clamav-update
clamav-update のフォーラム
 
 FAQFAQ   検索検索   メンバーリストメンバーリスト   ユーザーグループユーザーグループ   登録する登録する 
 プロフィールプロフィール   プライベートメッセージをチェックするプライベートメッセージをチェックする   ログインログイン 

Mac OS X ターゲットのウィルスデータベース

 
新しいトピックを投稿   トピックに返信    clamav-update Forum Index -> Idle Talk
前のトピックを表示 :: 次のトピックを表示  
投稿者 メッセージ
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-11-07 05:12:56+00:00    記事の件名: Mac OS X ターゲットのウィルスデータベース 引用付きで返信

先日 OSX.RSPlug という Mac OS X がターゲットのトロイの木馬が出てきましたが、ClamAV でスキャンしても検知できませんでした

早速、現物を探して ClamAV のウィルスデータベースチームに報告したのですがまだ反映されていません。毎日チェックしながら dmg ファイルで送ったから中身を開けないのかなあなどと気をもんでいました。

ところが「Mark's Software Forums :: View topic - Mac OsX Specific Virus Signatures Available」で Mac OS X ターゲットのウィルスデータベースが紹介されました。これをダウンロードして /usr/local/clamXav/share/clamav/ に置いて clamd を再起動したところ、次のようにちゃんと検知しました。
Code:
$ ClamdOmitScan.pl --config-file=/usr/local/clamXav/etc/clamd.conf --lock --scan-rsrc --stdout --recursive hoge
Can't opendir(/private/var/ClamdOmitScan/isolated/hoge/.Trashes): Permission denied
 at /usr/local/bin/ClamdOmitScan.pl line 1338
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Archive.bom: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Archive.pax.gz: OsX.DnsChaCodec.PreIU.Generic.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Info.plist: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/PkgInfo: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/344.bom: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/344.pax.gz: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/344.sizes: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/BundleVersions.plist: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/package_version: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/postinstall: OsX.DnsChaCodec.PostIU.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/postupgrade: OsX.DnsChaCodec.PostIU.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/preinstall: OsX.DnsChaCodec.PreIU.Generic.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/preupgrade: OsX.DnsChaCodec.PreIU.Generic.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/English.lproj/344.info: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/English.lproj/Description.plist: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/English.lproj/License.txt: OK

----------- SCAN SUMMARY -----------
Start at: Wed Nov  7 04:56:35 2007
Server: /var/ClamdOmitScan/clamd.socket
Engine version: ClamAV 0.91.2/4682/Wed Nov  7 00:42:37 2007
Inspection period: 2419200 sec (4.0 w)
Scanning data: /Users/xxxxxx/.ClamdOmitScan
Scanned directories: 6
Scanned files: 16
Checked files: 0
Infected files: 5
Data scanned: 86.93 KB
Data checked: 0.00 B
Time: 0.139 sec (0 m 0 s)

ClamXav 作者の Mark さんの計らいで、ClamXav のサイトからもダウンロードできるようになっています。そのデータベースの現在の MD5 ハッシュ値は 5eec7b1934f73c90ff8600d36ae5814c です。

Mac ユーザにはありがたいウィルスデータベースを作ってくださった OsX1Trojan さんに感謝です。

追記
dmg ファイルのままスキャンさせたところ、次のようにこれも検知しました。
Code:
$ ClamdOmitScan.pl --config-file=/usr/local/clamXav/etc/clamd.conf --lock --scan-rsrc --stdout --recursive procodec4108.dmg
/private/var/ClamdOmitScan/isolated/procodec4108.dmg: OsX.DnsChaCodec.Dmg.Generic.1 FOUND

----------- SCAN SUMMARY -----------
Start at: Wed Nov  7 05:21:15 2007
Server: /var/ClamdOmitScan/clamd.socket
Engine version: ClamAV 0.91.2/4682/Wed Nov  7 00:42:37 2007
Inspection period: 2419200 sec (4.0 w)
Scanning data: /Users/xxxxxx/.ClamdOmitScan
Scanned directories: 0
Scanned files: 1
Checked files: 0
Infected files: 1
Data scanned: 16.64 KB
Data checked: 0.00 B
Time: 0.022 sec (0 m 0 s)
Intego の VirusBarrier X4 は dmg のままでは検知しない方針なので、こっちの方がありがたいと思います。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
okamura
Site Admin


登録日: 2006.11.13
記事: 291
所在地: 埼玉県

記事日時: 2007-11-10 22:51:36+00:00    記事の件名: 正式版ウィルスデータベースが対応しました 引用付きで返信

今日、気が向いてこの非公式版を外してチェックしてみたら ClamAV 正式版のウィルスデータベースだけで検出できました。その様子を「OSX.RSPlug に ClamAV と Virex が対応しました」に書いておきました。

ClamAV の正式版ウィルスデータベースでは dmg ファイルのマウント内容(そしてこれは推測ですがインストールしてしまってできるファイル)の検出はできますが、dmg ファイル自身は感染ファイルとして検出はしません。邪魔じゃなければ引き続き非公式版を併用しておくとよいと思います。
_________________
OKAMURA
トップに戻る
ユーザーのプロフィールを表示 プライベートメッセージを送信 投稿者のウェブサイトに移動 AIM
特定期間内の記事を表示:   
新しいトピックを投稿   トピックに返信    clamav-update Forum Index -> Idle Talk All times are GMT + 9 Hours
Page 1 of 1

 
移動先:  
新規投稿: 不可
返信投稿: 不可
記事編集: 不可
記事削除: 不可
投票参加: 不可


Hosting by SourceForge.jp
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : PHPBB JAPAN / EUC-JP Edition : JP Support Forum