martes, octubre 28, 2008

¿Qué antivirus uso? ¡Prometo decir la verdad!

¿Qué antivirus uso? ¡Prometo decir la verdad!

Nota: de aqui en adelante voy a usar la palabra virus para referirme a virus, gusanos, troyanos, spyware, etc. de manera indistina.

"Denis, ¿Qué antivirus usas?, ¿Qué antivirus me recomiendas?, ¿Cuál es el mejor antivirus?...", muchas veces me han hecho estas preguntas o algunas parecidas (¡como que si yo tengo la respuesta!), incluso este tipo de temas es de amplia discusión en toda la Red. Como todo linuxero (usuario de linux) presumido mi respuesta siempre había sido:

"No uso antivirus, ¿para qué quiero uno?, yo uso GNU/Linux y en GNU/Linux no hay ataques de virus... (seguido de toda la explicación sobre el software libre)",

pero hoy quiero confesar que mi respuesta no ha sido del todo sincera, por lo que en este artículo quiero decir la verdad a la pregunta ¿Qué antivirus uso YO?.

Primero: quiero destacar que tengo la confianza de que GNU/Linux es un sistema muy seguro, hasta el momento no he tenido (y estoy seguro que no tendré) ningún problema de virus, pero ojo tener cuidado más adelante relato una anécdota que me sucedió con wine. Si desea saber más sobre linux y los virus puede ver estos enlaces:

Segundo: (aquí es donde venía la parte poco sincera), SI tengo instalado un antivirus en GNU/Linux Debian, se llama ClamAV, y para los que no sabían viene en los discos oficiales y está en los repositorios de paquetes oficiales.

ClamAV (Clam AntiVirus) es un anti virus y anti spyware open source (GPL), gratis para UNIX, está diseñado especialmente para el escaneo de correo electrónico en servidores de correo, aunque también provee de un escáner desde línea de comandos, cuenta con actualizaciones periódicas (manuales o automáticas) de su base de datos de definiciones de virus (la cual crece casi diario), es multi plataforma, hay una versión para MS Windows llamada ClamWin que se puede integrar con MS Office Outlook Express.

Estas son las URL de ambos:

¿Porqué tengo un antivirus instalado en GNU/Linux?

No tengo ningún servidor de correo, mis razones para tener instalado un antivirus en GNU/Linux son:
  1. Mi memoria USB la uso en diferentes lugares (casa, trabajo, amigos, cyber, etc.), en ocasiones algunos de estos lugares me infectan con los viruses recidentes, aunque no afectan mi GNU/Linux Debian no me gusta andar basura en la memoria y no me gustaría que por mi memoria se infesten otros.
  2. En la casa, la PC de mi hermana tiene Windows (ha sido difícil convercerla al cambio), en muchas ocasiones dicha computadora adquiere algún virus, y adivinen a quién le toca quitarlo...
Eliminar los virus de una memoria USB

En el caso de mi memoria hice lo siguiente: primero instalé ClamAV (apt-get install clamav), y luego he creado en la raíz de mi memoria un script llamado antivisrus.sh con el siguiente contenido:

#!/bin/sh

clamscan --remove -r -l clamscan.log .

Esto lo que hará cuando se ejecute, será escanear el contenido del directorio actual (la raíz de mi memoria) de forma recursiva pasando por todos los subdirectorios y borrando todo archivo que clamav considere infectado, todo lo que clamav haga quedará registrado en un archivo llamado clamscan.log en la misa raíz de mi memoria.

Cuando quiero revisar/limpiar la memoria tan solo ejecuto en una consola:

$sh /media/DENISTORRES/antivisrus.sh

Ojo, yo soy imprudente, si se fijan yo ejecuto clamscan con la opción --remove, algo más prudente puede ser, crear un directorio cuarentena donde se mande todo archivo infectado, para su examinación previo a su borrado:

#!/bin/sh

clamscan --move=/home/denis/cuarentena -r -l clamscan.log .

Eliminar los virus de Windows desde GNU/Linux (sin arrancar Windows)
El otro caso que les mencioné por el cual uso clamAV es para limpiar el Windows de la computadora de mi hermana, al principio se me había ocurrido encender la PC de mi hermana, compartir la particion de Windows, montarla con samba en mi PC y proceder a escanearla. ClamAV empezó a realizar su trabajo, detectó los virus, pero como el virus ya estaba residente y ejecutándose en la computadora con Windows, no dejaba borrar los archivos infectados, e incluso como Windows estaba ejecutándose algunos archivos del sistema operativo no se dejaban escanear.

/home/denis/blanca_pc/WINDOWS/SYSTEM32/RVHOST.exe: Worm.Sohanad-130 FOUND
ERROR: Can't unlink '/home/denis/blanca_pc/WINDOWS/SYSTEM32/RVHOST.exe': Permission denied
WARNING: Can't open file /home/denis/blanca_pc/pagefile.sys
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/system.LOG
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/software.LOG
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/default.LOG
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/SECURITY
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/SAM
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/SAM.LOG
WARNING: Can't open file /home/denis/blanca_pc/WINDOWS/SYSTEM32/config/SECURITY.LOG


Esto me llevó a la utilización de otra estrategia (la cual uso actualmente), como la PC de mi hermana no tiene instalado ningún Linux, entonces utilicé mi Knoppix Live CD para arrancar linux en dicha PC, y luego escanearla con ClamAV.

Con Knoppix en ejecución es muy fácil montar la partición de Windows. En el Desktop aparece un icono para cada partición, es fácil montarla tan sólo es necesario darle clic al icono de la partición, luego hacer con clic con el botón derecho desde el menú emergente, y cambiar a modo de escritura la partición (para que podamos borrar los virus).

Knoppix trae instalado ClamAV, por lo cual es posible proceder despúes de arrancar Knoppix el escaneo de los directorios necesarios, pero si Knoppix es muy viejo la versión del engine de clamscan y la base de datos de definiciones de virus pueden estar muy desactualizadas, por lo cual es bueno previo al escaneo instalar una versión reciente de ClamAV y actualizar las definiciones de virus.

Las actualizaciones de definiciones de virus de ClamAV son gratis, en realidad se tratan de 2 archivos main.cvd y daily.cvs los cuales pueden ser descargados desde el sitio oficial de ClamAV:
Para actualizar el engine de ClamAV en mi Debian Etch yo ya habia descargado con anterioridad desde Backports (http://www.backports.org/) los deb de ClamAV, y como Knoppix está basado en Debian entonces los mismos deb pueden ser utilizados.

Una vez con estos archivos es posible actualizar ClamAV en Knoppix así:

knoppix@1[~]$ cd ~/clamav
knoppix@1[clamav]$ ls
daily.cvd  deb  main.cvd
knoppix@1[clamav]$ cd deb/
knoppix@1[deb]$ su

root@1[deb]# dpkg -l | grep clam
ii  clamav             0.88.2-1    antivirus scanner for Unix
ii  clamav-base        0.88.2-1    base package for clamav, an anti-virus utility
ii  clamav-freshclam   0.88.2-1    downloads clamav virus databases from the Inte
ii  libclamav1         0.88.2-1    virus scanner library


root@1[deb]# ls
clamav_0.93.1.dfsg-volatile1_i386.deb
clamav-base_0.93.1.dfsg-volatile1_all.deb
libclamav4_0.93.1.dfsg-volatile1_i386.deb

root@1[deb]# dpkg -i *
(Leyendo la base de datos ...
103700 ficheros y directorios instalados actualmente.)
Preparando para reemplazar clamav 0.88.2-1 (usando clamav_0.93.1.dfsg-volatile1_i386.deb) ...
Desempaquetando el reemplazo de clamav ...
Preparando para reemplazar clamav-base 0.88.2-1 (usando clamav-base_0.93.1.dfsg-volatile1_all.deb) ...
Desempaquetando el reemplazo de clamav-base ...
Seleccionando el paquete libclamav4 previamente no seleccionado.
Desempaquetando libclamav4 (de libclamav4_0.93.1.dfsg-volatile1_i386.deb) ...
Configurando clamav-base (0.93.1.dfsg-volatile1) ...
Replacing config file /etc/clamav/clamd.conf with new version

Configurando libclamav4 (0.93.1.dfsg-volatile1) ...

root@2[deb]# cd ..
root@2[clamav]# ls -lh
total 18M
-rwx------ 1 knoppix knoppix 1,3M 2008-10-23 20:22 daily.cvd
drwxr-xr-x 2 knoppix knoppix  120 2008-10-23 20:23 deb
-rwx------ 1 knoppix knoppix  17M 2008-10-23 20:22 main.cvd
root@2[clamav]# ls -lh /var/lib/clamav/
total 15M
-rwxr-xr-x 1 clamav root 2,0M 2008-10-23 20:34 daily.cvd
-rwxr-xr-x 1 clamav root  13M 2008-10-23 20:34 main.cvd

root@2[clamav]# cp *cvd /var/lib/clamav/
cp: ¿sobreescribir «/var/lib/clamav/daily.cvd»? (s/n) s
cp: ¿sobreescribir «/var/lib/clamav/main.cvd»? (s/n) s
root@2[clamav]# ls -lh /var/lib/clamav/
total 18M
-rwxr-xr-x 1 clamav root 1,3M 2008-10-23 20:43 daily.cvd
-rwxr-xr-x 1 clamav root  17M 2008-10-23 20:43 main.cvd


root@2[clamav]# cd /mnt/sda1/antivirus/
root@2[antivirus]# ls
antivisrus.sh

root@2[antivirus]# cat antivisrus.sh
#!/bin/sh

clamscan --remove -r -l clamscan.log /media/sda1/ > clamscan_full.log


poweroff

root@2[antivirus]#
root@2[antivirus]# clamscan --version
ClamAV 0.93.1/8468/Wed Oct 22 14:35:20 2008

root@2[antivirus]# sh antivisrus.sh
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************

Cuidado con Wine

Por seguridad si tienen instalado wine les recomiendo que no asocien por defecto los archivos .exe para ser ejecutados con wine (en cualquier entorno gráfico gnome o kde) ya que hace algún tiempo me pasó lo siguiente:

El ipod de mi prima tenía el famoso virus "Nueva Carpera.exe" se lo íbamos a borrar desde linux, pero por error después de seleccionarlo presioné la tecla Enter y se empezó a ejecutar (sin que me percata de eso).

Procedí a borrar los archivos “Nueva Carpeta.exe” de los subdirectorios del ipod, pero noté que en la raíz no se había borrado y que cada vez que lo borraba volvía a aparecer, “jejejeje, está cómico esto, tengo un virus en linux!” pensé, deduje que se estaba ejecutando lo busque en los procesos, y allí había un wine corriendo, maté el proceso, y después pude borrar el archivo sin ningún problema.

(ojo en mi sistema de archivos ext3 no pasó nada malo, revisé mi home y el fake_windows de winw y todo estaba bien, el virus sólo se copiaba en la memoria del ipod).

Algunos virus/troyanos/espías/gusanos que ClamAV me ha detectado según el log de los escaneos:

./RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/stcvhost.exe: Worm.Autorun-1617 FOUND
./RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/stcvhost.exe: Removed

... otro log ...

/media/hda1/Archivos de programa/EA GAMES/MOHAA/main/Pak1.pk3: Oversized.Zip FOUND
/media/hda1/Archivos de programa/EA GAMES/MOHAA/main/Pak1.pk3: Removed

... otro log ...

./mon/mon.exe: Worm.Sohanad-130 FOUND
./mon/mon.exe: Removed
./carpeta.exe: Trojan.Downloader-53377 FOUND
./carpeta.exe: Removed

... otro log ...

/mnt/guin/c/Documents and Settings/kathy/Escritorio/Sin.wcp: Unknown error code
/mnt/guin/c/RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/stcvhost.exe: Worm.Autorun-1617 FOUND

... otro log ...
./RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/isi32.exe: Worm.Autorun-826 FOUND
./RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/isi32.exe: Removed

... otro log ...
/home/denis/blanca_pc/WINDOWS/MEMORY.DMP: Trojan.KillCMOS FOUND

... la memoria de mi papá ....

./ntde1ect.com: Trojan.Spy-6766 FOUND
./n1deiect.com: Trojan.Spy-17753 FOUND
./g2pfnid.com: Trojan.Spy-48682 FOUND
./e.com: Trojan.Vundo-7458 FOUND
./autorun.inf: Inf.Suspect-2 FOUND
./nideiect.com: Trojan.Bagle-283 FOUND
./RECYCLER/S-1-5-21-1482476501-1644491937-682003330-1013/sic32.exe: Trojan.Small-8279 FOUND
./RECYCLER/S-1-5-21-3318671052-061502871-8581524341-500/~WRL0258.tmp: Trojan.Autorun-160 FOUND
./MSOCache/doWTP_RESTORE_0.exe: Trojan.Delf-1727 FOUND


Así que esa es la verdad, la verdad ... usar Linux es el mejor antivirus que existe :-)
-

Artículos Relacionados

Usando ClamAV 0.95.1 en Ubuntu Jaunty con clamtk como GUI (http://josegjimenez.wordpress.com/2009/04/25/clamav-0951/)