[ClamWin] 'wat vinden jullie er van?' - Privacy en beveiliging

woensdag 4 augustus 2004 12:47

Acties:

@murb.nl

Topicstarter

Clamwin

(ik vond dit programma wel erg de moeite waard om even te pitchen, een gratis, opensource (dus geen twijvels over spyware) virusscanner)

ClamWin ( http://www.clamwin.com/ ) is een op de virusdatabase ClamAV ( http://clamav.sourceforge.net/ ) gebasseerde opensource virusscanner. Hij is niet vervuild met al te veel poespas en voelt licht aan. Op moment van schrijven neemt hij 17MB aan geheugen in. CPU usage is nagenoeg 0% (WinXP Pro).

ClamAV is een database die veel wordt gebruikt bij mailservers. Wat te ontbreken lijkt is een optie om geinfecteerde bestanden te repareren.

Op internet heb ik alleen maar wat forum berichten gevonden als 'hij vond bestanden die Norton niet had ontdekt', maar dat zegt natuurlijk niet heel veel.

Op de wiki van ClamAV staat het volgende:

In issue 8/2004 (April 5, 2004), the German computer magazine c't published a comparative review of a number of virus scanners, in which they reported that ClamAV's signature updates are provided far too slowly to adequately cope with the contemporary appearance rate of new mail worms, of which new mutations sometimes follow each other within hours. On the other hand, a lot of people appear to have had experiences to the contrary. That articles also mentions that ClamAV lacks "code emulation", an easy way to identify variations of a PolyMorphicVirus.

Anyway, you can see ClamAV's response times by yourself at http://news.gmane.org/gma...rity.virus.clamav.virusdb I suggest you check them out before you say ClamAV doesn't suit your needs. You could be surprised.

bron: http://www.wlug.org.nz/ClamAV

In een interview met de makers:

What are the benefits of open-source anti-virus software? Do you feel there are downsides?

We are not tied to any business plans or political restrictions. We can detect dialers and governmental tapping software, which some of the commercial vendors choose not to do.

You can use our products in other open-source products without the need to buy a licence either for yourself or for your customer. Recently, we have been contacted by a group that writes an IRC client and who would like to add virus scanning to their product for the file transfer.

Open source prohibits the use of NDA documentation, but we can use a number of GPL-licensed algorithms so, altogether, it is easier to do the open-source thing.

bron: www.virusbtn.com/magazine/archives/200209/open.xml

woensdag 4 augustus 2004 12:56

Acties:

Spider.007

* Tetragrammaton

Interessant topic voor BV

SA > BV

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 4 augustus 2004 15:02

Acties:

Verwijderd

Clamav repareert niet, het detect alleen maar.
Ik gebruik clam eigenlijk alleen maar op mailservers.
Daar werkt het geweldig mee.

Hoe zit het met de windows variant. Als je toch een virus binnenhaalt, hoe reageert ie dan? Gaat ie toegang tot het bestand blocken (zodat jij 'em niet uit kan voeren) ?

woensdag 4 augustus 2004 15:15

Acties:

Verwijderd

Clam is misschien aardig voor (mail)servers, hoewel ik ook daar andere producten hoger bij inschat, maar voor de desktop?

Clam kijkt nog niet eens naar de fileheader, wat wel een van de meest basic dingen is die een AV moet kunnen.

Doe eens een search naar Win32.Parite.b write-up - een polymorphic, parasitic file-infector, files die hiermee geïnfecteerd zijn komen _vaak_ voorbij @ p2p en ook andere kanalen.
Ding komt uit 2002, maar Clam kan het niet detecteren, naar alle waarschijnlijkheid omdat de malware te geavanceerd is voor de Clam researchers, want zoals al gezegd is het ding niet bepaald zeldzaam.

Ook bij andere geavanceerdere malware duurt het lang eer er detectie komt, als er detectie komt..

Persoonlijk ben ik far from impressed, but who am I?

[ Voor 6% gewijzigd door Verwijderd op 04-08-2004 15:21 ]

woensdag 4 augustus 2004 15:46

Acties:

:murb:

@murb.nl

Topicstarter

Mijn enthousiasme begint ook te dalen:

Please note that ClamWin Free Antivirus does not include an on-access real-time scanner, that is, you need to manually scan a file in order to detect a virus. Microsoft Outlook Addin and POP3 Proxy (coming soon), however will delete a virus-infected attachment automatically.

Ik nam aan dat ClamWin, omdat deze continue in de tray zat iig wel real-time zou scannen. Had ik nog niet uitgeprobeert met een test virus waar ze zelf naar linken. Het nut van deze tray-icon is mij dan ook een beetje onbekend. Overigens als je scant, en hij komt een virus tegen, dan verplaatst hij het in een 'quarantine' map. Meer niet, en het voert idd geen reparaties uit.

Bedankt in iedergeval voor jullie respons.

woensdag 4 augustus 2004 15:57

Acties:

cutter

Wannabe i7 fanboy

Dit stukje vond ik zelf veel interessanter:

We are not tied to any business plans or political restrictions. We can detect dialers and governmental tapping software, which some of the commercial vendors choose not to do.

http://news.com.com/2100-1023_3-5293992.html Symantec wordt dus gesued door een bedrijf omdat hun produkt door Norton wordt aangeduid als malware. Dat is volgens mij ook de reden waarom sommige virusscaners zo slecht uit de hoek komen wat betreft spyware: ze zijn bang voor juridische repercussies van kazaa, emoticons en alle andere rommel waarbij spyware mee wordt geinstalleerd.

woensdag 4 augustus 2004 19:52

Acties:

Verwijderd

Clamwin kan inderdaad nog niet veel meer dan scannen on demand.
Als je een werkstation wil beschermen tegen alles wat op p2p netwerken rondzweeft, en 'niet nadenken, mar dubbelklikken'-gedrag, dan moet je maar een site license kopen van een van de vele commerciele aanbieders + allerlei software inzetten om gebruikers te beschermen tegen spyware.

Clamav is een gratis, opensource virusscanner. Als je verbeteringen wil zien, of betere portabiliteit, dan kan je er aan mee programmeren.

Clamav wordt vooral ingezet op mailservers. Zeer veel bedrijven zijn inmiddels uitgerust met een mailserver met clamav als frontend voor exchange machines. Deze sterven meestal onder de load van virusscanners als ze voor (tien)duizenden accounts virussen moeten gaan vissen. Hierin voldoet clamav meer dan voldoende.
Servers die email afhandelen voor honderdduizenden email-accounts zijn veel goedkoper af met clamav, dan met een commerciele AV.

Ik kan het goed merken dat bedrijven het zat aan het worden zijn, ze betalen zich blauw aan producten die, als het leed geschiet is, met een definitie komen.
Commerciele AV's houden zichzelf instand door niks beters te bedenken dan waar ze nu mee op de proppen komen. Dan ben je toch gek als geen gratis definitie scanner inzet waar dat kan?

woensdag 4 augustus 2004 20:24

Acties:

Verwijderd

AdminHenk:
Lees mijn post nog eens, wat heb je precies aan een virusscanner als die bepaalde - veel voorkomende - malware niet kan detecteren? Of gewoon dagen lang nodig heeft eerdat hij die kan herkennen?
Parite infected I-Worms komen ook voor, een tijdje geleden zelfs - relatief gezien - een stortvloed aan gehad.

Ze waren met een NetSky of bagle - not sure anymore - gewoon 4 dagen later dan de rest.
Dan haal je de kosten van een betaalde virusscanner er toch snel uit als je halve netwerk platligt.
(Het zal wel een parasitic variant zijn geweest.)

Ik kan het goed merken dat bedrijven het zat aan het worden zijn, ze betalen zich blauw aan producten die, als het leed geschiet is, met een definitie komen.
Commerciele AV's houden zichzelf instand door niks beters te bedenken dan waar ze nu mee op de proppen komen. Dan ben je toch gek als geen gratis definitie scanner inzet waar dat kan?

Precies wat is zo revolutionair aan clam?
Minstens een dag platliggen door een parasitic fileinfector kost je (veel)meer dan die betaalde virusscanners...

woensdag 4 augustus 2004 20:25

Acties:

Miki

Verwijderd schreef op 04 augustus 2004 @ 19:52:
Clamwin kan inderdaad nog niet veel meer dan scannen on demand.
Als je een werkstation wil beschermen tegen alles wat op p2p netwerken rondzweeft, en 'niet nadenken, mar dubbelklikken'-gedrag, dan moet je maar een site license kopen van een van de vele commerciele aanbieders + allerlei software inzetten om gebruikers te beschermen tegen spyware.

Clamav is een gratis, opensource virusscanner. Als je verbeteringen wil zien, of betere portabiliteit, dan kan je er aan mee programmeren.

Clamav wordt vooral ingezet op mailservers. Zeer veel bedrijven zijn inmiddels uitgerust met een mailserver met clamav als frontend voor exchange machines. Deze sterven meestal onder de load van virusscanners als ze voor (tien)duizenden accounts virussen moeten gaan vissen. Hierin voldoet clamav meer dan voldoende.
Servers die email afhandelen voor honderdduizenden email-accounts zijn veel goedkoper af met clamav, dan met een commerciele AV.

Ik kan het goed merken dat bedrijven het zat aan het worden zijn, ze betalen zich blauw aan producten die, als het leed geschiet is, met een definitie komen.
Commerciele AV's houden zichzelf instand door niks beters te bedenken dan waar ze nu mee op de proppen komen. Dan ben je toch gek als geen gratis definitie scanner inzet waar dat kan?

Henk op zich heb je een punt, ook ik vindt dat de grote 3 voor corporate omgevingen; sophos, mcafee en symantec te vaak achter de feiten aan liepen de laatste maanden. In dat opzicht is vraag waarom zoveel betalen als er gratis alternatief is dat misschien net zo goed is.

Echter op dit moment is clam-av nou niet bepaald "hoog vliegend" als we naar pure detectie gaan kijken. Clam-av mist nog veel te veel om serieus te worden genomen als volwaardig alternatief in een corporate sfeer.

Jotti's stats zeggen ook boekdelen over de kwaliteiten van clam-av:

http://virusscan.jotti.dhs.org/

woensdag 4 augustus 2004 20:31

Acties:

wildhagen

Blablabla

Miki schreef op 04 augustus 2004 @ 20:25:
[...]

Jotti's stats zeggen ook boekdelen over de kwaliteiten van clam-av:

http://virusscan.jotti.dhs.org/

Mjah, is niet helemaal 100 procent betrouwbaar natuurlijk.

Maar toch, van een detectieratio van slechts 37 procent word je niet vrolijk. Sterker nog: als AV-bedrijf mag je je *heel*, *heel* diep gaan schamen met zo'n resultaat.

Virussen? Scan ze hier!

woensdag 4 augustus 2004 20:41

Acties:

Verwijderd

[quote]Verwijderd schreef op 04 augustus 2004 @ 20:24:
AdminHenk:
Lees mijn post nog eens, wat heb je precies aan een virusscanner als die bepaalde - veel voorkomende - malware niet kan detecteren? Of gewoon dagen lang nodig heeft eerdat hij die kan herkennen?

[...]

het argument dat je aanhaalt, geldt voor ELKE viruscanner (inclusief KAV

), dat is de reden waarom ik mij tot andere beveiligingsmethodes wend. trouwens de antivirusaanbieders zijn aantoonbaar laks in het doorgeven van hun speurresultaten aan gerechtelijke instanties, wat een heleboel heibel (virusschade) zou kunnen voorkomen.

woensdag 4 augustus 2004 20:46

Acties:

Verwijderd

Een virusscanner op een mailserver hoeft niet elke exotische variant te detecteren. Het gaat er gewoon om dat de meeste troep zoals mass mailing rommel eruit gevist wordt. Clamav heeft wel degelijk binnen een paar uur na een uitbraak een definitie voor dat soort virussen beschikbaar. Maar ik dwaal af van het echte topic. Vond het alleen zo zuur dat mensen clamav hier zo af zitten te kraken.

woensdag 4 augustus 2004 21:32

Acties:

Miki

Verwijderd schreef op 04 augustus 2004 @ 20:46:
Een virusscanner op een mailserver hoeft niet elke exotische variant te detecteren. Het gaat er gewoon om dat de meeste troep zoals mass mailing rommel eruit gevist wordt. Clamav heeft wel degelijk binnen een paar uur na een uitbraak een definitie voor dat soort virussen beschikbaar. Maar ik dwaal af van het echte topic. Vond het alleen zo zuur dat mensen clamav hier zo af zitten te kraken.

Je kunt het wel zuur vinden maar het is jammer genoeg wel zo. Ook ik had graag een beter oordeel over clam-av willen vellen maar als de praktjk niet overtuigt wat moet je dan? Natuurlijk mag je je niet vastklampen aan de stats van Jotti's virusscanner maar aan de andere kant: het is ook aardig representatief in mijn ogen. 9 virusscanners die constant worden geupdate en worden voorzien van samples die hedendaags door users overal ter wereld verdacht worden beschouwd. Een breder spectrum kun je niet wensen, van de laatste trojans tot virussen uit 19xx worden geupload, zelfs virusmailtjes noem het maar op. Ik denk dat het een redelijk goed beeld geeft hoe deze 9 virusscanners bij dagelijks gebruik zouden scoren want er wordt dus letterlijk blind steekproef gewijs getest. geen selectie van vendors nog tussenkomst van andere personen die gesponserd worden daar komt het voor mij op neer. Als clam-av dan maar een ratio van 37% pakt is het absoluut geen volwaardige virusscanner in een corporate omgeving.

woensdag 4 augustus 2004 22:08

Acties:

Verwijderd

[quote]Verwijderd schreef op 04 augustus 2004 @ 20:41:

Verwijderd schreef op 04 augustus 2004 @ 20:24:
AdminHenk:
Lees mijn post nog eens, wat heb je precies aan een virusscanner als die bepaalde - veel voorkomende - malware niet kan detecteren? Of gewoon dagen lang nodig heeft eerdat hij die kan herkennen?

[...]

het argument dat je aanhaalt, geldt voor ELKE viruscanner (inclusief KAV ), dat is de reden waarom ik mij tot andere beveiligingsmethodes wend. trouwens de antivirusaanbieders zijn aantoonbaar laks in het doorgeven van hun speurresultaten aan gerechtelijke instanties, wat een heleboel heibel (virusschade) zou kunnen voorkomen.

KAV, en bijvoorbeeld BD, hebben een proven track record van keer op keer snel zijn.
Clam heeft dat gewoonweg niet, zoals al eerder gezegd, zodra de sample ingewikkeld begint te worden gaat de responsetijd voor elke vendor omhoog, maar bij Clam is het gewoon dramatisch.
We hebben deze week inmiddels meer dan 700 nieuwe malware ontdekt, al zouden we willen, de instanties hebben absoluut geen capaciteit om daar achteraan te gaan, als de auteurs niet al in China oid zitten.

Bij Jotti worden vaak backdoors/trojans geupload en dat is idd niet de main target van een mailscanner.
Maar een Parite infected Mydoom/Bagle/Netsky is minstens zo effectief als eentje die er niet meer geïnfecteerd is.

Clamav heeft wel degelijk binnen een paar uur na een uitbraak een definitie voor dat soort virussen beschikbaar. Maar ik dwaal af van het echte topic. Vond het alleen zo zuur dat mensen clamav hier zo af zitten te kraken.

Zie bovenstaand.

Zoek het maar na, bijv. bij die c'T responsetijd test van een tijd geleden.

Zoals al gezegd, Clam kijkt nog niet eens naar de frickin' fileheader, zo een AVproduct kún je gewoon niet serieus nemen.

woensdag 4 augustus 2004 22:46

Acties:

CyBeR

💩

Ik geloof dat een aantal mensen hier vergeet hoe open source versus commerciele producten werken. Achte NAV, KAV, McAfee, etc. zitten een paar honderd mensen die betaald worden om dag in, dag uit te werken aan deze producten. Dat is bij ClamAV helaas niet het geval: die mensen hebben een andere baan om geld mee te verdienen. Dat is de enige reden dat ClamAV wat langzamer met updates en minder geavanceerd is: er zijn minder resources beschikbaar. Als 't je niet aanstaat: help mee en stop met dat geklaag steeds.

Ik zeg hiermee dus niet dat Open Source software per definitie slechter is dan commerciele software (integendeel zelfs); ik zeg dat software die door mensen in hun vrije tijd ontwikkeld wordt een grote kans heeft minder geavanceerd te zijn dan software die door tien maal zoveel mensen full-time betaald ontwikkeld wordt.

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 4 augustus 2004 23:24

Acties:

Verwijderd

Ik geloof dat als we de gemiddelde responsetijd gaan nemen van Clam, NAV en McAfee, slippertjes daargelaten, dat Clam dan sneller is dan de eerstgenoemde, maar dit zijn dan eigenlijk ook de traagste vendors van de wat bekendere. (Naar auto-updates kijkende dan)

Maar we hebben/hadden het hier over Corp environments, dan moet het juist meekunnen met de beste imo, hoe het product tot stand komt doet er niet toe.

woensdag 4 augustus 2004 23:36

Acties:

Verwijderd

@Schouw, je bent wel heeel erg biased hoor. Je claim over dit parite ding kan ik niet terug vinden. Grote mailservers ( > 50.000 accounts) zijn meestal dubbel uitgevoerd met scanners. Er zijn genoeg gevallen bekend dat clamav veel eerder is met een definitie dan de andere (top3) AV.

Maar laat dit nou geen AV pisscontest worden. Clamav heeft voor- en nadelen, net zogoed als commerciele scanners.
Als je een scanner wil voor op de desktop, on-access, de hele reutemeteut, dan kan je geen clamav gebruiken. Clamav is dat ook (nog) niet.

Clamav detects, gratis, soms een uur sneller, soms een uur later.
Clamav heeft een kleinere virus database: komt omdat andere companies graag laten zien aan betalende gebruikers dat zij elke virus ooit kunnen detecteren.
Dit is marketingtechnisch natuurlijk erg belangrijk, maar het boeit niet.
Clamav heeft geen super uitgebreide staf a la andere AV companies die de hele dag alleen maar samples hoeven te analyseren.

En dan een kijk naar de toekomst.
Ooit komt er een dag, dat Microsoft orde op zaken stelt, of een bedrijf met een product komt dat alle traditionele AV companies overbodig maakt.
Het is wachten op die dag, zodat deze hele bedrijfstak opgerold kan worden, en we ons met belangrijkere zaken kunnen bezig houden.

Een prettige, warme, zomeravond

woensdag 4 augustus 2004 23:52

Acties:

Verwijderd

@Schouw, je bent wel heeel erg biased hoor. Je claim over dit parite ding kan ik niet terug vinden. Grote mailservers ( > 50.000 accounts) zijn meestal dubbel uitgevoerd met scanners. Er zijn genoeg gevallen bekend dat clamav veel eerder is met een definitie dan de andere (top3) AV.

Ik zit hier - iig in dit topic

- gewoon als usert.

Die claim over Parite.b zul je dan maar moeten aannemen, ik heb iig gezien dat een paar weken geleden Clam @ Jotti's site nog steeds geen Parite.b detecteerde.

Ik ga niet ontkennen dat Clam idd erg snel kan zijn, bij I-Worm.Mydoom.o waren ze bijster veel later dan de eerste vendors, maar het is niet constant genoeg.
Doordat het vrijwilligerswerk is, kan het dus, zoals is aangetoond, soms heel lang duren eerdat een signature wordt gereleased.
Denk aan: Tricky sample, slechts een analyst van Clam kan daarvoor een fatsoenlijke sig in elkaar zetten, en die is net een paar dagen met het behang bezig oid.

Clamav heeft een kleinere virus database: komt omdat andere companies graag laten zien aan betalende gebruikers dat zij elke virus ooit kunnen detecteren.

Clam detecteert minder omdat ze nieuw zijn, ze adderen genoeg crappy spul om imo aan te tonen dat ze ook zo veel mogelijk willen kunnen detecteren.

Clamav heeft geen super uitgebreide staf a la andere AV companies die de hele dag alleen maar samples hoeven te analyseren.

Je zegt het, waar willen de Clam medewerkers de tijd vandaan halen om die 1000+ nieuwe malware die is uitgekomen deze week te detecteren?
Dat het Lab 24 uur per dag aan het draaien is, is niet omdat dat zo leuk staat.

Het is wachten op die dag, zodat deze hele bedrijfstak opgerold kan worden, en we ons met belangrijkere zaken kunnen bezig houden.

Daarvoor hebben we nou de Smartphone.

donderdag 5 augustus 2004 00:16

Acties:

Verwijderd

Verwijderd schreef op 04 augustus 2004 @ 23:52:
[...]

Ik zit hier - iig in dit topic - gewoon als usert.
Die claim over Parite.b zul je dan maar moeten aannemen, ik heb iig gezien dat een paar weken geleden Clam @ Jotti's site nog steeds geen Parite.b detecteerde.

Ik ga niet ontkennen dat Clam idd erg snel kan zijn, bij I-Worm.Mydoom.o waren ze bijster veel later dan de eerste vendors, maar het is niet constant genoeg.
Doordat het vrijwilligerswerk is, kan het dus, zoals is aangetoond, soms heel lang duren eerdat een signature wordt gereleased.
Denk aan: Tricky sample, slechts een analyst van Clam kan daarvoor een fatsoenlijke sig in elkaar zetten, en die is net een paar dagen met het behang bezig oid.

[...]

Clam detecteert minder omdat ze nieuw zijn, ze adderen genoeg crappy spul om imo aan te tonen dat ze ook zo veel mogelijk willen kunnen detecteren.

[...]

Je zegt het, waar willen de Clam medewerkers de tijd vandaan halen om die 1000+ nieuwe malware die is uitgekomen deze week te detecteren?
Dat het Lab 24 uur per dag aan het draaien is, is niet omdat dat zo leuk staat.

[...]

Daarvoor hebben we nou de Smartphone.

Geen problemen met parite te detecen hier

Commerciele AV lopen soms ook 3 dagen te slapen, of te sparen eer ze een nieuwe def release doen. Zie symantec met liveupdate paar keer per week. Zal in de tussentijd wel iets verbetert zijn, omdat ze zeer veel kritiek hebben gekregen.

Sjah, clam gasten voegen soms wel crap toe, maar gelukkig geen museum virussen zoals alle andere AV's met als enig doel marketing.

Als er deze week 1000+ nieuwe malware is uitgekomen, klopt er iets niet.
Ik zie geen enkele av met 1000+ nieuwe additions.
Of jij moet spul bedoelen dat alle AV links laten liggen, en over laten aan de spyware scanners. Maar als die labs wel die 1000+ nieuwe, echte ITW, niet broken binaries analyseren, en er geen defs voor releasen, dan is het ook wel duidelijk waar je voor betaald als je een commerciele Av aanschaft.

Laten we wel wezen. Deze dagen is email de grootste attack vector.
Op je toch al drukke mailserver (spam e.d.) wil je dan iets (of meerdere, ken genoeg 1000+ man bedrijven die 3-4 scanners aan het werk hebben op incoming mail) dat dat detecteert.
Want dat is clamav voornamelijk, iets wat je op je mailserver draait. Daar richt het zich op.

Om terug te komen op de TS. Clamwin.... niet gebruiken.

donderdag 5 augustus 2004 00:28

Acties:

_JGC_

Mja, clamav standalone gebruiken zou ik dus nooit doen.

Op dit moment heb ik 2 mailservers draaien:
eentje met sophos en clamav
eentje met mcafee en clamav

Ik schrok ervan wat clamav nog eruitviste als sophos en mcafee over een mailtje heen waren geweest. Tis zelfs zo erg dat ik de volgorde omgedraaid heb: clamav scant sneller dan sophos en mcafee (clamdscan scant 2x zo snel als sophie, en flink wat keren sneller dan mcafee uvscan, aangezien clamd daemonized is, mcafee heeft dat niet). Het minimale aantal virusjes en varianten wat clamav doorlaat pikken mcafee of sophos er wel uit.

Er is een tijd geweest dat Sophos de gezipte bagles niet kon scannen, terwijl clamav die dingen gewoon wel detecteerde als zijnde bagle. De scanner kost nix, de extra scantijd is vrijwel nihil, dus waarom ook niet?

donderdag 5 augustus 2004 00:37

Acties:

Verwijderd

Commerciele AV lopen soms ook 3 dagen te slapen, of te sparen eer ze een nieuwe def release doen. Zie symantec met liveupdate paar keer per week. Zal in de tussentijd wel iets verbetert zijn, omdat ze zeer veel kritiek hebben gekregen.

Nee, dat is nog steeds niet verbeterd @ Symantec.
Lees ook mijn vorige post, je vergelijkt met de ~langzaamste van bekende vendors.
Afbeeldingslocatie: http://members.home.nl/kav/respons.jpg

Afbeeldingslocatie: http://members.home.nl/kav/respons.jpg

Note: Clam staat er niet tussen omdat ze de responsetijdtreshold van 3 dagen hadden overschreden.
Bron: c'T / F_J_K

Sjah, clam gasten voegen soms wel crap toe, maar gelukkig geen museum virussen zoals alle andere AV's met als enig doel marketing.

Lekker genuanceerd, ook goede onderbouwing zeg.

Er zijn echt nog wel vendors waarbij het niet allemaal om het geld te doen is.

Als er deze week 1000+ nieuwe malware is uitgekomen, klopt er iets niet.
Ik zie geen enkele av met 1000+ nieuwe additions.

KAV heeft afgelopen week ~800 nieuwe malware geaddeerd en ik heb voor de aardigheid een _bijzonder_ laag aantal nieuwe Rbots/Agobots/SdBots/meer meuk gepakt die al 'pro actief' gedetecteerd worden dmv. een combinatie van betere unpackers en generic sigs.
Dat de rest niet on par is, check de scanresultaten @ $blaadje/site.

Of jij moet spul bedoelen dat alle AV links laten liggen, en over laten aan de spyware scanners. Maar als die labs wel die 1000+ nieuwe, echte ITW, niet broken binaries analyseren, en er geen defs voor releasen, dan is het ook wel duidelijk waar je voor betaald als je een commerciele Av aanschaft.

Ik heb het niet over advware, spyware=malware, dat is weer wat anders.
En ja, dit gaat over working meuk.
Geen updates releasen? we releasen uurlijks nieuwe defs.

Laten we wel wezen. Deze dagen is email de grootste attack vector.

En wat zagen we op de grootste mailattacks volgen?
Een backdoorhisterie waar we nu nóg de naweeen van zien(Ago/Sd/Rbot).
De gevaarlijkheid van backdoors wordt echt _zwaar_ onderschat.
En dan hebben we de spamruns...
Hoe doet Clam het daarop? Niet bijster goed, merendeel van Bancos/Banker trojans worden niet/veel te laat gedetecteerd.

Panda Antivirus Keygen.exe.VIR is infected with a virus Win32.Parite.b

Panda Antivirus Keygen.exe.VIR: Trojan.Spybot.gen-51 FOUND

Nou het heeft even geduurd, maar idd, Clam detecteert hem nu.

donderdag 5 augustus 2004 00:39

Acties:

Verwijderd

_JGC_ schreef op 05 augustus 2004 @ 00:28:
clamav scant sneller dan sophos en mcafee (clamdscan scant 2x zo snel als sophie, en flink wat keren sneller dan mcafee uvscan, aangezien clamd daemonized is, mcafee heeft dat niet).

Er zijn inderdaad oplossingen die vinden dat het beter is om alle definities/ect bij elke scan maar weer te gaan laden, en dan te gaan scannen.
Dat is een enorm load verschil ten opzichte van een daemonized av scanner inderdaad

donderdag 5 augustus 2004 00:40

Acties:

dev icey

wat ik me af vraag is, dat als een av programma open source is, is het dan niet veel makkelijker voor virus makers het programma uit te schakelen, te omzeilen? Als de virusmakers precies weten hoe het programma in elkaar zit, lijkt me dat aardig makkelijk.

Misschien zit ik fout, maar op zich is het wel een goed idee. Maar toch ben ik blij met mijn norton av 2002. Merk er totaal niks van

. Virus updates, zonder dat je het merkt en neemt maar 13 mb in. PLus dat het de virussen nog eens repareert.

donderdag 5 augustus 2004 00:45

Acties:

Verwijderd

KAV, en bijvoorbeeld BD, hebben een proven track record van keer op keer snel zijn.
Clam heeft dat gewoonweg niet, zoals al eerder gezegd, zodra de sample ingewikkeld begint te worden gaat de responsetijd voor elke vendor omhoog, maar bij Clam is het gewoon dramatisch.

dat betwist ik ook helemaal niet, ik beweer alleen dat zelfs dat niet snel genoeg is

. overigens is het verwonderlijk dat deze knaap , die goed is voor 70% van de "virusmarkt", zolang zijn gang kan gaan voordat hij opgepakt wordt. hopelijk kan met een opensource antivirus pakket, dan zichzelf niet zo hoeft te beschermen als de commerciele producten, een meer preventief beleid gevoerd worden (doorgeven van tips en samenwerken met de overheid om de virusschrijvers aan te pakken voor ze hun schadelijke software loslaten op het internet - er loopt net een draadje over in b&v zie ik). de virussen die in de top 10-lijst van bovenvermelde link staan werken domweg niet, zolang je maar als beperkte gebruiker ingelogd bent. een tip die antivirusaanbieders maar al te graag vergeten te vermelden.

donderdag 5 augustus 2004 00:56

Acties:

Verwijderd

Verwijderd schreef op 05 augustus 2004 @ 00:37:
[...]
Lekker genuanceerd, ook goede onderbouwing zeg.
Er zijn echt nog wel vendors waarbij het niet allemaal om het geld te doen is.

Laat me toch niet lachen jongen. Elk bedrijf heeft als doelstelling winst te maken, nooit economie gehad?

Ik heb het niet over advware, spyware=malware, dat is weer wat anders.
En ja, dit gaat over working meuk. Geen updates releasen? we releasen uurlijks nieuwe defs.

we ? je was toch usert ?

En wat zagen we op de grootste mailattacks volgen?
Een backdoorhisterie waar we nu nóg de naweeen van zien(Ago/Sd/Rbot).
De gevaarlijkheid van backdoors wordt echt _zwaar_ onderschat.

Ik zie niet zoveel lekke machines met open poorten, die rechtsreeks aan het internet hangen bij bedrijven waar ik kom. Meestal door een goede av op de mail (vaak clam, of clam met een commerciele), en een goed patch beleid.

En dan hebben we de spamruns...
Hoe doet Clam het daarop? Niet bijster goed, merendeel van Bancos/Banker trojans worden niet/veel te laat gedetecteerd.

Weet jij wel eens wat een spamrun is ? Ik zal het je uitleggen, een definitie geven

70% van de spam wil je financieel met een kluitje het riet in sturen.
20% denkt dat jij wel kan afvallen, of een grote penix nodig hebt.
10% is de rest van de zut, zoals hele goedkope software, virus notificatie emaisl van AV's die nog niet begrijpen dat moderne virussen afzenders faken.

Ik zie niet in ieder geval geen penix pillen mails die me ook nog even vragen om het attachment de dubbelklikken, of een voorbeeld penix te zien.

Ik kan bevestigen wat een eerder poster in deze thread al meldde, dat commerciele scanners nog al eens later zijn met detecten dan clamav.
Als je maar 1 product op je mail hebt staan, dan heeft die line of defense al geen nut meer.
Voor klanten die wel in de buidel willen tasten zet ik er wel 1-2 commerciele scanners bij.

donderdag 5 augustus 2004 01:00

Acties:

Verwijderd

Verwijderd schreef op 05 augustus 2004 @ 00:45:
[...]

dat betwist ik ook helemaal niet, ik beweer alleen dat zelfs dat niet snel genoeg is . overigens is het verwonderlijk dat deze knaap , die goed is voor 70% van de "virusmarkt", zolang zijn gang kan gaan voordat hij opgepakt wordt. hopelijk kan met een opensource antivirus pakket, dan zichzelf niet zo hoeft te beschermen als de commerciele producten, een meer preventief beleid gevoerd worden (doorgeven van tips en samenwerken met de overheid om de virusschrijvers aan te pakken voor ze hun schadelijke software loslaten op het internet - er loopt net een draadje over in b&v zie ik). de virussen die in de top 10-lijst van bovenvermelde link staan werken domweg niet, zolang je maar als beperkte gebruiker ingelogd bent. een tip die antivirusaanbieders maar al te graag vergeten te vermelden.

Sasser werkt niet onder een useraccount? Dat durf ik te betwijfelen.

En dan nog, zolang de 'dropper' ook zelf kan mailen en alleen maar de meuk dropt om zo 'handiger' te zijn, dan zit je nog de hele sessie eventueel spam/andersoortige crap te versturen of als proxy te fungeren etc etc..

Precies wat willen de Clam mensen doen tegen mensen in Azië/Afrika e.d.?
Don't get me wrong - ik kan zoiets wel aanmoedigen, maar de meeste mensen kun je gewoon niet pakken doordat ze net in het 'verkeerde' land zitten.
En dan heb je nog de staten waarin je gewoon vanalles mag, in Argentinië is het legaal om malware te schrijven bijv.
Daarnaast is een proxy ook nog wel een optie.

Clam heeft geen super heuristics/goede signatures/goede unpackers, in short:
Het moet het hebben van de responsetijd, dus iedereen kan hier wel miepen over de responsetijd van (bepaalde) commerciële vendors, Clam is er minstens even afhankelijk van.

Open source of niet, het resultaat telt.

donderdag 5 augustus 2004 01:13

Acties:

Verwijderd

Verwijderd schreef op 05 augustus 2004 @ 00:56:
[...]

Laat me toch niet lachen jongen. Elk bedrijf heeft als doelstelling winst te maken, nooit economie gehad?

Ja dus?
Het gaat om de Head of Anti-Virus research en hoeveel die te zeggen heeft.
Als ik met Eugene Kaspersky praat, dan kun je de passie voelen..
Die man was - en is nu weer - oprecht blij over de updateschema's, écht niet om het geld/PR, hoewel dat natuurlijk mooi meegenomen is, is dat echt niet de drijfveer die erachter zit.

Wat sales e.d. vindt, dat is weer een heel andere zaak, maar zoals ik al zei, het gaat erom welke department het voor het zeggen heeft.

[...]

we ? je was toch usert ?

En dus mag ik geen kennis die ik vanuit mijn werk krijg aandragen?
Als ik er "Kaspersky" neer had gezet was het waarschijnlijk ook niet goed geweest, but that's not the point.
Er zijn meer vendors die meerdagelijks updaten, bijv BD, Dials.

[...]

Ik zie niet zoveel lekke machines met open poorten, die rechtsreeks aan het internet hangen bij bedrijven waar ik kom. Meestal door een goede av op de mail (vaak clam, of clam met een commerciele), en een goed patch beleid.

Dan zullen ze vast ook nog wel een extensionfilter hebben draaien, waarom heb je dan überhaupt nog een AV nodig?

Weet jij wel eens wat een spamrun is ? Ik zal het je uitleggen, een definitie geven
70% van de spam wil je financieel met een kluitje het riet in sturen.
20% denkt dat jij wel kan afvallen, of een grote penix nodig hebt.
10% is de rest van de zut, zoals hele goedkope software, virus notificatie emaisl van AV's die nog niet begrijpen dat moderne virussen afzenders faken.

Sure thing dude, daarom komen er gemiddeld nu zo'n 5-10 urgent updates per dag uit voor Trojans die gespamd worden om iemand z'n (bank)gegevens te ontfutselen.

Van de afgelopen dag:

Virus definitions added/edited
------------------------------
TrojanSpy.HTML.Usbankfraud.d, TrojanSpy.Win32.Banker.cg, TrojanSpy.Win32.Banker.ch,
TrojanSpy.Win32.Banker.ci

Virus definitions added/edited
------------------------------
Backdoor.DarkMoon.a, TrojanSpy.Win32.TianYan.a

Virus definitions added/edited
------------------------------
Backdoor.Ciador.102, Trojan.PSW.QQPass.br, Trojan.Win32.Dialer.dc

Virus definitions added/edited
------------------------------
I-Worm.Yeno.a, Macro.Word97.MLHR.a, Trojan.PSW.LdPinch.fq, Trojan.VBS.StartPage.x,
Trojan.VBS.StartPage.y, Trojan.Win32.Medias.e, Trojan.Win32.StartPage.mf,
TrojanDownloader.Win32.Small.se, TrojanDownloader.Win32.Vivia.k

Virus definitions added/edited
------------------------------
Backdoor.Masteseq.l, Backdoor.Snowdoor.g, I-Worm.Neveg.a, Trojan.BAT.Adduser.d,
Trojan.BAT.Chikit.a, Trojan.HTML.Debeski.d, Trojan.RAR.Starter,
TrojanDownloader.VBS.Iwill.w, TrojanDownloader.Win32.PurityScan.h,
TrojanDownloader.Win32.Swizzor.bk, TrojanDropper.Win32.PurityScan.d,
TrojanDropper.Win32.Small.kc, TrojanProxy.Win32.Maral.a,
TrojanSpy.HTML.Citifraud.n, Win32.HLLW.Delf.h, Worm.Win32.Helex

Virus definitions added/edited
------------------------------
Trojan.Win32.Genme.c, TrojanSpy.Win32.Tofger.bh, TrojanSpy.Win32.VB.cc

Virus definitions added/edited
------------------------------
Backdoor.Madistor.b, TrojanProxy.Win32.Migmaf.g, TrojanSpy.Win32.Banker.cj,
TrojanSpy.Win32.Banker.ck

Virus definitions added/edited
------------------------------
TrojanSpy.Win32.Banker.cl

Virus definitions added/edited
------------------------------
Trojan.PSW.VB.da, TrojanSpy.Win32.Small.an

En dat is van 4 augustus. - TrojanSpy included updates only.

donderdag 5 augustus 2004 01:34

Acties:

MikeN

offtopic:
Zet 2 mensen in een topic die overtuigd zijn van hun gelijk en recht tegen over elkaar staan en je komt nergens.....

Mijn mening is dat http://virusscan.jotti.dhs.org boekdelen spreekt. Dat die virussen daar worden gesubmit zegt mij al dat ze ITW zijn. Dat ze ITW zijn betekent voor mij al dat er bescherming tegen moet zijn. Clam heeft dat blijkbaar niet, het idee is leuk, maar voorlopig zijn ze er nog _lang_ niet, ze hebben nog een lange weg te gaan, net als vele andere open source projecten.

donderdag 5 augustus 2004 10:19

Acties:

Verwijderd

Verwijderd schreef op 05 augustus 2004 @ 01:00:
[...]

Sasser werkt niet onder een useraccount? Dat durf ik te betwijfelen.
En dan nog, zolang de 'dropper' ook zelf kan mailen en alleen maar de meuk dropt om zo 'handiger' te zijn, dan zit je nog de hele sessie eventueel spam/andersoortige crap te versturen of als proxy te fungeren etc etc..

ach ja Sasser, natuurlijk, had ik even niet zien staan. een van de uiterst zeldzame werkelijke systeemexploits. helaas voor het ding had ik al maanden de service uitstaan (of toch dat deel dat poort 135 openzet - rpc), en zelfs al zou die wel aangestaan hebben, dan nog had de simpele ingebouwde windows firewall die wel tegengehouden. dus zelfs een totaal ongepatchte windows was hiervoor in principe beveiligbaar met de standaard ingebouwde hulpmiddelen, dat is wat ik bedoelde met alternatieve beveiligingsmethodes in mijn eerste post in deze draad.

ik moet je wel gelijk geven dat het resultaat dat een virusscanner behaalt, uiteindelik hetgene is wat telt, en dat de commerciële aanbieders hier nog ver voorop lopen, maar dat ik uiteindelijk toch meer potentie zie in een open source toepassing.

donderdag 5 augustus 2004 10:47

Acties:

Verwijderd

Verwijderd schreef op 05 augustus 2004 @ 10:19:
[...]

ach ja Sasser, natuurlijk, had ik even niet zien staan. een van de uiterst zeldzame werkelijke systeemexploits.

zeldzaam?
Er zijn tienduizenden Ago/Rbot/Sd-Bots ITW die van een heel stel systemexploits gebruikmaken.
Men heeft echt een totaal vertekend beeld van de malwareactiviteit omdat vaak de zogenaamde 'self spreading backdoors' niet worden meegenomen...

helaas voor het ding had ik al maanden de service uitstaan (of toch dat deel dat poort 135 openzet - rpc), en zelfs al zou die wel aangestaan hebben, dan nog had de simpele ingebouwde windows firewall die wel tegengehouden. dus zelfs een totaal ongepatchte windows was hiervoor in principe beveiligbaar met de standaard ingebouwde hulpmiddelen, dat is wat ik bedoelde met alternatieve beveiligingsmethodes in mijn eerste post in deze draad.

Poort 135 krijg je volgens mij niet zo makkelijk dicht.

Daarnaast, what about win2k?

maar dat ik uiteindelijk toch meer potentie zie in een open source toepassing.

Time will tell.

donderdag 5 augustus 2004 11:07

Acties:

cutter

Wannabe i7 fanboy

De windowsfirewall is perfect voor de standalone thuis pc, maar in bedrijfssituaties de firewall aanzetten leverde een hoop gezeik op met timouts als het samba based netwerk werd benaderd. Windows firewall uitzetten is het eerste dat ik aan zou raden als er problemen zijn met het netwerk. Ik ben benieuwd hoe de firewall van SP2 is. Belangrijkste bescherming tegen virussen/exploits is nog altijd het programma grey mass v1.0. Dus patch je pc regelmatig, ga nou niet lurken op gratis pr0n, mp3 of crack sites, lees de gebruikersvoorwaarden of doe onderzoek op internet als je een 'gratis' programma als kazaa, messengerplus installeert. klik niet op ok buttons als je niet zeker bent van het programma en heb een standaard gezond wantrouwen in alle mails die je krijgt.

Virusscanner is een vangnet voor wat je met je eigen gezonde verstand niet tegen kan houden.

@\/\/\/\/\/ Meer in ieder geval dan jouw reactie

[ Voor 5% gewijzigd door cutter op 05-08-2004 15:06 . Reden: Reactie op reactie :) ]

donderdag 5 augustus 2004 13:21

Acties:

Miki

cutter schreef op 05 augustus 2004 @ 11:07:
De windowsfirewall is perfect voor de standalone thuis pc, maar in bedrijfssituaties de firewall aanzetten leverde een hoop gezeik op met timouts als het samba based netwerk werd benaderd. Windows firewall uitzetten is het eerste dat ik aan zou raden als er problemen zijn met het netwerk. Ik ben benieuwd hoe de firewall van SP2 is. Belangrijkste bescherming tegen virussen/exploits is nog altijd het programma grey mass v1.0. Dus patch je pc regelmatig, ga nou niet lurken op gratis pr0n, mp3 of crack sites, lees de gebruikersvoorwaarden of doe onderzoek op internet als je een 'gratis' programma als kazaa, messengerplus installeert. klik niet op ok buttons als je niet zeker bent van het programma en heb een standaard gezond wantrouwen in alle mails die je krijgt.

Virusscanner is een vangnet voor wat je met je eigen gezonde verstand niet tegen kan houden.

Eh.. hoort dit hier thuis in clamav topic?

donderdag 5 augustus 2004 19:30

Acties:

_JGC_

Verwijderd schreef op 05 augustus 2004 @ 00:39:
[...]
Er zijn inderdaad oplossingen die vinden dat het beter is om alle definities/ect bij elke scan maar weer te gaan laden, en dan te gaan scannen.
Dat is een enorm load verschil ten opzichte van een daemonized av scanner inderdaad

Sophie is de daemonized versie van sophos, aangezien sophos de engine in library vorm uitbrengt zodat je ertegen kunt programmeren. Dan nog is clamav 2x sneller dan sophie, sophos sweep commandline scanner wil ik niet eens vergelijken, dat verliest ie toch

Toen ik nog niet alles uitpakte met ripmime/reformime bij het scannen, liet sophos een enorm aantal toe, terwijl clamav de rotzooi stond op te ruimen die sophos liet glippen. Sophos heeft gewoon een hele brakke MIME-decoder, als een virus broken mime heeft in een mailtje, laat sophos het ding gewoon door.

zaterdag 19 september 2015 12:52

Acties:

rg-mohwa

Phoe Hé

Even een MEGAKICK

maar ik vroeg me af, nog mensen die dit dagelijks gebruiken ? klinkt mij namelijk goed in de oren, een opensource antivirus product.

zondag 20 september 2015 00:40

Acties:

iisschots

Ik stel voor dat je een nieuw topic maakt

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!