Capa KlamAV Clamando por segurança O KlamAV leva o antivírus ClamAV para seu desktop KDE Linux pode não ser vulnerável como o Windows, mas nenhum usuário quer ficar “hospedando” programas maliciosos. Está aberta a temporada de caça aos vírus com o KlamAV, um frontend para o sistema de proteção de código aberto ClamAV. Por Robert Hogan www.sxc.hu – Linda Mcnally S e você recebe email e baixa arquivos de fontes não confiáveis, seu computador pode acabar se tornando um “repositório” de vírus e programas maliciosos. Embora muito poucos desses programas possam causar danos reais a um sistema Linux, esses vírus continuam sendo desnecessários e indesejados. Em alguns casos, existe o risco de transmitilos para usuários de Windows ®. Portanto, faz sentido implementar alguma forma de proteção. Uma das maiores histórias de sucesso envolvendo software livre é o ClamAV, que busca por assinaturas de vírus em servidores de email, desenvolvido originalmente por Tomasz Kojm e hoje apoiado por uma comunidade crescente, com infra-estrutura de atualizações de nível profissional. Já o objetivo do KlamAV é trazer esse poderoso sistema para o desktop KDE. 32 fevereiro 2006 Obtendo ClamAV/KlamAV Escaneando arquivos e diretórios O KlamAV já está começando a vir com algumas distribuições Linux populares. Se A aba Scan da janela principal do Klao programa não estiver disponível em seu mAV permite selecionar os arquivos e sistema, é possível instalá-lo de diversas pastas que se deseja escanear. Todas as maneiras. A primeira opção é o instalador pastas de seu sistema estão disponíveis disponível em [1]. Um duplo clique no ar- nessa aba. É possível selecionar qualquer quivo baixado irá descompactar e rodar combinação de diretórios, com qualquer um programa chamado Arkollon [2], que gerencia a compilação e instalação do KlamAV e seus componentes. Mas a instalação manual também é uma opção, se você tiver baixado o pacote com o código fonte. Nem é preciso dizer que o ClamAV é um prérequisito para o KlamAV. Então, não se esqueça de Figura 1: O Arkollon, um instalador gráfico para Linux, lidando baixá-lo [3] e instalá-lo com a compilação e instalação do KlamAV. antes de tudo. edição 17 www.linuxmagazine.com.br KlamAV número de níveis, em quantas árvores de diretórios você quiser, em um único passo. O KlamAV pode rodar vários scans ao mesmo tempo. Você também pode dar um clique com o botão direito do mouse em um arquivo ou diretório no Konqueror e começar um scan pelo menu de contexto do navegador de arquivos. O KlamAV irá abrir uma nova aba de escaneamento e continuará com os processos interrompidos. Ainda no espírito de completar tudo de uma vez só, é possível agendar scans futuros nessa janela: por exemplo, após seu próximo login no KDE. Um recurso popular em muitos antivírus comerciais é a checagem on-access, ou seja, o escaneamento automático de arquivos assim que são acessados pelo sistema. Graças ao módulo do kernel Dazuko [4] e o suporte integrado do ClamAV a esse recurso, a checagem on-access também é possível via KlamAV. O Dazuko intercepta chamadas do sistema a arquivos e permite que programas externos, como o ClamAV, decidam se o acesso a esse arquivo deve ser permitido. Convenientemente, ele vem junto com o KlamAV. No entanto, como o kernel varia conforme a distribuição, talvez seja melhor não selecioná-lo na hora da instalação e fazer isso manualmente mais tarde. Capa A configuração é simples e direta. Você pode decidir sob quais condições os arquivos serão escaneados (por exemplo, no momento da execução, abertura, fechamento, leitura ou gravação do arquivo). Se quiser usar esse recurso, encontre a combinação que melhor satisfaça a suas necessiFigura 3: Enquanto a checagem é feita, você pode selecionar dades. Mas mantenha-se outros arquivos e diretórios para escanear a partir do Konqueror. consciente de que esse é, talvez, o elemento mais experimental do ClamAV/KlamAV. Nem de e-Mail no KlamAV e peça para ele toda a área de escaneamento on-access configurar seu cliente de email para a no Linux está 100% madura. verificação de novas mensagens. Caso seu cliente de email não seja compatível com a configuração automática, o KlaUma desvantagem irritante nos atuais mAV permite configurar manualmente sistemas desktop do Linux é que a maio- qualquer cliente de email em que seja ria das tentativas para escanear novos possível “dar um pipe” nas mensagens emails trava completamente o cliente para um programa externo. Estão dispode email enquanto as mensagens são níveis instruções para guiá-lo por esse baixadas. Mas graças à elegância da processo de configuração. arquitetura ClamAV, o KlamAV oferece um componente chamado klanmail para corrigir esse problema. A parte mais importante do gerenciamento Trata-se basicamente de um utilitário de um sistema de proteção para desktop de linha de comando que aceita email é manter-se atualizado. O ClamAV posna entrada padrão, faz o escaneamento sui uma rede de atualizações que fica em em um processo ClamAV rodando no pé de igualdade com – e muitas vezes fundo e o devolve na sa- até superando – opções comerciais, em ída padrão. Uma vez que velocidade e precisão na resposta a vírus o processo de scan roda descobertos. Um estudo recente da Electric como um daemon, não Mail constatou que, comparado com dois há grande perda de tem- dos cinco melhores antivírus comerciais, po com a inicialização do klanmail. Caso o email esteja infectado, o klanmail isola o vírus em um email de alerta e mostra uma janela de aviso. Para Figura 2: Selecionando diretórios para serem escaneados. Note usar esse útil recurso, que há scans em andamento nas abas de seções ocultas. Figura 4: Configurando scans agendados. selecione a aba Proteção Verificando emails Atualizações fevereiro 2006 www.linuxmagazine.com.br edição 17 33 Capa KlamAV o ClamAV foi o primeiro a responder em que fazer com arquivos 77% das vezes em que foram descobertos suspeitos. Isso porque os últimos 50 novos vírus [5]. os nomes dos vírus são O KlamAV também permite o contato pouco esclarecedores. “permanente” com o serviço de atuali- Todo mundo, em algum zação com apenas alguns cliques. Para momento, já se viu no checar por atualizações a cada meia hora, Google buscando pelo sigsimplesmente selecione a aba Atualizar, nificado de nomes como selecione 48 Vezes por dia e marque Atu- “Gen.1024-PrScr.1”. alizar base de dados de vírus automaticaO KlamAV tenta intemente. Agora clique em Atualizar agora grar da maneira mais fá- Figura 6: Cheque o banco de dados de assinaturas com o navegador de vírus do KlamAV. e esqueça o que acaba de ler, pois não cil possível esse segundo vai precisar disso de novo. passo no procedimento Além das atualizações no banco de dados da descoberta de um vírus em seu sisde assinaturas de vírus, também é impor- tema. Quando o KlamAV encontra um O KlamAV é o humilde primo para KDE tante manter o próprio ClamAV atualizado. vírus, ele é mostrado na interface de do formidável ClamAV. Ele traz todo o Seu “motor” contém importantes sistemas escaneamento. Você tem a opção de poder do ClamAV para o KDE, com uma de detecção, que são continuamente me- deixar todos os arquivos suspeitos em interface em que é muito fácil verificar lhorados e atualizados. Se você selecionar quarentena imediatamente (eles podem arquivos e gerenciar suspeitas de infecUpdate ClamAV automatically (a tradução ser investigados melhor mais tarde, na ções. O futuro dos sistemas antivírus e em português está incompleta) na aba aba Quarentena) ou usar o botão direito de proteção contra programas maliciosos Atualizar, o KlamAV irá checar por uma do mouse para selecionar um ou mais para o desktop no Linux aponta para nova versão do ClamAV sempre que ele for arquivos para uma pesquisa específica diversas direções. Entre elas, detecção de iniciado. Se uma nova versão estiver dispo- e a "internação" em quarentena. root kits, análise heurística, a evolução nível, ela será baixada e até compilada. Mas Se o ClamAV achar uma versão do do scan on-access e do escaneamento mesmo que essa opção não seja marcada, Worm.Mytob, por exemplo, você pode da memória residente. o programa ainda vai alertá-lo de que sua selecionar Search Worm.Mytob with ViEssa área vai se tornar mais importante versão está ultrapassada, oferecendo a op- rusPool. Essa opção irá abrir a aba Infor- junto com o crescimento da adoção do ção de baixar e instalar a atualização. mações sobre Vírus. O banco de dados de Linux. E o ClamAV certamente fornece assinaturas de vírus vai aparecer e um uma boa base para satisfazer as necesnavegador embutido exibirá informa- sidades do usuário doméstico de Linux. ções sobre o Mytob usando como fonte Vamos torcer para que o KlamAV contiNão há muito segredo para se encontrar o VirusPool, um banco de dados online nue em sua missão de oferecer um ótimo vírus. A tarefa desafiadora é decidir o sobre vírus conhecidos. antivírus para o KDE. Se quiser ver o Enquanto estiver no KlamAV em ação, vá até o site e cheque navegador de vírus, você o vídeo-tutorial. Ou mergulhe logo de pode pesquisar qualquer cabeça e baixe o instalador em [1]. ■ um dos vírus no banco de Informações dados do ClamAV usando diferentes fontes online. [1] KlamAV: klamav.sf.net A opção de pesquisar ví- [2] Arkollon: apollon.sf.net rus também está dispo[3] ClamAV: www.clamav.net nível no gerenciador de [4] O Dazuko está disponível em: quarentena, novamente www.dazuko.org com um clique do botão [5] Estudo da Electric Mail: direito do mouse sobre o www.linuxpipeline.com/166400446 Figura 5: O KlamAV procura por updates automaticamente. arquivo infectado. Finalmente Vírus encontrado! Não entre em pânico 34 fevereiro 2006 edição 17 www.linuxmagazine.com.br