустить сканирование вручную, например, для директории /var/www/html , достаточно ввести в терминале команду:

Через некоторое время ожидания вы увидите отчёт проверки:

Вывод отчёта с результатами проверки в терминал

Аналогично можно просканировать письма в почтовой очереди: просто замените директорию /var/www/html на /var/spool/mail .

Автоматическое сканирование

Процесс настройки автоматического сканирования аналогичен настройке автообновления баз вирусных сигнатур. Достаточно добавить задачу на проверку в планировщик:

Настроим задание на ежедневную проверку сайтов и почты, например, на 03:00, после обновления баз. Для этого добавим в конец файла следующий текст:

Первая задача в 03:00 запустит сканирование в папке /var/www/html . Вторая — в 04:00 проверит почтовую очередь.

Здесь же в начало файла добавим строчку:

Это позволит получать отчёты о выполнении настроенных заданий на email пользователя root . Если у вас настроен почтовый сервер, вместо root вы можете указать ваш email — тогда отчёты будут поступать на него. Если почтовый сервер не установлен, отчёты будут храниться в директории /var/mail/root .

Сохраняем файл и проверяем, что задание записано корректно:

Вместе с ранее добавленной задачей на обновление баз вывод будет таким:

Активные задания пользователя root в планировщике cron

Что делать при обнаружении заражённых файлов

Если вы увидели, что в очередном отчёте количество инфицированных файлов больше нуля, нужно принимать меры.

Анализ и лечение файлов выполняется в ручном режиме независимо от конфигурации сервера:

на серверах с ISPmanager в разделе Инструменты — Shell-клиент можно пользоваться возможностями командной строки, не выходя из панели.

Shell-клиент в ISPmanager

Проверять и анализировать код файлов можно через встроенный файловый менеджер ( Система — Менеджер файлов ) и текстовый редактор:

Файловый менеджер ISPmanager Редактор файлов ISPmanager

Или можно просто скачать файлы с сервера по FTP, проверить их удобным вам способом и потом загрузить обратно.

на серверах без панели управления все действия осуществляются по SSH.

При наличии заражённых файлов вы можете сразу:

Скопировать или переместить их в отдельную заранее созданную директорию для последующего лечения:

Эта команда запустит проверку всех файлов в папке /var/www/html В процессе все инфицированные файлы будут скопированы в директорию /var/www/html/quarantine . Чтобы перенести, а не скопировать файлы, вместо опции copy используйте move .

После этого подозрительные файлы можно проверить вручную или просканировать отдельно:

где index.php — имя файла, который мы хотим проверить.

При необходимости можно запустить сканирование с автоматическим удалением всех заражённых файлов. Эта опция используется на свой страх и риск — файлы удаляются безвозвратно.

ClamAV может работать в связке с другим решением для поиска вирусов — Linux Malware Detect. В таком случае для анализа будут использованы сразу две базы вирусных сигнатур — что повысит качество поиска.