ClamAV: Gevaarlijke bestanden in archieven blokkeren

  •  
  •  

Door een kleine aanpassing in ClamAV is het mogelijk om bepaalde bestanden in o.a. Zip-, Rar-, 7z- en Cab-archieven te blokkeren. Kwaadwillenden sturen vaak spammail met daarin archieven waar een exe-bestand zit. Dit ingepakte bestand bevat vaak een virus of andere malware. Ondanks dat het antivirusprogramma de bestanden in archieven wel controleert worden de virussen er niet altijd uitgehaald, simpelweg omdat de virusdefinities voor het betreffende virus meestal nog niet bestaan.

Hoe het werkt

Door in de map /var/lib/clamav  een .cdb-bestand te maken kun je op elke regel je eigen virusdefinities bepalen. Elke virusdefinitie krijgt een unieke naam gevolgt door de controleregel:

Example.Zip_exe:CL_TYPE_ZIP:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*

Installatie

Het bestand dat Foxhole aanbiedt is als basis gebruikt, er is alleen een extra controle voor Js-bestanden in archieven toegevoegd. Plak de inhoud van onderstaand kader in het bestand /var/lib/clamav/archived_malware.cdb om de controles te installeren.

Archived.Malware.7z_ade:CL_TYPE_7Z:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.7z_adp:CL_TYPE_7Z:*:\.[AA][Dd][Pp]$:*:*:*:*:*:*
Archived.Malware.7z_bat:CL_TYPE_7Z:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:*
Archived.Malware.7z_chm:CL_TYPE_7Z:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:*
Archived.Malware.7z_cmd:CL_TYPE_7Z:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:*
Archived.Malware.7z_com:CL_TYPE_7Z:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:*
Archived.Malware.7z_cpl:CL_TYPE_7Z:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:*
Archived.Malware.7z_exe:CL_TYPE_7Z:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*
Archived.Malware.7z_hta:CL_TYPE_7Z:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:*
Archived.Malware.7z_ins:CL_TYPE_7Z:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:*
Archived.Malware.7z_isp:CL_TYPE_7Z:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.7z_jse:CL_TYPE_7Z:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:*
Archived.Malware.7z_lib:CL_TYPE_7Z:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:*
Archived.Malware.7z_mde:CL_TYPE_7Z:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.7z_msd:CL_TYPE_7Z:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.7z_msp:CL_TYPE_7Z:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.7z_mst:CL_TYPE_7Z:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:*
Archived.Malware.7z_pif:CL_TYPE_7Z:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:*
Archived.Malware.7z_scr:CL_TYPE_7Z:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:*
Archived.Malware.7z_sct:CL_TYPE_7Z:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:*
Archived.Malware.7z_shb:CL_TYPE_7Z:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:*
Archived.Malware.7z_sys:CL_TYPE_7Z:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:*
Archived.Malware.7z_vb:CL_TYPE_7Z:*:\.[Vv][Bb]$:*:*:*:*:*:*
Archived.Malware.7z_vbe:CL_TYPE_7Z:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:*
Archived.Malware.7z_vbs:CL_TYPE_7Z:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:*
Archived.Malware.7z_vxd:CL_TYPE_7Z:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:*
Archived.Malware.7z_wsc:CL_TYPE_7Z:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.7z_wsf:CL_TYPE_7Z:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:*
Archived.Malware.7z_wsh:CL_TYPE_7Z:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:*
Archived.Malware.7z_lnk:CL_TYPE_7Z:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:*
Archived.Malware.Rar_ade:CL_TYPE_RAR:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.Rar_adp:CL_TYPE_RAR:*:\.[AA][Dd][Pp]$:*:*:*:*:*:*
Archived.Malware.Rar_bat:CL_TYPE_RAR:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:*
Archived.Malware.Rar_chm:CL_TYPE_RAR:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:*
Archived.Malware.Rar_cmd:CL_TYPE_RAR:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:*
Archived.Malware.Rar_com:CL_TYPE_RAR:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:*
Archived.Malware.Rar_cpl:CL_TYPE_RAR:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:*
Archived.Malware.Rar_exe:CL_TYPE_RAR:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*
Archived.Malware.Rar_hta:CL_TYPE_RAR:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:*
Archived.Malware.Rar_ins:CL_TYPE_RAR:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:*
Archived.Malware.Rar_isp:CL_TYPE_RAR:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.Rar_jse:CL_TYPE_RAR:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:*
Archived.Malware.Rar_lib:CL_TYPE_RAR:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:*
Archived.Malware.Rar_mde:CL_TYPE_RAR:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.Rar_msd:CL_TYPE_RAR:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.Rar_msp:CL_TYPE_RAR:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.Rar_mst:CL_TYPE_RAR:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:*
Archived.Malware.Rar_pif:CL_TYPE_RAR:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:*
Archived.Malware.Rar_scr:CL_TYPE_RAR:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:*
Archived.Malware.Rar_sct:CL_TYPE_RAR:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:*
Archived.Malware.Rar_shb:CL_TYPE_RAR:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:*
Archived.Malware.Rar_sys:CL_TYPE_RAR:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:*
Archived.Malware.Rar_vb:CL_TYPE_RAR:*:\.[Vv][Bb]$:*:*:*:*:*:*
Archived.Malware.Rar_vbe:CL_TYPE_RAR:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:*
Archived.Malware.Rar_vbs:CL_TYPE_RAR:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:*
Archived.Malware.Rar_vxd:CL_TYPE_RAR:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:*
Archived.Malware.Rar_wsc:CL_TYPE_RAR:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.Rar_wsf:CL_TYPE_RAR:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:*
Archived.Malware.Rar_wsh:CL_TYPE_RAR:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:*
Archived.Malware.Rar_lnk:CL_TYPE_RAR:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:*
Archived.Malware.Rar_jnlp:CL_TYPE_RAR:*:\.[Jj][Nn][Ll][Pp]$:*:*:*:*:*:*
Archived.Malware.Zip_ade:CL_TYPE_ZIP:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.Zip_adp:CL_TYPE_ZIP:*:\.[AA][Dd][Pp]$:*:*:*:*:*:*
Archived.Malware.Zip_bat:CL_TYPE_ZIP:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:*
Archived.Malware.Zip_chm:CL_TYPE_ZIP:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:*
Archived.Malware.Zip_cmd:CL_TYPE_ZIP:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:*
Archived.Malware.Zip_com:CL_TYPE_ZIP:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:*
Archived.Malware.Zip_cpl:CL_TYPE_ZIP:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:*
Archived.Malware.Zip_exe:CL_TYPE_ZIP:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*
Archived.Malware.Zip_hta:CL_TYPE_ZIP:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:*
Archived.Malware.Zip_ins:CL_TYPE_ZIP:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:*
Archived.Malware.Zip_isp:CL_TYPE_ZIP:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.Zip_jse:CL_TYPE_ZIP:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:*
Archived.Malware.Zip_lib:CL_TYPE_ZIP:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:*
Archived.Malware.Zip_mde:CL_TYPE_ZIP:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.Zip_msd:CL_TYPE_ZIP:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.Zip_msp:CL_TYPE_ZIP:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.Zip_mst:CL_TYPE_ZIP:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:*
Archived.Malware.Zip_pif:CL_TYPE_ZIP:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:*
Archived.Malware.Zip_scr:CL_TYPE_ZIP:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:*
Archived.Malware.Zip_sct:CL_TYPE_ZIP:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:*
Archived.Malware.Zip_shb:CL_TYPE_ZIP:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:*
Archived.Malware.Zip_sys:CL_TYPE_ZIP:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:*
Archived.Malware.Zip_jar:CL_TYPE_ZIP:*:\.[Jj][Aa][Rr]$:*:*:*:*:*:*
Archived.Malware.Zip_vb:CL_TYPE_ZIP:*:\.[Vv][Bb]$:*:*:*:*:*:*
Archived.Malware.Zip_vbe:CL_TYPE_ZIP:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:*
Archived.Malware.Zip_vbs:CL_TYPE_ZIP:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:*
Archived.Malware.Zip_vxd:CL_TYPE_ZIP:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:*
Archived.Malware.Zip_wsc:CL_TYPE_ZIP:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.Zip_wsf:CL_TYPE_ZIP:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:*
Archived.Malware.Zip_wsh:CL_TYPE_ZIP:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:*
Archived.Malware.Zip_lnk:CL_TYPE_ZIP:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:*
Archived.Malware.Zip_jnlp:CL_TYPE_ZIP:*:\.[Jj][Nn][Ll][Pp]$:*:*:*:*:*:*
Archived.Malware.Arj_ade:CL_TYPE_ARJ:*:\.[Aa][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.Arj_adp:CL_TYPE_ARJ:*:\.[AA][Dd][Pp]$:*:*:*:*:*:*
Archived.Malware.Arj_bat:CL_TYPE_ARJ:*:\.[Bb][Aa][Tt]$:*:*:*:*:*:*
Archived.Malware.Arj_chm:CL_TYPE_ARJ:*:\.[Cc][Hh][Mm]$:*:*:*:*:*:*
Archived.Malware.Arj_cmd:CL_TYPE_ARJ:*:\.[Cc][Mm][Dd]$:*:*:*:*:*:*
Archived.Malware.Arj_com:CL_TYPE_ARJ:*:\.[Cc][Oo][Mm]$:*:*:*:*:*:*
Archived.Malware.Arj_cpl:CL_TYPE_ARJ:*:\.[Cc][Pp][Ll]$:*:*:*:*:*:*
Archived.Malware.Arj_exe:CL_TYPE_ARJ:*:\.[Ee][Xx][Ee]$:*:*:*:*:*:*
Archived.Malware.Arj_hta:CL_TYPE_ARJ:*:\.[Hh][Tt][Aa]$:*:*:*:*:*:*
Archived.Malware.Arj_ins:CL_TYPE_ARJ:*:\.[Ii][Nn][Ss]$:*:*:*:*:*:*
Archived.Malware.Arj_isp:CL_TYPE_ARJ:*:\.[Ii][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.Arj_jse:CL_TYPE_ARJ:*:\.[Jj][Ss][Ee]$:*:*:*:*:*:*
Archived.Malware.Arj_lib:CL_TYPE_ARJ:*:\.[Ll][Ii][Bb]$:*:*:*:*:*:*
Archived.Malware.Arj_mde:CL_TYPE_ARJ:*:\.[Mm][Dd][Ee]$:*:*:*:*:*:*
Archived.Malware.Arj_msd:CL_TYPE_ARJ:*:\.[Mm][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.Arj_msp:CL_TYPE_ARJ:*:\.[Mm][Ss][Pp]$:*:*:*:*:*:*
Archived.Malware.Arj_mst:CL_TYPE_ARJ:*:\.[Mm][Ss][Tt]$:*:*:*:*:*:*
Archived.Malware.Arj_pif:CL_TYPE_ARJ:*:\.[Pp][Ii][Ff]$:*:*:*:*:*:*
Archived.Malware.Arj_scr:CL_TYPE_ARJ:*:\.[Ss][Cc][Rr]$:*:*:*:*:*:*
Archived.Malware.Arj_sct:CL_TYPE_ARJ:*:\.[Ss][Cc][Tt]$:*:*:*:*:*:*
Archived.Malware.Arj_shb:CL_TYPE_ARJ:*:\.[Ss][Hh][Bb]$:*:*:*:*:*:*
Archived.Malware.Arj_sys:CL_TYPE_ARJ:*:\.[Ss][Yy][Ss]$:*:*:*:*:*:*
Archived.Malware.Arj_vb:CL_TYPE_ARJ:*:\.[Vv][Bb]$:*:*:*:*:*:*
Archived.Malware.Arj_vbe:CL_TYPE_ARJ:*:\.[Vv][Bb][Ee]$:*:*:*:*:*:*
Archived.Malware.Arj_vbs:CL_TYPE_ARJ:*:\.[Vv][Bb][Ss]$:*:*:*:*:*:*
Archived.Malware.Arj_vxd:CL_TYPE_ARJ:*:\.[Vv][Xx][Dd]$:*:*:*:*:*:*
Archived.Malware.Arj_wsc:CL_TYPE_ARJ:*:\.[Ww][Ss][Cc]$:*:*:*:*:*:*
Archived.Malware.Arj_wsf:CL_TYPE_ARJ:*:\.[Ww][Ss][Ff]$:*:*:*:*:*:*
Archived.Malware.Arj_wsh:CL_TYPE_ARJ:*:\.[Ww][Ss][Hh]$:*:*:*:*:*:*
Archived.Malware.Arj_lnk:CL_TYPE_ARJ:*:\.[Ll][Nn][Kk]$:*:*:*:*:*:*
Archived.Malware.Cab_scr:CL_TYPE_MSCAB:*:\*[Ss][Cc][Rr]$:*:*:*:*:*:*
Archived.Malware.Cab_exe:CL_TYPE_MSCAB:*:\*[Ee][Xx][Ee]$:*:*:*:*:*:*
# Custom JS in archive detection
Archived.Malware.Zip_js:CL_TYPE_ZIP:*:\.[Jj][Ss]$:*:*:*:*:*:*
Archived.Malware.Rar_js:CL_TYPE_RAR:*:\.[Jj][Ss]$:*:*:*:*:*:*
Archived.Malware.7Z_js:CL_TYPE_7Z:*:\.[Jj][Ss]$:*:*:*:*:*:*

RAR archieven scannen

Het standaard clamav pakket op Linux biedt geen ondersteuning voor het scannen van RAR-archieven omdat dit pakket niet voldoet aan de richtlijnen voor gratis software (Zie ook DFSG). Daarom dien je deze ondersteuning handmatig toe te voegen:

apt-get install libclamunrar7

Mocht dit pakket niet aangetroffen worden, dan moet je eert de non-free repositories inschakelen als je dat nog niet gedaan hebt. Vervolgens kun je het juiste pakket opzoeken via de apt-cache:

apt-cache search libclamunrar

In in resultaat zal de exacte naam van het juiste pakket beschikbaar zijn, deze kun je vervolgens gebruiken in bovenstaande install-opdracht door libclamunrar7 te vervangen. Als laatste hoeft ClamAV alleen maar even herstart te worden:

service clamav-daemon restart

Testen

Zodra bovenstaand bestand is opgeslagen is het filter direct actief. Waneer je een bijvoorbeeld een e-mail als .eml hebt opgeslagen kun je deze als volgt door  clamscan laten testen:

clamscan example.eml

Het scanresultaat zou er ongeveer als volgt uit moeten zien (let vooral op de regel Infected files):

virus-in-attachment-clamscan-result

Debuggen

Wanneer bovenstaande test geen infected files teruggeeft, wordt dit meestal veroorzaakt door een van de volgende problemen:

  1. Het cdb-bestand heeft niet de juiste eigenaar:
    chown clamav:clamav archived_malware.cdb
  2. Het filter is nog niet ingeladen, clamscan moet herstart worden:
    /etc/init.d/clamav-daemon restart

Conclusie

Door bovenstaand filter te installeren zullen zeker alle archieven met daarin uitvoerbare bestanden worden tegengehouden. Dit is meteen ook het grootste bijkomende nadeel van dit filter, het controleert niet of er daadwerkelijk kwaadwillende inhoud in deze executables zit, alle executables worden simpelweg geweigerd. Hierdoor kan het aantal false-positives sterk toenemen, echter zijn eindgebruikers wel beter beschermd.