| 前のトピックを表示 :: 次のトピックを表示 |
| 投稿者 |
メッセージ |
okamura
Site Admin
登録日: 2006.11.13
記事: 291
所在地: 埼玉県
|
 日時: 2007-11-07 05:12:56+00:00 記事の件名: Mac OS X ターゲットのウィルスデータベース |
 |
|
先日 OSX.RSPlug という Mac OS X がターゲットのトロイの木馬が出てきましたが、ClamAV でスキャンしても検知できませんでした。
早速、現物を探して ClamAV のウィルスデータベースチームに報告したのですがまだ反映されていません。毎日チェックしながら dmg ファイルで送ったから中身を開けないのかなあなどと気をもんでいました。
ところが「Mark's Software Forums :: View topic - Mac OsX Specific Virus Signatures Available」で Mac OS X ターゲットのウィルスデータベースが紹介されました。これをダウンロードして /usr/local/clamXav/share/clamav/ に置いて clamd を再起動したところ、次のようにちゃんと検知しました。 | Code: | $ ClamdOmitScan.pl --config-file=/usr/local/clamXav/etc/clamd.conf --lock --scan-rsrc --stdout --recursive hoge
Can't opendir(/private/var/ClamdOmitScan/isolated/hoge/.Trashes): Permission denied
at /usr/local/bin/ClamdOmitScan.pl line 1338
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Archive.bom: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Archive.pax.gz: OsX.DnsChaCodec.PreIU.Generic.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Info.plist: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/PkgInfo: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/344.bom: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/344.pax.gz: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/344.sizes: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/BundleVersions.plist: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/package_version: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/postinstall: OsX.DnsChaCodec.PostIU.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/postupgrade: OsX.DnsChaCodec.PostIU.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/preinstall: OsX.DnsChaCodec.PreIU.Generic.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/preupgrade: OsX.DnsChaCodec.PreIU.Generic.1 FOUND
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/English.lproj/344.info: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/English.lproj/Description.plist: OK
/private/var/ClamdOmitScan/isolated/hoge/install.pkg/Contents/Resources/English.lproj/License.txt: OK
----------- SCAN SUMMARY -----------
Start at: Wed Nov 7 04:56:35 2007
Server: /var/ClamdOmitScan/clamd.socket
Engine version: ClamAV 0.91.2/4682/Wed Nov 7 00:42:37 2007
Inspection period: 2419200 sec (4.0 w)
Scanning data: /Users/xxxxxx/.ClamdOmitScan
Scanned directories: 6
Scanned files: 16
Checked files: 0
Infected files: 5
Data scanned: 86.93 KB
Data checked: 0.00 B
Time: 0.139 sec (0 m 0 s) |
ClamXav 作者の Mark さんの計らいで、ClamXav のサイトからもダウンロードできるようになっています。そのデータベースの現在の MD5 ハッシュ値は 5eec7b1934f73c90ff8600d36ae5814c です。
Mac ユーザにはありがたいウィルスデータベースを作ってくださった OsX1Trojan さんに感謝です。
追記
dmg ファイルのままスキャンさせたところ、次のようにこれも検知しました。 | Code: | $ ClamdOmitScan.pl --config-file=/usr/local/clamXav/etc/clamd.conf --lock --scan-rsrc --stdout --recursive procodec4108.dmg
/private/var/ClamdOmitScan/isolated/procodec4108.dmg: OsX.DnsChaCodec.Dmg.Generic.1 FOUND
----------- SCAN SUMMARY -----------
Start at: Wed Nov 7 05:21:15 2007
Server: /var/ClamdOmitScan/clamd.socket
Engine version: ClamAV 0.91.2/4682/Wed Nov 7 00:42:37 2007
Inspection period: 2419200 sec (4.0 w)
Scanning data: /Users/xxxxxx/.ClamdOmitScan
Scanned directories: 0
Scanned files: 1
Checked files: 0
Infected files: 1
Data scanned: 16.64 KB
Data checked: 0.00 B
Time: 0.022 sec (0 m 0 s) |
Intego の VirusBarrier X4 は dmg のままでは検知しない方針なので、こっちの方がありがたいと思います。
_________________
OKAMURA |
|
| トップに戻る |
|
 |
okamura
Site Admin
登録日: 2006.11.13
記事: 291
所在地: 埼玉県
|
| 日時: 2007-11-10 22:51:36+00:00 記事の件名: 正式版ウィルスデータベースが対応しました |
|
|
今日、気が向いてこの非公式版を外してチェックしてみたら ClamAV 正式版のウィルスデータベースだけで検出できました。その様子を「OSX.RSPlug に ClamAV と Virex が対応しました」に書いておきました。
ClamAV の正式版ウィルスデータベースでは dmg ファイルのマウント内容(そしてこれは推測ですがインストールしてしまってできるファイル)の検出はできますが、dmg ファイル自身は感染ファイルとして検出はしません。邪魔じゃなければ引き続き非公式版を併用しておくとよいと思います。
_________________
OKAMURA |
|
| トップに戻る |
|
|
|
FAQ
検索
メンバーリスト
ユーザーグループ
登録する
プロフィール
プライベートメッセージをチェックする
ログイン
