Door een kleine aanpassing in ClamAV is het mogelijk om bepaalde bestanden in o.a. Zip-, Rar-, 7z- en Cab-archieven te blokkeren. Kwaadwillenden sturen vaak spammail met daarin archieven waar een exe-bestand zit. Dit ingepakte bestand bevat vaak een virus of andere malware . Ondanks dat het antivirusprogramma de bestanden in archieven wel controleert worden de virussen er niet altijd uitgehaald, simpelweg omdat de virusdefinities voor het betreffende virus meestal nog niet bestaan.
Hoe het werkt
Door in de map /var/lib/clamav
een .cdb-bestand
te maken kun je op elke regel je eigen virusdefinities bepalen. Elke virusdefinitie krijgt een unieke naam gevolgt door de controleregel:
Example.Zip_exe:CL_TYPE_ZIP:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*
Installatie
Het bestand dat Foxhole aanbiedt is als basis gebruikt, er is alleen een extra controle voor Js-bestanden in archieven toegevoegd. Plak de inhoud van onderstaand kader in het bestand /var/lib/clamav/archived_malware.cdb
om de controles te installeren.
Archived.Malware.7z_ade:CL_TYPE_7Z:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.7z_adp:CL_TYPE_7Z:*:\.[AA][Dd][Pp]$:*:*:*:*:*:* Archived.Malware.7z_bat:CL_TYPE_7Z:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:* Archived.Malware.7z_chm:CL_TYPE_7Z:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:* Archived.Malware.7z_cmd:CL_TYPE_7Z:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:* Archived.Malware.7z_com:CL_TYPE_7Z:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:* Archived.Malware.7z_cpl:CL_TYPE_7Z:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:* Archived.Malware.7z_exe:CL_TYPE_7Z:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:* Archived.Malware.7z_hta:CL_TYPE_7Z:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:* Archived.Malware.7z_ins:CL_TYPE_7Z:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:* Archived.Malware.7z_isp:CL_TYPE_7Z:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.7z_jse:CL_TYPE_7Z:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:* Archived.Malware.7z_lib:CL_TYPE_7Z:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:* Archived.Malware.7z_mde:CL_TYPE_7Z:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.7z_msd:CL_TYPE_7Z:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.7z_msp:CL_TYPE_7Z:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.7z_mst:CL_TYPE_7Z:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:* Archived.Malware.7z_pif:CL_TYPE_7Z:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:* Archived.Malware.7z_scr:CL_TYPE_7Z:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:* Archived.Malware.7z_sct:CL_TYPE_7Z:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:* Archived.Malware.7z_shb:CL_TYPE_7Z:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:* Archived.Malware.7z_sys:CL_TYPE_7Z:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:* Archived.Malware.7z_vb:CL_TYPE_7Z:*:\.[Vv][Bb]$:*:*:*:*:*:* Archived.Malware.7z_vbe:CL_TYPE_7Z:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:* Archived.Malware.7z_vbs:CL_TYPE_7Z:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:* Archived.Malware.7z_vxd:CL_TYPE_7Z:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:* Archived.Malware.7z_wsc:CL_TYPE_7Z:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.7z_wsf:CL_TYPE_7Z:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:* Archived.Malware.7z_wsh:CL_TYPE_7Z:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:* Archived.Malware.7z_lnk:CL_TYPE_7Z:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:* Archived.Malware.Rar_ade:CL_TYPE_RAR:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.Rar_adp:CL_TYPE_RAR:*:\.[AA][Dd][Pp]$:*:*:*:*:*:* Archived.Malware.Rar_bat:CL_TYPE_RAR:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:* Archived.Malware.Rar_chm:CL_TYPE_RAR:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:* Archived.Malware.Rar_cmd:CL_TYPE_RAR:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:* Archived.Malware.Rar_com:CL_TYPE_RAR:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:* Archived.Malware.Rar_cpl:CL_TYPE_RAR:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:* Archived.Malware.Rar_exe:CL_TYPE_RAR:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:* Archived.Malware.Rar_hta:CL_TYPE_RAR:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:* Archived.Malware.Rar_ins:CL_TYPE_RAR:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:* Archived.Malware.Rar_isp:CL_TYPE_RAR:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.Rar_jse:CL_TYPE_RAR:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:* Archived.Malware.Rar_lib:CL_TYPE_RAR:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:* Archived.Malware.Rar_mde:CL_TYPE_RAR:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.Rar_msd:CL_TYPE_RAR:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.Rar_msp:CL_TYPE_RAR:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.Rar_mst:CL_TYPE_RAR:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:* Archived.Malware.Rar_pif:CL_TYPE_RAR:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:* Archived.Malware.Rar_scr:CL_TYPE_RAR:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:* Archived.Malware.Rar_sct:CL_TYPE_RAR:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:* Archived.Malware.Rar_shb:CL_TYPE_RAR:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:* Archived.Malware.Rar_sys:CL_TYPE_RAR:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:* Archived.Malware.Rar_vb:CL_TYPE_RAR:*:\.[Vv][Bb]$:*:*:*:*:*:* Archived.Malware.Rar_vbe:CL_TYPE_RAR:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:* Archived.Malware.Rar_vbs:CL_TYPE_RAR:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:* Archived.Malware.Rar_vxd:CL_TYPE_RAR:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:* Archived.Malware.Rar_wsc:CL_TYPE_RAR:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.Rar_wsf:CL_TYPE_RAR:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:* Archived.Malware.Rar_wsh:CL_TYPE_RAR:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:* Archived.Malware.Rar_lnk:CL_TYPE_RAR:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:* Archived.Malware.Rar_jnlp:CL_TYPE_RAR:*:\.[Jj][Nn][Ll][Pp]$:*:*:*:*:*:* Archived.Malware.Zip_ade:CL_TYPE_ZIP:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.Zip_adp:CL_TYPE_ZIP:*:\.[AA][Dd][Pp]$:*:*:*:*:*:* Archived.Malware.Zip_bat:CL_TYPE_ZIP:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:* Archived.Malware.Zip_chm:CL_TYPE_ZIP:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:* Archived.Malware.Zip_cmd:CL_TYPE_ZIP:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:* Archived.Malware.Zip_com:CL_TYPE_ZIP:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:* Archived.Malware.Zip_cpl:CL_TYPE_ZIP:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:* Archived.Malware.Zip_exe:CL_TYPE_ZIP:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:* Archived.Malware.Zip_hta:CL_TYPE_ZIP:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:* Archived.Malware.Zip_ins:CL_TYPE_ZIP:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:* Archived.Malware.Zip_isp:CL_TYPE_ZIP:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.Zip_jse:CL_TYPE_ZIP:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:* Archived.Malware.Zip_lib:CL_TYPE_ZIP:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:* Archived.Malware.Zip_mde:CL_TYPE_ZIP:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.Zip_msd:CL_TYPE_ZIP:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.Zip_msp:CL_TYPE_ZIP:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.Zip_mst:CL_TYPE_ZIP:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:* Archived.Malware.Zip_pif:CL_TYPE_ZIP:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:* Archived.Malware.Zip_scr:CL_TYPE_ZIP:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:* Archived.Malware.Zip_sct:CL_TYPE_ZIP:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:* Archived.Malware.Zip_shb:CL_TYPE_ZIP:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:* Archived.Malware.Zip_sys:CL_TYPE_ZIP:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:* Archived.Malware.Zip_jar:CL_TYPE_ZIP:*:\.[Jj][Aa][Rr]$:*:*:*:*:*:* Archived.Malware.Zip_vb:CL_TYPE_ZIP:*:\.[Vv][Bb]$:*:*:*:*:*:* Archived.Malware.Zip_vbe:CL_TYPE_ZIP:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:* Archived.Malware.Zip_vbs:CL_TYPE_ZIP:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:* Archived.Malware.Zip_vxd:CL_TYPE_ZIP:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:* Archived.Malware.Zip_wsc:CL_TYPE_ZIP:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.Zip_wsf:CL_TYPE_ZIP:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:* Archived.Malware.Zip_wsh:CL_TYPE_ZIP:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:* Archived.Malware.Zip_lnk:CL_TYPE_ZIP:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:* Archived.Malware.Zip_jnlp:CL_TYPE_ZIP:*:\.[Jj][Nn][Ll][Pp]$:*:*:*:*:*:* Archived.Malware.Arj_ade:CL_TYPE_ARJ:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.Arj_adp:CL_TYPE_ARJ:*:\.[AA][Dd][Pp]$:*:*:*:*:*:* Archived.Malware.Arj_bat:CL_TYPE_ARJ:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:* Archived.Malware.Arj_chm:CL_TYPE_ARJ:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:* Archived.Malware.Arj_cmd:CL_TYPE_ARJ:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:* Archived.Malware.Arj_com:CL_TYPE_ARJ:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:* Archived.Malware.Arj_cpl:CL_TYPE_ARJ:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:* Archived.Malware.Arj_exe:CL_TYPE_ARJ:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:* Archived.Malware.Arj_hta:CL_TYPE_ARJ:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:* Archived.Malware.Arj_ins:CL_TYPE_ARJ:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:* Archived.Malware.Arj_isp:CL_TYPE_ARJ:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.Arj_jse:CL_TYPE_ARJ:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:* Archived.Malware.Arj_lib:CL_TYPE_ARJ:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:* Archived.Malware.Arj_mde:CL_TYPE_ARJ:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:* Archived.Malware.Arj_msd:CL_TYPE_ARJ:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.Arj_msp:CL_TYPE_ARJ:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:* Archived.Malware.Arj_mst:CL_TYPE_ARJ:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:* Archived.Malware.Arj_pif:CL_TYPE_ARJ:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:* Archived.Malware.Arj_scr:CL_TYPE_ARJ:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:* Archived.Malware.Arj_sct:CL_TYPE_ARJ:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:* Archived.Malware.Arj_shb:CL_TYPE_ARJ:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:* Archived.Malware.Arj_sys:CL_TYPE_ARJ:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:* Archived.Malware.Arj_vb:CL_TYPE_ARJ:*:\.[Vv][Bb]$:*:*:*:*:*:* Archived.Malware.Arj_vbe:CL_TYPE_ARJ:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:* Archived.Malware.Arj_vbs:CL_TYPE_ARJ:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:* Archived.Malware.Arj_vxd:CL_TYPE_ARJ:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:* Archived.Malware.Arj_wsc:CL_TYPE_ARJ:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:* Archived.Malware.Arj_wsf:CL_TYPE_ARJ:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:* Archived.Malware.Arj_wsh:CL_TYPE_ARJ:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:* Archived.Malware.Arj_lnk:CL_TYPE_ARJ:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:* Archived.Malware.Cab_scr:CL_TYPE_MSCAB:*:\*[Ss][Cc][Rr]$:*:*:*:*:*:* Archived.Malware.Cab_exe:CL_TYPE_MSCAB:*:\*[Ee][Xx][Ee]$:*:*:*:*:*:* # Custom JS in archive detection Archived.Malware.Zip_js:CL_TYPE_ZIP:*:\.[Jj][Ss]$:*:*:*:*:*:* Archived.Malware.Rar_js:CL_TYPE_RAR:*:\.[Jj][Ss]$:*:*:*:*:*:* Archived.Malware.7Z_js:CL_TYPE_7Z:*:\.[Jj][Ss]$:*:*:*:*:*:*
RAR archieven scannen
Het standaard clamav pakket op Linux biedt geen ondersteuning voor het scannen van RAR-archieven omdat dit pakket niet voldoet aan de richtlijnen voor gratis software (Zie ook DFSG ). Daarom dien je deze ondersteuning handmatig toe te voegen:
apt-get install libclamunrar7
Mocht dit pakket niet aangetroffen worden, dan moet je eert de non-free repositories inschakelen als je dat nog niet gedaan hebt. Vervolgens kun je het juiste pakket opzoeken via de apt-cache:
apt-cache search libclamunrar
In in resultaat zal de exacte naam van het juiste pakket beschikbaar zijn, deze kun je vervolgens gebruiken in bovenstaande install-opdracht door libclamunrar7
te vervangen. Als laatste hoeft ClamAV alleen maar even herstart te worden:
service clamav-daemon restart
Testen
Zodra bovenstaand bestand is opgeslagen is het filter direct actief. Waneer je een bijvoorbeeld een e-mail als .eml
hebt opgeslagen kun je deze als volgt door clamscan
laten testen:
clamscan example.eml
Het scanresultaat zou er ongeveer als volgt uit moeten zien (let vooral op de regel Infected files ):
Debuggen
Wanneer bovenstaande test geen infected files teruggeeft, wordt dit meestal veroorzaakt door een van de volgende problemen:
Het cdb-bestand heeft niet de juiste eigenaar:
chown clamav:clamav archived_malware.cdb
Het filter is nog niet ingeladen, clamscan moet herstart worden:
/etc/init.d/clamav-daemon restart
Conclusie
Door bovenstaand filter te installeren zullen zeker alle archieven met daarin uitvoerbare bestanden worden tegengehouden. Dit is meteen ook het grootste bijkomende nadeel van dit filter, het controleert niet of er daadwerkelijk kwaadwillende inhoud in deze executables zit, alle executables worden simpelweg geweigerd. Hierdoor kan het aantal false-positives sterk toenemen, echter zijn eindgebruikers wel beter beschermd.