Не все знают, но для свободного антивируса ClamAV доступно достаточно большое количество альтернативных источников сигнатур. Например наборы сигнатур от Sanesecurity, MSRBL, SecuriteInfo, MalwarePatrol и OITC.

Большинство этих сигнатур предназначены в первую очередь для проверки почты и содержит данные о популярных вариантах фишинговых писем и писем с подозрительным ПО. Так же в некоторых случаях сигнатуры могут помочь избежать установки MalWare при посещении сомнительных сайтов.

Для удобного автоматического обновления сигнатур из этих источников существует скрипт clamav-unofficial-sigs, доступный в репозиториях Ubuntu как clamav-unofficial-sigs, а в портах FreeBSD как security/clamav-unofficial-sigs. Далее будет показано как можно использовать этот скрипт в дистрибутиве Debian/Ubuntu.

На самом деле установка настолько проста, что даже и писать особо не о чем:) При наличи установленного clamav и/или clamd установка сводится к вводу команды:

apt-get install clamav-unofficial-sigs

На этом установка закончится. Теперь скрипт периодически будет получать обновления неофициальных сигнатур. Частотой обновления можно управлять редактируя файл "/etc/cron.d/clamav-unofficial-sigs". По умолчанию обновление происходит каждый час.

Дополнительные опции можно указать в файле "/etc/clamav-unofficial-sigs.conf", переопределив опции, которые указаны в файлах "*.conf" в директории "/usr/share/clamav-unofficial-sigs/conf.d".

Дополнительные базы у нас есть. Приступаем к их использованию. Например мы можем поднять прокси-сервер с антивирусом, и защитить пользователей не только от вирусов, но и от сомнительного ПО, вирусами не являющегося (таких сигнатур очень много в базах от MalwarePatrol).

Так же мы можем установить почтовый сервер с антивирусной проверкой почты, который так же кроме вредоносного ПО будет отсеивать ещё и фишинговые письма. Отслеживать результаты работы фильтра можно командой:

grep UNOFFICIAL\ FOUND /var/log/clamav/clamav.log

Вывод будет выглядеть примерно вот так:

Wed Apr 21 03:12:00 2010 -> /var/spool/exim4/scan/1O4Mbm-0001Ov-CB/1O4Mbm-0001Ov-CB.eml: Sanesecurity.Junk.9719.UNOFFICIAL FOUND
Wed Apr 21 04:40:00 2010 -> /var/spool/exim4/scan/1O4Nyx-0002An-1a/1O4Nyx-0002An-1a.eml: Sanesecurity.Junk.22048.UNOFFICIAL FOUND
Wed Apr 21 04:53:19 2010 -> /var/spool/exim4/scan/1O4OBp-0002KH-J6/1O4OBp-0002KH-J6.eml: Sanesecurity.Junk.4323.UNOFFICIAL FOUND
Wed Apr 21 20:48:55 2010 -> /var/spool/exim4/scan/1O4d6c-00024x-6T/1O4d6c-00024x-6T.eml: Sanesecurity.Junk.17843.UNOFFICIAL FOUND
Wed Apr 21 21:54:22 2010 -> /var/spool/exim4/scan/1O4e6w-0002gO-97/1O4e6w-0002gO-97.eml: Sanesecurity.Jurlbl.Auto.d472ad7ad06f31a343716d9aead81554.UNOFFICIAL FOUND
Wed Apr 21 21:54:32 2010 -> /var/spool/exim4/scan/1O4e87-0002gm-4O/1O4e87-0002gm-4O.eml: Sanesecurity.Junk.27343.UNOFFICIAL FOUND

Для почтового сервера, обслуживающего всего три ящика результат весьма неплохой:)

На этом всё. Приятной и безопасной работы!