Vírusok a GNU / Linux rendszerben: tény vagy mítosz?

Alejandro (a.k.a KZKG^Gaara)

21 perc

Valahányszor a vita vírus y GNU / Linux nem sok idő múlva megjelenik a felhasználó (általában Windows) mit mond:

«A Linuxban nincsenek vírusok, mert ezek a rosszindulatú programok készítői nem vesztegetik az időt olyan operációs rendszer érdekében, amelyet szinte senki sem használ »

Amire mindig válaszoltam:

"A probléma nem az, de ezek a rosszindulatú programok készítői nem fogják pazarolni az időt olyan dolgok létrehozásával, amelyeket a rendszer első frissítésével akár 24 órán belül is kijavítanak."

És nem tévedtem, mivel ez a kiváló cikk a 90. szám (2008. év) a Todo Linux Magazinból. Színésze David Santo Orcero technikai módon nyújt számunkra (de könnyen érthető) a magyarázat miért GNU / Linux hiányzik az ilyen típusú rosszindulatú szoftver.

100% -ban ajánlott. Most több mint meggyőző anyaguk lesz arra, hogy elhallgattassanak mindenkit, aki szilárd alap nélkül szólal meg ebben a témában.

Cikk letöltése (PDF): Mítoszok és tények: Linux és vírusok

SZERKESZTETT:

Itt van az átírt cikk, mivel úgy gondoljuk, hogy sokkal kényelmesebb így olvasni:

================================================== ======================

A Linux és a vírus vita nem új keletű. Olyan gyakran látunk egy e-mailt a listán, amely megkérdezi, hogy vannak-e vírusok a Linux számára; és automatikusan valaki igennel válaszol, és azt állítja, hogy ha nem népszerűbbek, az azért van, mert a Linux nem annyira elterjedt, mint a Windows. A víruskereső fejlesztőktől is gyakran érkeznek sajtóközlemények, amelyek szerint a Linux vírusok verzióit bocsátják ki.

Személy szerint más megbeszéléseket folytattam különböző emberekkel levélben vagy terjesztési listán keresztül arról, hogy vannak-e vírusok a Linuxban vagy sem. Ez egy mítosz, de nehéz egy mítoszt, vagy inkább kamu, lebontani, különösen, ha gazdasági érdek okozza. Valakit érdekel az az ötlet, hogy ha a Linuxnak nincsenek ilyen problémái, az azért van, mert nagyon kevesen használják.

A jelentés publikálásakor szerettem volna egy végleges szöveget írni a vírusok létezéséről a Linux rendszerben. Sajnos, amikor a babona és a gazdasági érdek elburjánzik, nehéz valami véglegeset felépíteni.
Itt azonban megpróbálunk ésszerűen teljes érvet felhozni, hogy lefegyverezzük annak támadásait, aki érvelni akar.

Mi a vírus?

Először is azzal kezdjük, hogy meghatározzuk, mi a vírus. Ez egy önmagát lemásoló és automatikusan futó program, amelynek célja a számítógép normál működésének megváltoztatása a felhasználó engedélye vagy tudta nélkül. Ehhez a vírusok a futtatható fájlokat kicserélik a kódjukkal fertőzöttekre. A meghatározás szabványos, és egy vonalas összefoglaló a Wikipedia vírusokkal kapcsolatos bejegyzéséhez.
Ennek a meghatározásnak a legfontosabb része, és ami megkülönbözteti a vírust a többi rosszindulatú programtól, az az, hogy a vírus a felhasználó engedélye vagy tudta nélkül telepíti magát. ha nem telepíti magát, akkor nem vírus: lehet rootkit vagy trójai program.

A rootkit egy olyan rendszermag-javítás, amely lehetővé teszi bizonyos folyamatok elrejtését a felhasználói területek segédprogramjai elől. Más szavakkal, ez a kernel forráskódjának módosítása, amelynek célja, hogy azok a segédprogramok, amelyek lehetővé teszik számunkra, hogy megnézzük, mi fut egy adott pillanatban, nem vizualizálnak egy bizonyos folyamatot vagy egy bizonyos felhasználót.

A trójai analóg: egy adott szolgáltatás forráskódjának módosítása bizonyos csaló tevékenységek elrejtése érdekében. Mindkét esetben meg kell szerezni a Linux gépre telepített pontos verzió forráskódját, javítani kell a kódot, újrafordítani, rendszergazdai jogosultságokat szerezni, telepíteni a javított futtatható fájlt, és inicializálni kell a szolgáltatást - a trójai esetén - vagy az operációs rendszert. teljes - abban az esetben
rootkit–. A folyamat, mint látjuk, nem triviális, és senki sem tudja ezt "tévedésből" megtenni. Mindkettőjük telepítéskor megköveteli, hogy rendszergazdai jogosultságokkal rendelkező személy tudatosan hajtson végre egy sor lépést, hogy technikai jellegű döntéseket hozzon.

Ami nem jelentéktelen szemantikai árnyalat: a vírus telepítéséhez csak egy fertőzött programot kell futtatnunk, mint általános felhasználót. Másrészt a rootkit vagy a trójai program telepítéséhez elengedhetetlen, hogy egy rosszindulatú ember személyesen lépjen be egy gép root fiókjába, és nem automatizált módon végezzen egy sor potenciálisan észlelhető lépést. a vírus gyorsan és hatékonyan terjed; egy rootkitnek vagy egy trójai programnak szüksége van rájuk, hogy kifejezetten utánunk induljanak.

Vírustovábbítás Linuxon:

A vírus átviteli mechanizmusa tehát az, ami valóban meghatározza ezt, és létük alapja. Az operációs rendszer érzékenyebb a vírusokra, annál könnyebb hatékony és automatizált továbbítási mechanizmust kifejleszteni.

Tegyük fel, hogy van egy vírusunk, amely el akarja terjedni önmagát. Tegyük fel, hogy egy normál felhasználó indította el ártatlanul, amikor egy programot elindított. Ennek a vírusnak kizárólag két átviteli mechanizmusa van:

  • Replikálja magát más folyamatok memóriájának megérintésével, futás közben lehorgonyozva őket.
  • Nyissa meg a fájlrendszer futtatható fájljait, és adja hozzá a kódjukat - payload– a futtatható fájlhoz.

Minden vírusnak, amelyet ilyennek tekinthetünk, van legalább egy e két átviteli mechanizmus közül. O A kettő. Nincs több mechanizmus.
Az első mechanizmussal kapcsolatban emlékezzünk a Linux virtuális memória architektúrájára és az Intel processzorok működésére. Ezeknek négy gyűrűjük van, 0-tól 3-ig számozva; minél alacsonyabb a szám, annál nagyobb jogosultságokkal rendelkezik a ringben futó kód. Ezek a gyűrűk megfelelnek a processzor állapotainak, és ennélfogva azzal, hogy mit lehet tenni egy adott gyűrűben lévő rendszerrel. A Linux a 0 gyűrűt használja a kernelhez, a 3 gyűrűt pedig a folyamatokhoz. nincs folyamatkód, amely a 0 gyűrűn fut, és nincs kernel kód, amely a 3 gyűrűn fut. A kernelhez csak egyetlen belépési pont van a 3. gyűrűből: a 80h megszakítás, amely lehetővé teszi az átugrást a területről, ahol van a felhasználói kódot arra a területre, ahol a kernel kódja található.

A Unix általában és különösen a Linux architektúrája nem teszi lehetővé a vírusok terjedését.

A kernel a virtuális memória használatával minden folyamatot elhiteti azzal, hogy az összes memóriával rendelkezik. Egy folyamat, amely a 3. gyűrűben működik, csak a számára konfigurált virtuális memóriát láthatja, annak a gyűrűnek, amelyben működik. Nem arról van szó, hogy a többi folyamat memóriája védett; az, hogy az egyik folyamat során a többiek memóriája kívül esik a címtéren. Ha egy folyamat az összes memóriacímet megveri, akkor még egy másik folyamat memóriacímére sem lehet hivatkozni.

Miért nem lehet ezt megcsalni?
A hozzászólások módosításához - például a 0 gyűrű belépési pontjainak létrehozásához, a megszakítási vektorok módosításához, a virtuális memória módosításához, az LGDT módosításához… - ez csak a 0 gyűrűből lehetséges.
Vagyis ahhoz, hogy egy folyamat megérinthesse más folyamatok vagy a kernel memóriáját, annak magának kell lennie. És az a tény, hogy egyetlen belépési pont létezik, és hogy a paraméterek regisztereken keresztül kerülnek átadásra, megnehezíti a csapdát - valójában a regiszteren keresztül vezetik át, amíg mit kell tennie, amelyet aztán esetként valósítanak meg a figyelmi rutinban. a 80 órás megszakítás.
Egy másik forgatókönyv azoknak az operációs rendszereknek az esete, amelyekben több száz dokumentálatlan hívás cseng a 0-ra, ahol ez lehetséges - mindig lehet egy rosszul végrehajtott elfelejtett hívás, amelyre csapdát lehet fejleszteni - de olyan operációs rendszerek esetén, amelyek ilyen egyszerű lépésmechanizmus, nem az.

Emiatt a virtuális memória architektúra megakadályozza ezt az átviteli mechanizmust; egyetlen folyamatnak - még a root jogosultsággal rendelkezőknek sem - van módja hozzáférni mások memóriájához. Vitathatnánk, hogy egy folyamat láthatja a kernelt; a 0xC0000000 logikai memória címről van feltérképezve. De a futó processzorgyűrű miatt nem módosíthatja; csapdát generálna, mivel ezek egy másik gyűrűhöz tartozó memóriaterületek.

A "megoldás" egy olyan program lenne, amely módosítja a kernel kódját, amikor az egy fájl. De az a tény, hogy ezeket újrafordítják, lehetetlenné teszi. A bináris nem javítható, mivel a világon több millió különféle bináris kern van. Egyszerűen annyi, hogy az újrafordításkor valamit feltettek vagy eltávolítottak a kernel futtatható fájljából, vagy megváltoztatták néhány olyan címke méretét, amelyek azonosítják a fordítási verziót - ami még véletlenül is megtörténik - a bináris javítás nem volt alkalmazható. Az alternatíva az lenne, ha letöltené a forráskódot az internetről, javítja, konfigurálja a megfelelő hardverhez, lefordítja, telepíti és újraindítja a gépet. Mindezt egy programnak kell elvégeznie, automatikusan. Elég nagy kihívás a mesterséges intelligencia területén.
Mint láthatjuk, még egy vírus sem gyökérként képes átugrani ezt az akadályt. Az egyetlen megoldás maradt a futtatható fájlok közötti átvitel. Ami sem működik, ahogy alább láthatjuk.

Rendszergazdai tapasztalatom:

Több mint tíz év alatt, amikor a Linuxot irányítottam, több száz gépre telepítve az adatközpontokban, hallgatói laboratóriumokban, vállalatokban stb.

  • Soha nem "kaptam" vírust
  • Soha nem találkoztam olyannal, akinek van
  • Soha nem találkoztam olyannal, aki találkozott valakivel

Több embert ismerek, akik látták a Loch Ness-i szörnyet, mint Linux-vírusokat.
Személy szerint elismerem, hogy vakmerő voltam, és több olyan programot is elindítottam, amelyeket az önjelölt "szakemberek" "Linux vírusoknak" neveznek - mostantól vírusoknak fogom nevezni őket, nem azért, hogy a szöveg pedánssá váljon, a szokásos számlámról a gépem ellen, hogy kiderüljön, lehetséges-e vírus: mind az ott körül keringő bash vírus, amely egyébként nem fertőzött meg egyetlen fájlt sem, és egy vírus, amely nagyon híressé vált, és megjelent a sajtóban. Megpróbáltam telepíteni; és húsz perc munka után feladtam, amikor megláttam, hogy egyik követelése az volt, hogy a tmp könyvtár legyen az MSDOS típusú partíción. Személy szerint nem ismerek senkit, aki létrehozna egy speciális partíciót a tmp-hez és FAT-ra formázza.
Valójában egyes úgynevezett vírusok, amelyeket Linux alatt teszteltem, magas szintű tudást és root jelszót igényelnek. Legalább "gagyi" vírusnak minősíthetjük, ha aktív beavatkozásunkra van szükség a gép megfertőzéséhez. Ezenkívül egyes esetekben a UNIX és a root jelszó átfogó ismeretét igénylik; ami meglehetősen messze van a feltételezett automatikus telepítéstől.

Futtatható fájlok megfertőzése Linuxon:

Linuxon egy folyamat egyszerűen megteheti, amit a tényleges felhasználó és hatékony csoport megenged. Igaz, hogy vannak olyan mechanizmusok, amelyekkel a valódi felhasználót készpénzzel lehet cserélni, de kevés más. Ha megnézzük, hogy hol vannak a futtatható fájlok, látni fogjuk, hogy csak a root rendelkezik írási jogosultságokkal mind ezekben a könyvtárakban, mind a benne lévő fájlokban. Más szavakkal, csak a root módosíthatja az ilyen fájlokat. Ez a 70-es évek óta a Unix-ban, a Linux-ban az eredete óta, és a privilégiumokat támogató fájlrendszerben még nem jelent meg olyan hiba, amely más viselkedést engedne meg. Az ELF futtatható fájlok felépítése ismert és jól dokumentált, így technikailag lehetséges, hogy egy ilyen típusú fájl a hasznos terhet egy másik ELF fájlba töltse be ... mindaddig, amíg az első vagy az első csoport tényleges felhasználójának van hozzáférési jogosultsága. olvasás, írás és végrehajtás a második fájlon. Hány fájlrendszer futtatható fájlt fertőzhet meg általános felhasználóként?
Erre a kérdésre egyszerű a válasz, ha meg akarjuk tudni, hogy hány fájlt tudnánk "megfertőzni", elindítjuk a parancsot:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Kizárjuk a / proc könyvtárat, mert ez egy virtuális fájlrendszer, amely információkat jelenít meg az operációs rendszer működéséről. A megtalált végrehajtási jogosultságú fájltípusú fájlok nem jelentenek problémát, mivel gyakran virtuális linkek, amelyek úgy tűnik, hogy olvashatók, íródnak és futtatásra kerülnek, és ha a felhasználó megpróbálja, soha nem fog működni. Ezenkívül elvetjük a rengeteg hibát - mivel, különösen a / proc és / home könyvtárakban, sok olyan könyvtár található, ahová egy közös felhasználó nem léphet be - Ez a szkript sokáig tart. A mi esetünkben egy olyan gépben, ahol négy ember dolgozik, a válasz a következő volt:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

A kimenet három fájlt mutat, amelyek megfertőződhetnek egy hipotetikus vírus futtatása esetén. Az első kettő az Unix socket típusú fájl, amelyet az indításkor törölnek - és nem befolyásolhatja őket vírus -, a harmadik pedig egy fejlesztés alatt álló program fájlja, amelyet minden egyes újrafordításkor törölnek. A vírus gyakorlati szempontból nem terjedne el.
Amit látunk, a hasznos teher elterjedésének egyetlen módja a gyökérzet. Ebben az esetben a vírus működéséhez a felhasználóknak mindig rendszergazdai jogosultságokkal kell rendelkezniük. Ebben az esetben megfertőzheti a fájlokat. De itt jön a fogás: a fertőzés továbbításához el kell fogadnia egy másik futtatható fájlt, el kell küldenie egy másik felhasználónak, aki csak gyökérként használja a gépet, és meg kell ismételnie a folyamatot.
Olyan operációs rendszerekben, ahol a közös feladatok rendszergazdájának kell lennie, vagy sok napi alkalmazást kell futtatnia, ez így lehet. De a Unix-ban rendszergazdának kell lennie a gép konfigurálásához és a konfigurációs fájlok módosításához, így a root felhasználók napi fiókként használt felhasználók száma kicsi. Ez több; egyes Linux disztribúciókban még a root fiók sem engedélyezett. Szinte mindegyikben, ha a grafikus környezetbe belép, mint háttér, a háttér erősen pirosra vált, és állandó üzenetek ismétlődnek, amelyek emlékeztetik arra, hogy ezt a fiókot nem szabad használni.
Végül mindent, amit rootként kell elvégezni, egy sudo paranccsal lehet kockázat nélkül elvégezni.
Emiatt a Linuxban egy futtatható fájl nem fertőzhet meg másokat, mindaddig, amíg nem a root fiókot használjuk általános használatú fiókként; És bár a víruskereső cégek ragaszkodnak ahhoz, hogy azt állítsák, hogy vannak vírusok a Linux számára, a legközelebb a Linuxban létrehozható dolog egy trójai a felhasználói területen. Ezeknek a trójai programoknak az egyetlen módja, hogy befolyásolhatnak valamit a rendszeren, az, ha root-ként futtatják a szükséges privilégiumokkal. Ha általában a gépet szokásos felhasználóként használjuk, akkor nem lehetséges, hogy egy közös felhasználó által elindított folyamat megfertőzze a rendszert.

Mítoszok és hazugságok:

Sok mítoszt, hamisítást és egyszerűen hazugságot találunk a vírusokról a Linuxban. Készítsünk egy listát azokról a beszélgetések alapján, amelyek egy régen lezajlottak egy Linux víruskereső gyártó képviselőjével, akit nagyon megsértett egy ugyanabban a folyóiratban megjelent cikk.
Ez a vita jó referenciapélda, mivel a Linux vírusainak minden aspektusát érinti. Ezeket a mítoszokat egyenként fogjuk áttekinteni, ahogyan azokat az adott megbeszélés során megvitattuk, de amelyet olyan sokszor megismételtek más fórumokon.

1. mítosz:
"Nem minden rosszindulatú programnak, különösen a vírusoknak van szüksége root jogosultságokra a fertőzéshez, különösen a futtatható vírusok (ELF formátum) esetében, amelyek más futtatható fájlokat fertőznek meg".

Válasz:
Aki ilyet állít, az nem tudja, hogyan működik a Unix privilégiumrendszer. A fájlok befolyásolásához a vírusoknak az olvasás jogára van szükségük - a módosításhoz el kell olvasni -, és az íráshoz - a módosítás érvényességéhez - rá kell írni a futtatható fájlra.
Kivételek nélkül ez mindig így van. A disztribúciók mindegyikében a nem root felhasználók nem rendelkeznek ezekkel a jogosultságokkal. Akkor egyszerűen azzal, hogy nem gyökér, a fertőzés nem lehetséges. Empirikus teszt: Az előző szakaszban egy egyszerű szkriptet láttunk a fertőzés által érintett fájlok tartományának ellenőrzésére. Ha elindítjuk a gépünkön, látni fogjuk, hogy mennyire elhanyagolható, és a rendszerfájlok tekintetében semleges. Emellett az operációs rendszerektől, például a Windows-tól eltérően, nem kell rendszergazdai jogosultságokkal rendelkeznie ahhoz, hogy a normál felhasználók által gyakran használt programokkal közös feladatokat hajtson végre.

2. mítosz:
"A rendszernek távoli belépéséhez sem kell root felhasználóknak lenniük, a Slapper esetében, amely egy féreg, amely az Apache SSL (a biztonságos kommunikációt lehetővé tevő tanúsítványok) egyik sebezhetőségét kihasználva 2002. szeptemberében létrehozta saját zombi gépek hálózatát.".

Válasz:
Ez a példa nem vírusra, hanem féregre vonatkozik. A különbség nagyon fontos: a féreg olyan program, amely kihasználja az internet szolgáltatását, hogy továbbítsa önmagát. A helyi programokat nem érinti. Ezért csak a szervereket érinti; nem bizonyos gépekre.
A férgek mindig nagyon kevesek voltak, elhanyagolható gyakorisággal. A három igazán fontos a 80-as években született, amikor az internet ártatlan volt, és mindenki mindenkiben megbízott. Emlékezzünk arra, hogy ők voltak azok, amelyek hatással voltak a sendmailre, az fingerd-re és a rexec-re. Ma a dolgok bonyolultabbak. Bár nem tagadhatjuk, hogy még mindig léteznek, és ha nem ellenőrzik őket, akkor rendkívül veszélyesek. De most a férgekre adott reakcióidő nagyon rövid. Ez a pofon esete: egy sebezhetőségre létrehozott féreg, amelyet két hónappal a féreg megjelenése előtt fedeztek fel és foltoztak be.
Még ha feltételezzük is, hogy mindenkinek, aki Linuxot használ, állandóan telepítve van és fut az Apache, a csomagok havonta történő frissítése több mint elég lett volna ahhoz, hogy soha ne kockáztasson.
Igaz, hogy a Slapper által okozott SSL-hiba kritikus volt - valójában az SSL2 és SSL3 történelmének legnagyobb hibája -, és mint ilyen, órákon belül kijavították. Azt, hogy két hónappal a probléma megtalálása és megoldása után valaki egy férget készített egy már kijavított hibára, és hogy ez a legerősebb példa, amelyet sebezhetőségként fel lehet hozni, legalábbis megnyugtat.
Általános szabály, hogy a férgek megoldása nem az, hogy megvásárol egy víruskeresőt, telepíti azt és pazarolja a számítási időt, hogy ott lakjon. A megoldás az, hogy a disztribúciónk biztonsági frissítési rendszerét kihasználjuk: ha a terjesztést frissítjük, nem lesz probléma. Csak a szükséges szolgáltatások futtatása két okból is jó ötlet: javítjuk az erőforrások felhasználását és elkerüljük a biztonsági problémákat.

3. mítosz:
"Nem hiszem, hogy a mag sérthetetlen. Valójában létezik egy rosszindulatú programok egy csoportja, az úgynevezett LRK (Linux Rootkits Kernel), amelyek pontosan a kernelmodulokban található sebezhetőségek kihasználására és a rendszer bináris fájljainak cseréjére épülnek.".

Válasz:
A rootkit alapvetően egy kernelparancs, amely lehetővé teszi bizonyos felhasználók és folyamatok létezésének elrejtését a szokásos eszközök elől, köszönhetően annak, hogy azok nem jelennek meg a / proc könyvtárban. A normális dolog az, hogy egy támadás végén használják, elsősorban egy távoli sebezhetőséget fognak kihasználni, hogy hozzáférjenek a gépünkhöz. Ezután egy sor támadást hajtanak végre, a jogok fokozására, amíg meg nem rendelkeznek a root fiókkal. A probléma az, amikor egy szolgáltatást telepítenek a gépünkre anélkül, hogy észlelnék őket: ott jön be a rootkit. Létrejön egy felhasználó, amely a rejteni kívánt szolgáltatás hatékony felhasználója lesz, telepíti a rootkitet, és elrejti mind a felhasználót, mind az adott felhasználóhoz tartozó összes folyamatot.
A felhasználó létének elrejtése hasznos egy vírus számára, amit hosszasan megvitathatnánk, de az a vírus, amely rootkit-et használ magának a telepítéshez, szórakoztatónak tűnik. Képzeljük el a vírus mechanikáját (álkódban):
1) A vírus bejut a rendszerbe.
2) Keresse meg a kernel forráskódját. Ha nem, akkor maga telepíti.
3) Állítsa be a kernelt a kérdéses gépre vonatkozó hardverbeállításokhoz.
4) Fordítsd le a kernelt.
5) Telepítse az új kernelt; szükség esetén a LILO vagy a GRUB módosítása.
6) Indítsa újra a gépet.

Az (5) és (6) lépés root jogosultságokat igényel. Kissé bonyolult, hogy a (4) és (6) lépéseket a fertőzöttek nem észlelik. De az a vicces, hogy van, aki úgy véli, hogy van olyan program, amely képes automatikusan végrehajtani a (2) és (3) lépést.
Tetőpontként, ha találkozunk valakivel, aki azt mondja nekünk, "amikor több Linux gép lesz, több vírus lesz", és azt javasolja, hogy "telepítsünk egy víruskeresőt, és folyamatosan frissítsük azt", az kapcsolatban lehet azzal a céggel, amely eladja az antivírust és a frissítéseket . Legyen gyanús, esetleg ugyanaz a tulajdonos.

Víruskereső Linuxhoz:

Igaz, hogy vannak jó víruskeresők a Linux számára. A probléma az, hogy nem azt teszik, amit a víruskeresők támogatnak. Feladata a rosszindulatú programokról és vírusokról a Windows-ra átvivő levelek szűrése, valamint a Windows vírusok létezésének ellenőrzése a SAMBA-n keresztül exportált mappákban; így ha gépünket levelezési átjáróként vagy NAS-ként használjuk a Windows gépeknél, akkor megvédhetjük őket.

Kagyló-AV:

Nem fejezzük be a jelentést anélkül, hogy nem beszélünk a GNU / Linux fő víruskeresőjéről: a ClamAV-ról.
A ClamAV egy nagyon erős GPL antivírus, amely a piacon elérhető Unix nagy részéhez fordít. Úgy tervezték, hogy elemezze az állomáson áthaladó levelek csatolmányait, és szűrje őket vírusokra.
Ez az alkalmazás tökéletesen integrálódik a sendmail-rel, hogy lehetővé tegye a vírusok szűrését, amelyek tárolhatók a vállalatoknak leveleket szolgáltató Linux szervereken; naponta frissülő vírusadatbázissal, digitális támogatással. Az adatbázist naponta többször frissítik, és ez egy élénk és nagyon érdekes projekt.
Ez a nagy teljesítményű program képes a vírusok elemzésére még a megnyitáshoz bonyolultabb formátumú mellékletekben is, például RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet fájlok, MS CHM (HTML COprinted) és MS SZDD.
A ClamAV támogatja az mbox, Maildir és RAW formátumú levélfájlokat, valamint az UPX, FSG és Petite programmal tömörített Portable Executable fájlokat is. A kagyló AV és a spamassassin pár tökéletes pár, amely megvédi Windows ügyfeleinket a Unix levelező kiszolgálóktól.

KÖVETKEZTETÉS

A kérdésre vannak-e sebezhetőségek a Linux rendszerekben? a válasz minden bizonnyal igen.
Ésszel senki sem kételkedik benne; A Linux nem OpenBSD. Egy másik dolog a biztonsági rés ablaka, amelyet egy Linux rendszer megfelelően frissített. Ha feltesszük magunknak a kérdést, vannak-e eszközök ezen biztonsági rések kihasználására és kihasználására? Nos, igen, de ezek nem vírusok, hanem kihasználások.

A vírusnak meg kell küzdenie számos további nehézséget, amelyeket a Windows védői mindig Linux hibaként / problémaként fogalmaztak meg, és amelyek megnehezítik a valódi vírusok létét - újrafordított kernek, sok alkalmazás sok verziója, sok disztribúció, ami nem adják át automatikusan átláthatóan a felhasználónak stb. A jelenlegi elméleti "vírusokat" manuálisan kell telepíteni a root fiókból. De ez nem tekinthető vírusnak.
Ahogy mindig mondom a hallgatóimnak: kérem, ne higgyen nekem. Töltse le és telepítse a rootkitet a gépre. És ha többet szeretne, olvassa el a piacon lévő "vírusok" forráskódját. Az igazság a forráskódban van. Az "önjelölt" vírusnak nehéz így elneveznie a kód elolvasása után. Ha pedig nem tudja, hogyan kell elolvasni a kódot, egyetlen egyszerű biztonsági intézkedést javasolok: a root fiókot csak a gép kezelésére használja, és a biztonsági frissítéseket naprakészen tartsa.
Csak ezzel lehetetlen, hogy a vírusok belépjenek, és nagyon valószínűtlen, hogy férgek vagy valaki sikeresen megtámadja a gépet.