O ClamAV é um antivírus que roda sobre o Linux, com o objetivo de detectar vírus em compartilhamentos de rede, e-mails e partições do Windows. Instalado num servidor, ele permite que os vírus sejam removidos antes que cheguem às máquinas Windows, criando uma barreira inicial de proteção.
Ele pode ser usado em conjunto com o Samba (escaneando arquivos em compartilhamentos de rede), com o Postfix (removendo vírus recebidos por e-mail antes que eles cheguem às máquinas Windows) e assim por diante. Ele pode ser usado também ser usado localmente, para localizar e remover arquivos infectados de uma partição do Windows, que é o foco desta dica.
Nem sempre, usar um antivírus for Windows numa máquina infectada é uma boa idéia, pois muitos vírus são capazes de modificar os executáveis do próprio antivírus, fazendo com que ele não reporte os arquivos infectados, ou até mesmo infecte mais arquivos durante o teste. O ClamAV é uma boa solução para estes casos, pois ele roda “de fora”, a partir do Linux.
Você tem basicamente duas opções. Pode dar boot usando um live-CD e rodar o teste a partir dele, ou mover o HD do Windows para outra máquina com Linux e usa-la para executar o teste.
A idéia do live-CD é mais prática, pois você não precisa perder tempo abrindo a máquina. Poucas distribuições trazem o ClamAV pré instalado, mas você pode usar um CD do Kurumin 5.0 (em diante), Knoppix, Kanotix ou outra distribuição com suporte ao UnionFS, que permite instalar o ClamAV e baixar as atualizações mesmo ao rodar do CD.
Para instalar o ClamAV no Kurumin e outros live-CDs derivados do Debian, abra um terminal, logue-se como root, atualize a lista do apt-get e instale o pacote:
$ sudo su
# apt-get update
# apt-get install clamav
O instalador faz uma pergunta sobre a atualização da base de dados com as definições de vírus, que pode ser feita automaticamente através de um serviço de sistema (daemon), ao ativar a conexão (ifup.d) através do Cron ou de forma manual, usando o comando “freshclam“, que é a opção mais interessante no nosso caso. Você pode escolher também o mirror de onde serão baixados os arquivos, o mirror do Brasil costuma ser rápido.
Algumas versões do pacote Debian possuem um pequeno problema no script de instalação, que retorna um erro na primeira instalação mas instala normalmente na segunda tentativa. Caso necessário, rode o comando “apt-get install clamav” duas vezes.
Se no final da instalação você receber uma mensagem como:
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Current functionality level = 4, recommended = 5
DON’T PANIC! Read http://www.clamav.net/faq.html
Significa que foi provavelmente instalada a versão estável do pacote, que por não ser a última versão, pode não ser capaz de detectar algum vírus recente. No caso do ClamAV é importante que tanto o executável quanto os arquivos das definições estejam atualizados.
Se preferir tentar instalar a última versão, você pode experimentar baixar o pacote disponível no unstable, usando o comando abaixo. Verifique neste caso se o arquivo “/etc/sources.list” contém a entrada com o repositório unstable.
# apt-get install -t unstable clamav
Depois de instalado, baixe o arquivo com as definições usando o comando:
# freshclam
A partir daí o Clamav está pronto, falta apenas montar a partição do Windows e rodar o teste. Com exceção de arquivos do Office, a ClamAV não oferece a opção de desinfectar arquivos, pois em quase todos os casos isso simplesmente resulta num arquivo danificado que não serve mais para nada. Ao invés disso, ele simplesmente avisa sobre os arquivos infectados e oferece a opção de deletá-los ou movê-los para uma pasta. O teste em arquivos locais é feito usando o comando “clamscan”.
Para mover os vírus para dentro da pasta “infectados”, dentro da partição do Windows, use o comando:
# mount /dev/hda1 /mnt/hda1
# mkdir /mnt/hda1/infectados
# clamscan -r –bell –move=/mnt/hda1/infectados/ /mnt/hda1
A opção “-r” torna o teste recursivo, escaneando todos os arquivos dentro da partição. A opção “–bell” toca um bip sempre que um vírus é encontrado. A opção “–move=” especifica o diretório para onde os arquivos infectados são movidos e, por último, vem a pasta onde o teste será executado, no nosso caso a partição do Windows montada na pasta “/mnt/hda1”.
Embora não seja recomendável, você pode configurar o ClamAV para deletar os arquivos infectados ao invés de movê-los. Neste caso, substitua a opção “–move=” por “–remove“.
Naturalmente, para que os arquivos infectados sejam deletados ou movidos, é necessário que a partição seja montada em modo leitura e escrita. Ao verificar uma partição em NTFS (montada em somente leitura) é possível apenas detectar os vírus e depois remover os arquivos manualmente através do Windows.
Caso realmente necessário, você pode usar o Captive (
https://www.hardware.com.br/artigos/acessando-particoes/) para ativar o suporte à escrita e assim remover os arquivos infectados diretamente. Não use o Captive para executar o teste diretamente, pois o acesso é muito lento. Ao invés disso, monte a partição por vias normais para o teste e depois monte-a usando o Captive para remover os arquivos.
Para que o ClamAV exiba na tela apenas os arquivos infectados, sem mostrar arquivo por arquivo como faz normalmente, adicione a opção “-i” ao comando, como em:
# clamscan -r –bell -i /mnt/hda1
É recomendável especificar também um diretório para arquivos temporários, que o clamscan usará para descompactar grandes arquivos e assim examinar seu conteúdo. Sem o diretório temporário tudo é feito em memória RAM, o que limita a eficiência do antivírus ao escanear grandes arquivos compactados. Ao rodar o sistema do CD, o diretório precisa estar dentro de alguma partição do HD, montada com permissão de escrita para todos os usuários, ou pelo menos para o usuário “clamav”, usando pelo clamscan. Adicionando o diretório, o comando ficaria:
# clamscan -r –bell –tempdir=/mnt/hda1/tmp –move=/mnt/hda1/infectados/ /mnt/hda1
Veja também
Sobre o Autor
Deixe seu comentário