Filtrare virus e malware

La mia solita polemica: considero gli antivirus fumo negli occhi. Se qualcuno vuole seriamente infettare un computer mandando un allegato infetto allora l’antivirus non servirà. Sono basati su schemi di malware conosciuti e (se siete fortunati) su un algoritmo euristico che cerca di rilevare comportamenti insoliti. E’ stato dimostrato ripetutamente che un virus fatto su misura – anche una variante leggermente modificata di un virus molto noto – passa facilmente inosservato da un antivirus. Perché esistono allora? FUD. I manager IT conoscono bene le debolezze di questo approccio. Ma se un computer Wind*ws viene infettato possono dire ai piani alti che hanno impiegato tutte le comuni misure. Ho parlato con diversi manager e tutti raccontano la stessa storia. Sembra quasi la religione digitale del 21 secolo. 🙂 Tuttavia – se volete un antivirus, aggiungiamolo al nostro server di posta.

Pro e contro di ClamAV

Come al solito preferisco rimanere con componenti open source. Quindi la scelta più ovvia è il famoso antivirus ClamAV. Però il suo tasso di rilevamento è davvero ridicolo con le sue definizioni di default. Ho sentito di un’indagine in cui nei loro test ClamAV ha mostrato un tasso di rilevamento del 100%. In un’altra si è classificato secondo di tutti gli antivirus testati. Dalla mia posso dire che ho scansionato multiple mail infette (rilevate da altri software) e non ne ha rilevata nemmeno una.

Ho quindi cominciato a cercare alternative – come l’antivirus gratuito di Sophos che ha funzionato bene con il milter amavis in passato. Il suo tasso di rilevamento è molto buono. E gli sviluppatori di rspamd hanno dichiarato che il loro modulo antivirus supporta Sophos. Ho provato di tutto – ma non sono riuscito a farli lavorare insieme. E francamente… la documentazione del modulo antivirus di rspamd è incompleta, per usare un eufemismo.

Poi un bel giorno un amico nerd mi ha indicato il progetto SaneSecurity che aggiunge definizioni antivirus a ClamAV per renderlo effettivamente utile. E finalmente questa è diventata la soluzione raccomandata per la guida ISPmail. In un’installazione commerciale, dove i clienti contano su un antivirus migliore, probabilmente non potrete evitare di spendere dei soldi su una soluzione commerciale. Perché dico questo? Più che altro per sottolineare che mi ci sono volute due settimane per scrivere questa pagina soltanto. 🙂

ClamAV

Iniziamo ad installare ClamAV. Per prima cosa installiamo il pacchetto necessario:

apt install clamav clamav-daemon

Il demone è un processo permanente che gira nel sistema aspettando connessioni da altri programmi. Questo lo rende più veloce che far partire un processo che analizza gli allegati continuamente. La configurazione predefinita funziona bene quindi non c’è niente da fare.

Controlliamo che il demone stia già girando:

service clamav-daemon status

Cercate la linea “Active” nell’output. Dice “Active: active (running)”? Molto bene. O dice “Active: inactive (dead)”? Non preoccupatevi. Molto probabilmente non ha ancora scaricato le definizioni antivirus. ClamAV arriva con il demone “freshclam” che fa questi aggiornamenti automaticamente. Ma dopo una nuova installazione potreste voler risparmiare tempo e scaricare le definizioni manualmente. Stoppiamo il demone freshclam e aggiorniamo:

service clamav-daemon stop
freshclam
service clamav-daemon start

Lanciamo di nuovo “service clamav-daemon status” e controlliamo che stia girando adesso:

Ottenete un messaggio tipo:

WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.99.2 Recommended version: 0.99.3
DON'T PANIC! Read http://www.clamav.net/documents/upgrading-clamav

Fate quello che dice: non fatevi prendere dal panico. Debian Stretch esce con la versione 0.99.2 che va benissimo. Non serve fare altro.

Facciamo usare ClamAV ad rspamd

Infine dobbiamo dire a rspamd come parlare col demone clamav. Sfortunatamente la documentazione è un po’ fuorviante o almeno incompleta, il che mi ha confuso inizialmente. Il demone ClamAV crea di default un file socket nel server in /var/run/clamav/clamd.ctl. I socket sono file che lavorano come interfacce per la comunicazione tra processi. rspamd può usare questo socket per chiedere a ClamAV se una certa mail contiene un virus.

La configurazione predefinita è in /etc/rspamd/modules.d/antivirus.conf. Miglioriamola un po’. Creiamo un nuovo file /etc/rspamd/override.d/antivirus.conf con questo contenuto per sostituire la sezione predefinita:

clamav {
attachments_only = false;
symbol = "CLAM_VIRUS";
type = "clamav";
action = "reject";
servers = "/var/run/clamav/clamd.ctl";
}

Cosa significa?

  • attachment_only: definisce se sono analizzati solo gli allegati o l’intera mail, comprese le immagini. Questa opzione non sembra funzionare perché fa saltare gli allegati, quindi meglio disabilitarla.
  • symbol: se un virus viene trovato da ClamAV allora rspamd aggiunge il simbolo CLAM_VIRUS. Se vi ricordate, a questi simboli possono essere assegnati punteggi oppure essere aggiunti come intestazioni mail per vedere quali criteri corrispondono. Potete chiamarli come volete
  • type: setta alcuni opzioni predefinite nel modulo antivirus che dice a rspamd come parlare a ClamAV.
  • action: è un parametro opzionale che usiamo per rifiutare istantaneamente la mail se viene trovato un virus. Non aggiungiamo un valore al punteggio spam. Invece rifiutiamo la mail durante la connessione SMTP in ingresso.
  • servers: definisce come comunicare con ClamAV. In questo caso definiamo il percorso del socket che il demone ClamAV ha aperto per noi.

Riavviamo rspamd:

service rspamd reload

L’analisi di virus dovrebbe funzionare adesso. Vediamo se funziona come previsto.

Testare

Come menzionato in precedenza esiste un definizione test per antivirus chiamata EICAR. Non è un virus – solo un file che può essere passato all’antivirus per verificarne il funzionamento. Scarichiamo il file di test dal loro sito web:

wget https://secure.eicar.org/eicar.com

Se avete installato lo strumento swaks come suggerito in precedenza, potete usarlo per mandare una mail di test con EICAR in allegato:

swaks --to john@example.org --attach - --server localhost < eicar.com

Una delle ultime linee dovrebbe essere…

<** 554 5.7.1 clamav: virus found: ”Eicar-Test-Signature”

Questo prova che Postfix ha mandato la mail a rspamd che a sua volta ha controllato la mail usando ClamAV che ha trovato la definizione test e rifiutato la mail.

Definizioni di rilevamento migliori

Come detto all’inizio il tasso di rilevamento delle definizioni fornite da ClamAV è abbastanza ridicolo. Fortunatamente la gente di SaneSecurity aiuta a far sì che ClamAV riesca a trovare virus reali. Stanno fornendo definizioni di virus da più di una decade e affermano che trovano più del 97% di tutti i virus, mentre ClamAV di solito trova solo il 14% circa.

Degli amici nerd hanno creato uno script su Github per l’aggiornamento automatico. Ci vuole un po’ per settarlo ma poi è completamente automatizzato. Per prima cosa prendiamo il loro più recente archivio di installazione:

wget https://github.com/extremeshok/clamav-unofficial-sigs/archive/master.tar.gz

Scompattiamolo:

tar xvzf master.tar.gz

L’archivio viene scompattato nella cartella clamav-unofficial-sigs-master. Andiamo lì:

cd clamav-unofficial-sigs-master

Poi copiamo lo script stesso in /usr/local/sbin dove risiedono gli script amministrativi installati dall’utente:

cp clamav-unofficial-sigs.sh /usr/local/sbin/

Creiamo una nuova cartella per i file di configurazione:

mkdir /etc/clamav-unofficial-sigs

Copiamo il modello della configurazione per Debian Stretch in questa cartella:

cp config/os.debian9.conf /etc/clamav-unofficial-sigs/os.conf

Copiamo gli altri due file necessari:

cp config/{master.conf,user.conf} /etc/clamav-unofficial-sigs/

Per abilitare lo script di aggiornamento dobbiamo editare il file /etc/clamav-unofficial-sigs/user.conf e alla fine settare:

user_configuration_complete="yes"

Installiamo una configurazione logrotate per comprimere ed archiviare i file di log più vecchi creati dallo script:

/usr/local/sbin/clamav-unofficial-sigs.sh --install-logrotate

Installiamo la pagina del manuale (man 8 clamav-unofficial-sigs) per lo script:

/usr/local/sbin/clamav-unofficial-sigs.sh --install-man

Copiamo la configurazione di systemd per gli aggiornamenti ricorrenti (funziona come cron):

cp systemd/* /etc/systemd/

Proviamo ad aggiornare le definizioni manualmente:

/usr/local/sbin/clamav-unofficial-sigs.sh

Se l’aggiornamento ha funzionato possiamo controllare quali definizioni addizionali ClamAV riconosce:

clamscan --debug 2>&1 /dev/null | grep "loaded"

L’output dovrebbe essere tipo questo:

ClamAV output

LibClamAV debug: /var/lib/clamav/sigwhitelist.ign2 loaded
LibClamAV debug: daily.info loaded
LibClamAV debug: daily.cfg loaded
LibClamAV debug: daily.ign loaded
LibClamAV debug: daily.crb loaded
LibClamAV debug: daily.hdb loaded
LibClamAV debug: daily.pdb loaded
LibClamAV debug: daily.sfp loaded
LibClamAV debug: daily.fp loaded
LibClamAV debug: daily.ldb loaded
LibClamAV debug: daily.msb loaded
LibClamAV debug: daily.ftm loaded
LibClamAV debug: daily.hsb loaded
LibClamAV debug: daily.cdb loaded
LibClamAV debug: daily.ign2 loaded
LibClamAV debug: daily.idb loaded
LibClamAV debug: daily.wdb loaded
LibClamAV debug: daily.mdb loaded
LibClamAV debug: daily.ndb loaded
LibClamAV debug: /var/lib/clamav/daily.cld loaded
LibClamAV debug: /var/lib/clamav/hackingteam.hsb loaded
LibClamAV debug: main.info loaded
LibClamAV debug: main.hdb loaded
LibClamAV debug: main.hsb loaded
LibClamAV debug: main.mdb loaded
LibClamAV debug: main.msb loaded
LibClamAV debug: main.ndb loaded
LibClamAV debug: main.fp loaded
LibClamAV debug: main.sfp loaded
LibClamAV debug: main.crb loaded
LibClamAV debug: /var/lib/clamav/main.cvd loaded
LibClamAV debug: /var/lib/clamav/spamimg.hdb loaded
LibClamAV debug: /var/lib/clamav/bofhland_cracked_URL.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.zeus_js
LibClamAV debug: cli_loadyara: loaded 1 of 1 yara signatures from /var/lib/clamav/EK_Zeus.yar
LibClamAV debug: /var/lib/clamav/EK_Zeus.yar loaded
LibClamAV debug: /var/lib/clamav/sanesecurity.ftm loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.AnglerEKredirector
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_flash
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_flash2
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_flash4
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_flash5
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_flash_uncompressed
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_html
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_html2
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.angler_js
LibClamAV debug: cli_loadyara: loaded 10 of 10 yara signatures from /var/lib/clamav/EK_Angler.yar
LibClamAV debug: /var/lib/clamav/EK_Angler.yar loaded
LibClamAV debug: /var/lib/clamav/scam.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_css
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_css2
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_htm
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_js
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_js2
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_js3
LibClamAV debug: load_oneyara: successfully loaded YARA.zeroaccess_js4
LibClamAV debug: cli_loadyara: loaded 7 of 7 yara signatures from /var/lib/clamav/EK_ZeroAcces.yar
LibClamAV debug: /var/lib/clamav/EK_ZeroAcces.yar loaded
LibClamAV debug: /var/lib/clamav/blurl.ndb loaded
LibClamAV debug: /var/lib/clamav/antidebug_antivm.yar loaded
LibClamAV debug: /var/lib/clamav/spamattach.hdb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html10
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html11
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html2
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html3
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html4
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html5
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html6
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html7
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html8
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_html9
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_jar2
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_jar3
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_pdf
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_pdf2
LibClamAV debug: load_oneyara: successfully loaded YARA.phoenix_pdf3
LibClamAV debug: cli_loadyara: loaded 17 of 17 yara signatures from /var/lib/clamav/EK_Phoenix.yar
LibClamAV debug: /var/lib/clamav/EK_Phoenix.yar loaded
LibClamAV debug: /var/lib/clamav/winnow_malware.hdb loaded
LibClamAV debug: bytecode.info loaded
LibClamAV debug: 3986185.cbc loaded
LibClamAV debug: 3986187.cbc loaded
LibClamAV debug: 3986188.cbc loaded
LibClamAV debug: 3986206.cbc loaded
LibClamAV debug: 3986212.cbc loaded
LibClamAV debug: 3986214.cbc loaded
LibClamAV debug: 3986215.cbc loaded
LibClamAV debug: 3986216.cbc loaded
LibClamAV debug: 3986217.cbc loaded
LibClamAV debug: 3986218.cbc loaded
LibClamAV debug: 3986219.cbc loaded
LibClamAV debug: 3986220.cbc loaded
LibClamAV debug: 3986221.cbc loaded
LibClamAV debug: 3986222.cbc loaded
LibClamAV debug: 3986223.cbc loaded
LibClamAV debug: 3986224.cbc loaded
LibClamAV debug: 3986229.cbc loaded
LibClamAV debug: 3986230.cbc loaded
LibClamAV debug: 3986231.cbc loaded
LibClamAV debug: 3986232.cbc loaded
LibClamAV debug: 3986233.cbc loaded
LibClamAV debug: 3986234.cbc loaded
LibClamAV debug: 3986235.cbc loaded
LibClamAV debug: 3986236.cbc loaded
LibClamAV debug: 3986242.cbc loaded
LibClamAV debug: 3986244.cbc loaded
LibClamAV debug: 3986249.cbc loaded
LibClamAV debug: 3986259.cbc loaded
LibClamAV debug: 3986282.cbc loaded
LibClamAV debug: 3986283.cbc loaded
LibClamAV debug: 3986289.cbc loaded
LibClamAV debug: 3986292.cbc loaded
LibClamAV debug: 3986301.cbc loaded
LibClamAV debug: 3986303.cbc loaded
LibClamAV debug: 3986305.cbc loaded
LibClamAV debug: 3986306.cbc loaded
LibClamAV debug: 3986310.cbc loaded
LibClamAV debug: 3986321.cbc loaded
LibClamAV debug: 3986322.cbc loaded
LibClamAV debug: 3986326.cbc loaded
LibClamAV debug: 3986327.cbc loaded
LibClamAV debug: 3986328.cbc loaded
LibClamAV debug: 3986334.cbc loaded
LibClamAV debug: 3986337.cbc loaded
LibClamAV debug: 4306126.cbc loaded
LibClamAV debug: 4306157.cbc loaded
LibClamAV debug: 4307467.cbc loaded
LibClamAV debug: 4310114.cbc loaded
LibClamAV debug: 4416867.cbc loaded
LibClamAV debug: 4510302.cbc loaded
LibClamAV debug: 4526683.cbc loaded
LibClamAV debug: 4553522.cbc loaded
LibClamAV debug: 4970075.cbc loaded
LibClamAV debug: 5044126.cbc loaded
LibClamAV debug: 5588995.cbc loaded
LibClamAV debug: 5819336.cbc loaded
LibClamAV debug: 5999914.cbc loaded
LibClamAV debug: 5999936.cbc loaded
LibClamAV debug: 6300337.cbc loaded
LibClamAV debug: 6311970.cbc loaded
LibClamAV debug: 6316126.cbc loaded
LibClamAV debug: 6324281.cbc loaded
LibClamAV debug: 6327695.cbc loaded
LibClamAV debug: 6329916.cbc loaded
LibClamAV debug: 6329917.cbc loaded
LibClamAV debug: 6333894.cbc loaded
LibClamAV debug: 6334209.cbc loaded
LibClamAV debug: 6335427.cbc loaded
LibClamAV debug: 6335443.cbc loaded
LibClamAV debug: 6335540.cbc loaded
LibClamAV debug: 6335560.cbc loaded
LibClamAV debug: 6335564.cbc loaded
LibClamAV debug: 6335669.cbc loaded
LibClamAV debug: 6336035.cbc loaded
LibClamAV debug: 6336074.cbc loaded
LibClamAV debug: 6336630.cbc loaded
LibClamAV debug: 6336737.cbc loaded
LibClamAV debug: /var/lib/clamav/bytecode.cvd loaded
LibClamAV debug: /var/lib/clamav/winnow_bad_cw.hdb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.zerox88_js2
LibClamAV debug: load_oneyara: successfully loaded YARA.zerox88_js3
LibClamAV debug: cli_loadyara: loaded 2 of 2 yara signatures from /var/lib/clamav/EK_Zerox88.yar
LibClamAV debug: /var/lib/clamav/EK_Zerox88.yar loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.bleedinglife2_adobe_2010_1297_exploit
LibClamAV debug: load_oneyara: successfully loaded YARA.bleedinglife2_adobe_2010_2884_exploit
LibClamAV debug: load_oneyara: successfully loaded YARA.bleedinglife2_jar2
LibClamAV debug: load_oneyara: successfully loaded YARA.bleedinglife2_java_2010_0842_exploit
LibClamAV debug: cli_loadyara: loaded 4 of 4 yara signatures from /var/lib/clamav/EK_BleedingLife.yar
LibClamAV debug: /var/lib/clamav/EK_BleedingLife.yar loaded
LibClamAV debug: /var/lib/clamav/malwarehash.hsb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.OITC_pdf_with_emb_docm
LibClamAV debug: load_oneyara: successfully loaded YARA.INDICATOR_IMPLANT_Loader
LibClamAV debug: load_oneyara: successfully loaded YARA.INDICATOR_Implant_Loader2
LibClamAV debug: load_oneyara: generic string: [File {0} has been uploaded in {1}] => [46696c65207b307d20686173206265656e2075706c6f6164656420696e207b317d]
LibClamAV debug: load_oneyara: successfully loaded YARA.IMPLANT2_3
LibClamAV debug: load_oneyara: successfully loaded YARA.CryptoWall_Resume_phish
LibClamAV debug: load_oneyara: successfully loaded YARA.java_JSocket_20151217
LibClamAV debug: load_oneyara: successfully loaded YARA.detect_powershell_precursor_downloader
LibClamAV debug: load_oneyara: successfully loaded YARA.kmon_cred_phish
LibClamAV debug: load_oneyara: successfully loaded YARA.rtf_phishing_script_lines
LibClamAV debug: cli_loadyara: loaded 9 of 9 yara signatures from /var/lib/clamav/winnow_malware.yara
LibClamAV debug: /var/lib/clamav/winnow_malware.yara loaded
LibClamAV debug: /var/lib/clamav/bofhland_malware_attach.hdb loaded
LibClamAV debug: /var/lib/clamav/phishtank.ndb loaded
LibClamAV debug: /var/lib/clamav/winnow_extended_malware.hdb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_jar2
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_jar3
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_pdf
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole_basic
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole1_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_css
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm10
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm11
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm12
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm3
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm4
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm5
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm6
LibClamAV debug: load_oneyara: successfully loaded YARA.blackhole2_htm8
LibClamAV debug: cli_loadyara: loaded 16 of 16 yara signatures from /var/lib/clamav/EK_Blackhole.yar
LibClamAV debug: /var/lib/clamav/EK_Blackhole.yar loaded
LibClamAV debug: /var/lib/clamav/foxhole_filename.cdb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_TestSig_Type4_Hdr_2
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_TestSig_Type3_Bdy_4
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_TestSig_Type4_Bdy_3
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_PhishingTestSig_1
LibClamAV debug: cli_loadyara: loaded 4 of 4 yara signatures from /var/lib/clamav/Sanesecurity_sigtest.yara
LibClamAV debug: /var/lib/clamav/Sanesecurity_sigtest.yara loaded
LibClamAV debug: /var/lib/clamav/bofhland_malware_URL.ndb loaded
LibClamAV debug: /var/lib/clamav/phish.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_Spam_test
LibClamAV debug: load_oneyara: successfully loaded YARA.Sanesecurity_Spam_pornspam
LibClamAV debug: cli_loadyara: loaded 2 of 2 yara signatures from /var/lib/clamav/Sanesecurity_spam.yara
LibClamAV debug: /var/lib/clamav/Sanesecurity_spam.yara loaded
LibClamAV debug: /var/lib/clamav/junk.ndb loaded
LibClamAV debug: /var/lib/clamav/winnow_malware_links.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.sakura_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.sakura_jar2
LibClamAV debug: cli_loadyara: loaded 2 of 2 yara signatures from /var/lib/clamav/EK_Sakura.yar
LibClamAV debug: /var/lib/clamav/EK_Sakura.yar loaded
LibClamAV debug: /var/lib/clamav/porcupine.ndb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.crimepack_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.crimepack_jar3
LibClamAV debug: cli_loadyara: loaded 2 of 2 yara signatures from /var/lib/clamav/EK_Crimepack.yar
LibClamAV debug: /var/lib/clamav/EK_Crimepack.yar loaded
LibClamAV debug: /var/lib/clamav/rfxn.hdb loaded
LibClamAV debug: /var/lib/clamav/jurlbl.ndb loaded
LibClamAV debug: /var/lib/clamav/porcupine.hsb loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_htm
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_js
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_js2
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_js_flash
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_js_java
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_js_quicktime
LibClamAV debug: load_oneyara: successfully loaded YARA.fragus_js_vml
LibClamAV debug: cli_loadyara: loaded 7 of 7 yara signatures from /var/lib/clamav/EK_Fragus.yar
LibClamAV debug: /var/lib/clamav/EK_Fragus.yar loaded
LibClamAV debug: load_oneyara: successfully loaded YARA.eleonore_jar
LibClamAV debug: load_oneyara: successfully loaded YARA.eleonore_jar2
LibClamAV debug: load_oneyara: successfully loaded YARA.eleonore_jar3
LibClamAV debug: load_oneyara: successfully loaded YARA.eleonore_js
LibClamAV debug: load_oneyara: successfully loaded YARA.eleonore_js2
LibClamAV debug: load_oneyara: successfully loaded YARA.eleonore_js3
LibClamAV debug: cli_loadyara: loaded 6 of 6 yara signatures from /var/lib/clamav/EK_Eleonore.yar
LibClamAV debug: /var/lib/clamav/EK_Eleonore.yar loaded
LibClamAV debug: /var/lib/clamav/foxhole_generic.cdb loaded
LibClamAV debug: /var/lib/clamav/winnow.attachments.hdb loaded
LibClamAV debug: /var/lib/clamav/bofhland_phishing_URL.ndb loaded
LibClamAV debug: /var/lib/clamav/rogue.hdb loaded
LibClamAV debug: /var/lib/clamav/rfxn.ndb loaded

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.