Capa
KlamAV
Clamando
por segurança
O KlamAV leva o antivírus ClamAV para seu desktop KDE
Linux pode não ser vulnerável como o Windows, mas nenhum
usuário quer ficar “hospedando” programas maliciosos. Está
aberta a temporada de caça aos vírus com o KlamAV, um frontend para o sistema de proteção de código aberto ClamAV.
Por Robert Hogan
www.sxc.hu – Linda Mcnally
S
e você recebe email e baixa arquivos de fontes não confiáveis, seu
computador pode acabar se tornando um “repositório” de vírus e programas
maliciosos. Embora muito poucos desses
programas possam causar danos reais a
um sistema Linux, esses vírus continuam
sendo desnecessários e indesejados. Em
alguns casos, existe o risco de transmitilos para usuários de Windows ®. Portanto,
faz sentido implementar alguma forma
de proteção.
Uma das maiores histórias de sucesso
envolvendo software livre é o ClamAV,
que busca por assinaturas de vírus em
servidores de email, desenvolvido originalmente por Tomasz Kojm e hoje
apoiado por uma comunidade crescente, com infra-estrutura de atualizações
de nível profissional. Já o objetivo do
KlamAV é trazer esse poderoso sistema
para o desktop KDE.
32
fevereiro 2006
Obtendo ClamAV/KlamAV
Escaneando arquivos
e diretórios
O KlamAV já está começando a vir com
algumas distribuições Linux populares. Se A aba Scan da janela principal do Klao programa não estiver disponível em seu mAV permite selecionar os arquivos e
sistema, é possível instalá-lo de diversas pastas que se deseja escanear. Todas as
maneiras. A primeira opção é o instalador pastas de seu sistema estão disponíveis
disponível em [1]. Um duplo clique no ar- nessa aba. É possível selecionar qualquer
quivo baixado irá descompactar e rodar combinação de diretórios, com qualquer
um programa chamado
Arkollon [2], que gerencia
a compilação e instalação
do KlamAV e seus componentes. Mas a instalação
manual também é uma
opção, se você tiver baixado o pacote com o código
fonte. Nem é preciso dizer
que o ClamAV é um prérequisito para o KlamAV.
Então, não se esqueça de
Figura 1: O Arkollon, um instalador gráfico para Linux, lidando
baixá-lo [3] e instalá-lo
com a compilação e instalação do KlamAV.
antes de tudo.
edição 17
www.linuxmagazine.com.br
KlamAV
número de níveis, em quantas árvores
de diretórios você quiser, em um único passo. O KlamAV pode rodar vários
scans ao mesmo tempo.
Você também pode dar um clique com
o botão direito do mouse em um arquivo
ou diretório no Konqueror e começar um
scan pelo menu de contexto do navegador de arquivos. O KlamAV irá abrir uma
nova aba de escaneamento e continuará
com os processos interrompidos. Ainda
no espírito de completar tudo de uma
vez só, é possível agendar scans futuros nessa janela: por exemplo, após seu
próximo login no KDE.
Um recurso popular em muitos
antivírus comerciais é a checagem on-access, ou seja, o escaneamento automático
de arquivos assim que são acessados pelo
sistema. Graças ao módulo do kernel Dazuko [4] e o suporte integrado do ClamAV
a esse recurso, a checagem on-access
também é possível via KlamAV.
O Dazuko intercepta chamadas do
sistema a arquivos e permite que programas externos, como o ClamAV, decidam se o acesso a esse arquivo deve ser
permitido. Convenientemente, ele vem
junto com o KlamAV. No entanto, como
o kernel varia conforme a distribuição,
talvez seja melhor não selecioná-lo na
hora da instalação e fazer isso manualmente mais tarde.
Capa
A configuração é simples e direta. Você pode
decidir sob quais condições os arquivos serão
escaneados (por exemplo,
no momento da execução,
abertura, fechamento,
leitura ou gravação do
arquivo). Se quiser usar
esse recurso, encontre a
combinação que melhor
satisfaça a suas necessiFigura 3: Enquanto a checagem é feita, você pode selecionar
dades. Mas mantenha-se
outros arquivos e diretórios para escanear a partir do Konqueror.
consciente de que esse é,
talvez, o elemento mais
experimental do ClamAV/KlamAV. Nem de e-Mail no KlamAV e peça para ele
toda a área de escaneamento on-access configurar seu cliente de email para a
no Linux está 100% madura.
verificação de novas mensagens. Caso
seu cliente de email não seja compatível
com a configuração automática, o KlaUma desvantagem irritante nos atuais mAV permite configurar manualmente
sistemas desktop do Linux é que a maio- qualquer cliente de email em que seja
ria das tentativas para escanear novos possível “dar um pipe” nas mensagens
emails trava completamente o cliente para um programa externo. Estão dispode email enquanto as mensagens são níveis instruções para guiá-lo por esse
baixadas. Mas graças à elegância da processo de configuração.
arquitetura ClamAV, o KlamAV oferece
um componente chamado klanmail para
corrigir esse problema.
A parte mais importante do gerenciamento
Trata-se basicamente de um utilitário de um sistema de proteção para desktop
de linha de comando que aceita email é manter-se atualizado. O ClamAV posna entrada padrão, faz o escaneamento sui uma rede de atualizações que fica em
em um processo ClamAV rodando no pé de igualdade com – e muitas vezes
fundo e o devolve na sa- até superando – opções comerciais, em
ída padrão. Uma vez que velocidade e precisão na resposta a vírus
o processo de scan roda descobertos. Um estudo recente da Electric
como um daemon, não Mail constatou que, comparado com dois
há grande perda de tem- dos cinco melhores antivírus comerciais,
po com a inicialização
do klanmail.
Caso o email esteja
infectado, o klanmail
isola o vírus em um
email de alerta e mostra
uma janela de aviso. Para
Figura 2: Selecionando diretórios para serem escaneados. Note
usar esse útil recurso,
que há scans em andamento nas abas de seções ocultas.
Figura 4: Configurando scans agendados.
selecione a aba Proteção
Verificando emails
Atualizações
fevereiro 2006
www.linuxmagazine.com.br
edição 17
33
Capa
KlamAV
o ClamAV foi o primeiro a responder em que fazer com arquivos
77% das vezes em que foram descobertos suspeitos. Isso porque
os últimos 50 novos vírus [5].
os nomes dos vírus são
O KlamAV também permite o contato pouco esclarecedores.
“permanente” com o serviço de atuali- Todo mundo, em algum
zação com apenas alguns cliques. Para momento, já se viu no
checar por atualizações a cada meia hora, Google buscando pelo sigsimplesmente selecione a aba Atualizar, nificado de nomes como
selecione 48 Vezes por dia e marque Atu- “Gen.1024-PrScr.1”.
alizar base de dados de vírus automaticaO KlamAV tenta intemente. Agora clique em Atualizar agora grar da maneira mais fá- Figura 6: Cheque o banco de dados de assinaturas com o
navegador de vírus do KlamAV.
e esqueça o que acaba de ler, pois não cil possível esse segundo
vai precisar disso de novo.
passo no procedimento
Além das atualizações no banco de dados da descoberta de um vírus em seu sisde assinaturas de vírus, também é impor- tema. Quando o KlamAV encontra um O KlamAV é o humilde primo para KDE
tante manter o próprio ClamAV atualizado. vírus, ele é mostrado na interface de do formidável ClamAV. Ele traz todo o
Seu “motor” contém importantes sistemas escaneamento. Você tem a opção de poder do ClamAV para o KDE, com uma
de detecção, que são continuamente me- deixar todos os arquivos suspeitos em interface em que é muito fácil verificar
lhorados e atualizados. Se você selecionar quarentena imediatamente (eles podem arquivos e gerenciar suspeitas de infecUpdate ClamAV automatically (a tradução ser investigados melhor mais tarde, na ções. O futuro dos sistemas antivírus e
em português está incompleta) na aba aba Quarentena) ou usar o botão direito de proteção contra programas maliciosos
Atualizar, o KlamAV irá checar por uma do mouse para selecionar um ou mais para o desktop no Linux aponta para
nova versão do ClamAV sempre que ele for arquivos para uma pesquisa específica diversas direções. Entre elas, detecção de
iniciado. Se uma nova versão estiver dispo- e a "internação" em quarentena.
root kits, análise heurística, a evolução
nível, ela será baixada e até compilada. Mas
Se o ClamAV achar uma versão do do scan on-access e do escaneamento
mesmo que essa opção não seja marcada, Worm.Mytob, por exemplo, você pode da memória residente.
o programa ainda vai alertá-lo de que sua selecionar Search Worm.Mytob with ViEssa área vai se tornar mais importante
versão está ultrapassada, oferecendo a op- rusPool. Essa opção irá abrir a aba Infor- junto com o crescimento da adoção do
ção de baixar e instalar a atualização.
mações sobre Vírus. O banco de dados de Linux. E o ClamAV certamente fornece
assinaturas de vírus vai aparecer e um uma boa base para satisfazer as necesnavegador embutido exibirá informa- sidades do usuário doméstico de Linux.
ções sobre o Mytob usando como fonte Vamos torcer para que o KlamAV contiNão há muito segredo para se encontrar o VirusPool, um banco de dados online nue em sua missão de oferecer um ótimo
vírus. A tarefa desafiadora é decidir o sobre vírus conhecidos.
antivírus para o KDE. Se quiser ver o
Enquanto estiver no KlamAV em ação, vá até o site e cheque
navegador de vírus, você o vídeo-tutorial. Ou mergulhe logo de
pode pesquisar qualquer cabeça e baixe o instalador em [1].
■
um dos vírus no banco de
Informações
dados do ClamAV usando
diferentes fontes online. [1] KlamAV: klamav.sf.net
A opção de pesquisar ví- [2] Arkollon: apollon.sf.net
rus também está dispo[3] ClamAV: www.clamav.net
nível no gerenciador de
[4] O Dazuko está disponível em:
quarentena, novamente
www.dazuko.org
com um clique do botão
[5] Estudo da Electric Mail:
direito do mouse sobre o
www.linuxpipeline.com/166400446
Figura 5: O KlamAV procura por updates automaticamente.
arquivo infectado.
Finalmente
Vírus encontrado! Não
entre em pânico
34
fevereiro 2006
edição 17
www.linuxmagazine.com.br