Buckminster
(usa Debian)
Enviado em 01/04/2024 - 11:52h
Tu pode criar e/ou anexar usando a ferramenta sigtools que vem com o ClamAV:
https://docs.clamav.net/manual/Signatures.html#using-sigtool
https://docs.clamav.net/manual/Signatures.html#creating-signatures-for-clamav
https://docs.clamav.net/manual/Signatures/PhishSigs.html
E aqui como adicionar um falso positivo ou um"ignore" ao CVD, banco de dados do ClamAV:
https://docs.clamav.net/manual/Signatures/AllowLists.html
https://docs.clamav.net/faq/faq-ignore.html
E para adicionar phising:
https://docs.clamav.net/manual/Signatures/PhishSigs.html#wdb-format
O ClamAV é altamente personalizável, claro que tu terá de dar uma estudada nos comandos ali, mas basicamente na ferramenta sigtools e nos formatos das assinaturas, mas é tranqüilo, demandará tempo, mas não é difícil.
Tu pode usar a heurística criando listas, mas cuidado porque o ClamAV detectará qualquer site parecido com os que estiverem na lista.
"Phishing Heuristic Allow Lists
ClamAV may alert on suspicious links with alerts along the lines of "Heuristics.Phishing.Email.SpoofedDomain". If you encounter a false positive for this kind of detection, you can create an allow list signature.
Allow list signatures for suspicious HTML links are added to the .wdb phishing signature database. Read the Phishing Signature documentation to learn more."
https://docs.clamav.net/manual/Signatures/AllowLists.html#phishing-heuristic-allow-lists
No link acima tem exemplos de como adicionar o EICAR.
Aqui no Debian:
$ sudo apt info clamav
Package: clamav
Version: 1.0.3+dfsg-1~deb12u1
Priority: optional
Section: utils
Maintainer: ClamAV Team <pkg-clamav-devel@lists.alioth.debian.org>
Installed-Size: 29,7 MB
Depends: clamav-freshclam (>= 1.0.3+dfsg) | clamav-data, libc6 (>= 2.34), libclamav11 (>= 1.0.3), libcurl4 (>= 7.16.2), libgcc-s1 (>= 4.2), libjson-c5 (>= 0.15), libssl3 (>= 3.0.0), zlib1g (>= 1:1.2.3.3)
Recommends: clamav-base
Suggests: libclamunrar, clamav-docs
Homepage:
https://www.clamav.net/
Tag: implemented-in::c, interface::commandline, role::program,
scope::utility, security::antivirus, use::scanning, works-with::file,
works-with::mail
Download-Size: 5.673 kB
APT-Manual-Installed: yes
APT-Sources:
http://deb.debian.org/debian bookworm/main amd64 Packages
Description: utilitário antivírus para Unix - interface em linha de comando
Clam AntiVirus é um kit de ferramentas de antivírus para Unix. O principal
objetivo deste software é a integração com servidores de e-mail (varredura
de anexos). O pacote fornece um daemon multi-thread flexível e escalável no
pacote clamav-daemon, um scanner em linha de comando no pacote clamav e uma
ferramenta para atualizações automáticas via Internet no pacote
clamav-freshclam. Os programas são baseados na libclamav que pode ser usada
por outros softwares.
.
Este pacote contém a interface em linha de comando. Recursos:
- Suporte embutido a vários formatos de arquivo, incluindo Zip, Tar, Gzip,
Bzip2, OLE2, Cabinet, CHM, BinHex, SIS e outros;
- Suporte embutido para quase todos os formatos de arquivo de e-mail;
- Suporte embutido para executáveis ELF e arquivos executáveis portáveis
(Portable Executable) comprimidos com UPX, FSG, Petite, NsPack, wwpack32,
MEW, Upack e ofuscados com SUE, Y0da Cryptor e outros;
- Suporte embutido para formatos de documentos populares incluindo
arquivos Microsoft Office e Mac Office, HTML, RTF e PDF.
.
Para que a varredura funcione, um banco de dados de vírus é necessário. Há
duas opções para obtê-lo:
- clamav-freshclam: atualiza o banco de dados pela Internet. Esta opção é
recomendada para usuários com acesso à Internet;
- clamav-data: para usuários sem acesso à Internet. O pacote não é
atualizado após instalado. O pacote clamav-getfiles permite a criação de
pacotes personalizados a partir de um computador conectado à Internet.
