Antivirus prático no Ubuntu

Iniciado por Eunir Augusto, 24 de Julho de 2007, 13:55

tópico anterior - próximo tópico

Eunir Augusto

Boa tarde, nobre colegas.

Tema polêmico, exaustivamente discutido aqui no forum: Antivirus, no Linux, pra quê?

Concordo que os virus sao ultra remotos... concordo que os antivirus pra Linux sao limitados e cansativos de se trabalhar... concordo tbm que o clamav está sempre defasado, enqto o clawin (clamav for windows) está sempre atualizado... e o Antivir vem por default em alemão, etc etc

Não criei este tópico pra discutir isso. Criei só pq de tudo que já li a respeito, um assunto me chamou a atenção: nobres colegas aqui do forum gostariam de ter um antivirus funcional no Ubuntu, pra escanearem o arquivo que receberam por email e diminuir a qtde de virus existentes que contaminam usuarios comuns do janelas.

Achei isso uma atitude louvável de vários, que de tantos aqui não consigo enumerar...

Daí, parei pra tentar achar algo sobre o assunto, e me questionei: Opa, estamos na Era Web 2.0, dos aplicativos virtuais, impulsionada pelo rápido acesso disponivel a baixo custo e por monopólios como, por exemplo, o Google e vários aplicativos "on line".

Então fui nos famosos: como o AVG tem fama de "acumulador de virus gratuito", deixei-o de lado. Lembrei-me que um bom antivirus que utilizei, na minha epoca de janelas, foi o Avast, que escaneava pela proteção de tela, se não me engano... Fui no site deles mexer, pra ver se achava algo pra Ubuntu/Debian, e encontrei o Avast On Line, para arquivos individuais.

Site: http://onlinescan.avast.com/

Explicação: Igual ao VírusTotal essa ferramenta busca apenas vírus em arquivos selecionados pelo usuário e um de cada vez, ideal para quem recebeu um arquivo por email e precisa conferir antes de abrir. O tamanho dos arquivos não pode superar os 512 Kb.

E o melhor é que funciona redondinho no FF. Eu particularmente estou escaneando meus emails de até meio mega por ele, para fazer minha parte no combate aos virus que tanto incomodam os usuarios de informatica de todo o mundo.

É uma idéia, mas podia virar hábito de muitos, pois é rápido de se fazer (3 cliques a mais nao mata ngm, neh?)

Espero que tenham gostado da sugestão.

[ ]s jurassicos a todos  ;)
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

RxDx

Boa dica mas eu sinceramente vou continuar sem nenhum anti-virus :)
Notebook: Dell Vostro 1320 | Core 2 Duo P8600 @ 2.4ghz | 4GB DDR2 | nVidia GeForce 9300m GS.

Eunir Augusto

vlw, RxDx. É on line, nao instala nada. É só para aqueles que gostam de escanear os arquivos que repassam por email. Muitos arquivos *.doc e * .pps da vida, que não nos atingem em nada, afetam usuarios do "sistema privado". Se queremos um mundo melhor, que tomemos a iniciativa, neh?

Obrigado pelo elogia, RxDx.  ;) [ ]s
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

alarcon

#3
Bem para quem gosta de usar antivirus no linux eu conheço o F-Prot que existe nos repositórios do Ubuntu com o nome f-prot-installer ( versão 0.5.22) que deve ser antiga, mas existe uma versão mais nova no site do desenvolvedor que é este aqui:

http://files.f-prot.com/files/linux-x86/fp-linux-ws.deb

vejam que o nome dele é fp-linux-ws (versão 4.6.8 ) e que já está em formato .deb

OBS: o antivirus em pacote .deb mostra que é preciso instalar uma depedência que tenta remover vários outros pacotes importantes no sistema, portanto pegue o pacote em .rpm aqui:

http://files.f-prot.com/files/linux-x86/fp-linux-ws.rpm

e através do programa Alien transforme em um arquivo .deb que não necessitará desta dependência.

Vai entender né.

Já testei a instalação deste rpm transformado em deb e funcionou sem problema.


Note que é um antivírus para ser usado em linha de comandos, mas existem pela rede frontends para estes programas, por exemplo, o Xfprot feito em GTk e o QtFprot feito em em qt.

O Xfprot que é o mais indicado para o Ubuntu, pois é feito em gtk você pode baixar daqui:

http://web.tiscali.it/sharp/xfprot/xfprot_1.20-1_i386.deb

veja uma screenshot:




Se quiser saber maiores detalhes de como usar no Ubuntu veja:

http://ubuntuforums.org/showthread.php?t=88357

Para usar em linha de comando é + ou - assim:

CitarTudo sobre vírus e o f-prot no Linux
Por 777User

- Introdução

Existem vírus para linux? Eles realmente oferecem perigo? Se você instalar o f-prot no seu Linux e digitar o seguinte comando :

f-prot -virno

vai obter algo similar a isto :

    DOS/Windows: 50348 viruses and 55762 Trojans
    Word/Excel: 8354 viruses and Trojans
    Java: 2 viruses and 301 Trojans
    BAT: 3160 viruses and Trojans
    IRC INI: 1806 viruses and Trojans
    Script: 6373 viruses and Trojans
    INF: 7 viruses and Trojans
    Unix shell: 385 viruses and Trojans
    Ami: 2 viruses and Trojans
    WinBat: 4 viruses and Trojans
    PIF: 23 viruses and Trojans
    PalmOS: 4 viruses and Trojans
    PHP: 28 viruses and Trojans
    Unix: 431 viruses and Trojans

Bom, Unix Shell se refere a vírus feitos em script para sistemas Unix. Por exemplo, o seu painel de controle do Kurumin é feito nessa linguagem.

Unix se refere a vírus executáveis para sistemas Unix, geralmente feitos mais especificamente para Linux.

Então quer dizer que existem vírus para Linux? Sim, existem. Porém, o Linux por ser um sistema unix possui recursos de segurança que eu diria que são fantásticos. O sistema de permissão!

Cada usuário com seu nível de permissão, qualquer programa que o usuário execute é no seu nível de permissão. Isso é o que torna o Linux "imune" a estes "431+385" vírus feitos para sistemas unix. Se você estiver rodando o leitor de email como root, você pode estar propenso a vírus no Linux, porém como usuário normal você é imune. Isso ocorre porque os vírus precisam modificar arquivos do sistema e executáveis. Isso só seria possível se eles fossem executados como root. Num sistema Linux normal como usuário normal, eles simplesmente não conseguiriam rodar. Por isso, podemos dizer que o Linux é "imune" a vírus.

Eu particularmente já peguei um vírus executando um programa como root nos meus tempos de lammer, foi aí que aprendi a não desrespeitar algumas regras básicas como: não execute programas desconhecidos como root. O suposto vírus não conseguiu fazer nada no sistema, bastou apagar o executável. Isso foi a 4 anos, já nem uso mais aquele Linux. Fiquei sabendo que o vírus que eu tinha pego era incapaz de rodar em versões 2.2.5 ou superiores do kernel. Bom, o que quero dizer é que você realmente precisa querer pegar vírus no Linux para pegar um. Ou fazer tudo do pior jeito possível, sempre desrespeitando as regras de segurança.

- Protegendo-se

Como já foi dito, o Linux é praticamente imune a vírus. Porém, e se você é uma pessoa "marcada", daquelas que tem ip fixo que foi descoberto por um hacker ou lammer que mora na Austrália?

Quais são as formas de garantir que meu linux não vai pegar um vírus?

1- Não executar programas de internet como root. Isso garante que os códigos executados por estes programas não tem permissões sobre o sistema, apenas sobre a pasta do usuário, evitando que vírus alterem o código dos programas. (Só assim eles infectam o sistema)

2- Não entrar no sistema como root.

3- Habilitar um firewall. Eu acho que esse é útil para invasões (as chances de invasões usando Linux são um tanto imaginárias se você estiver usando ele para uso pessoal, mas ligar o firewall é obrigatório se você estiver em um servidor), ele também vai impedir que worms entrem no sistema. É claro que as chances de você pegar um worm usando Linux são bastante remotas... mas se você quer a prevenção, aqui está.

4- Não executar programas de fonte desconhecida como root. Ao executar qualquer programa como root, temos um nível de permissão 666, isso permite que o programa faça exatamente o que ele quiser no sistema. Principalmente aqueles programinhas daquela página feita por algum lammer ou hacker.

5- Desabilitar o sudo quando você não estiver precisando mais dele.

- O F-PROT

Este é um dos mais eficientes vírus scanners que você vai encontrar para sistemas Unix, e é bem provável que ele seja tão bom quanto ou melhor que o antivírus que você usa em seu Windows. Além disso a atualização é gratuita para usuários domésticos. Ele não é só capaz de verificar vírus escritos somente para Linux, mas para mais 3 sistemas operacionais diferentes.

Vamos aprender a usar o f-prot no Linux.

- Instalando no Kurumin 4.0

Clique em K > Konsole, digite "sudo apt-get install f-prot" e pressione enter. Você precisará estar conectado. (se você está tendo algum problema para baixar vá em http://www.f-prot.com)

-Mantendo o f-prot atualizado

Se você deseja atualizar o f-prot digite o seguinte comando em um terminal(K>konsole) :

sudo /usr/local/f-prot/tools/check-updates.pl

Observações: O f-prot deve ser sempre executado como root para conseguir uma verificação eficaz, para isso você pode habilitar o sudo. Nos comandos abaixo usei o sudo, caso ele não esteja habilitado digite su e entre com a senha de root, para os comandos abaixo funcionarem.

-Checando seu Linux

Para checar o seu Linux use o comando abaixo :

sudo f-prot -auto -disinf /

Este comando permite que você cheque seu Linux, desinfectando automaticamente qualquer arquivo encontrado. Se uma outra partição, HD, disquete, cdrom, etc, estiver montado, ele será checado. Por isso, se a sua partição Windows estiver montada, ela também será checada.

- O f-prot não conseguiu desinfectar um arquivo, o que eu faço?

Use o comando abaixo :

sudo f-prot -auto -delete /

Ele irá checar o disco e caso encontre um arquivo infectado, irá apagá-lo.

Você encontra mais opções com o comando man f-prot .

Aviso: Você tem uma chance que o f-prot encontre vírus para Windows na sua partição Linux, porém ele será um executável morto para o sistema. Você não tem obrigação de apagá-lo ou desinfectá-lo, a não ser que vá copiá-lo para sua partição Windows. Fique tranquilo, ele não vai pular sozinho para sua partição windows, porque nem sequer consegue ser executado no Linux! É claro, se você acessar a partição do Linux pelo Windows (usando algum programa, por exemplo), e você executar o executável infectado, nem precisa falar nada.... você vai pegar o vírus.

-Checando seu Windows(R)

Há duas formas de checar o seu Windows. Uma delas é checando o Windows e o Linux simultâneamente: para isso, bastaria montar a sua partição Windows e executar a checagem como mostrada acima.

A outra é checando apenas Windows, assim:

Primeiro montamos a partição do windows:

mount /mnt/hda1 - (obs: hda1 dependerá de onde seu Windows foi instalado, pode ser hdb1, hdb2, hda3...)

Depois fazemos uma checagem direcionada:

sudo f-prot -auto -disinf /mnt/hda1

Você pode com isso até pensar em desativar a verificação automática de vírus no Windows (muito cuidado com cavalos de tróia ao fazer isso). Eu por exemplo fiz exatamente, isso a um ano passo f-prot, uma vez por semana e pego cerca de 1 vírus em cada verificação.

- Se o meu Windows usa partição ntfs eu posso checá-lo?

Sim, basta usar o Kurumin 4.0 ou qualquer Linux com kernel 2.6.X . Nas outras, você pode checar por vírus, porém ficará incapaz de removê-los.

Se o f-prot não conseguir desinfectar um arquivo, use a opção delete no lugar de disinf.

- Checando disquetes

Esta é uma opção útil não só para checar seus disquetes gravados no Windows, mas também para checar disquetes que contenham arquivos de outras pessoas antes de você colocar no computador de algum amigo seu que utilize o Windows.

Clique em K > Konsole.

Monte sua unidade de disquete.

Digite:

mount /floppy

Ative o f-prot na leitora de disquete .

f-prot -auto -disinf /floppy

Depois de fazer a checagem, as modificações necessárias e etc em sua unidade de disquete, não esqueça de desmontá-la antes de tirá-la do drive!

- Conclusão

O Linux além de não ser suscetível a vírus pode ainda proteger seu Windows contra os mesmos.

fonte: http://www.guiadohardware.net/kurumin/dicas/013/

é antigo este texto mais deve servir.

Eunir Augusto

bastante tecnico, nobre alarcon. Valiosa contribuição. Eu, em meu modesto conhecimento, apenas sugeri uma forma rapida pra quem quer escanear rapidinho os anexos de emails, só isso.

vou testar sua dica. Ah, uma pergunta: ele funciona para escanear redes?

Abraços, alarcon
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

alarcon

#5
Citação de: Eunir Augusto online 24 de Julho de 2007, 14:47
bastante tecnico, nobre alarcon. Valiosa contribuição. Eu, em meu modesto conhecimento, apenas sugeri uma forma rapida pra quem quer escanear rapidinho os anexos de emails, só isso.

vou testar sua dica. Ah, uma pergunta: ele funciona para escanear redes?

Abraços, alarcon

Olha só usei ele há muito tempo atrás no kurumin e somente em desktop. O ws no nome é de Workstations, ou seja, estação de trabalho.

No site http://www.f-prot.com/ tem outras opções tipo corporate users e etc.

Outra coisa, entendi perfeitamente o seu texto caro Eunir Augusto, só postei este texto por que vejo muitos usuários perguntando sobre antivirus para linux, então vi aqui uma ótima oportunidade e resolvi postar um que já usei e que gostei quando era bem iniciante no mundo linux e ainda contaminado pela mentalidade windows de ser. ;D

Hoje não uso nenhum antivirus no linux. ;)

Eunir Augusto

hehe, eu tbm nao  ;) Mas vou dar um exemplo: vamos supor que um colega de trabalho te mande um email, e vc tem q repassar este para alguem no seu local de trabalho, que vai acessar de um pc que vc tenha q dar manutenção, imaginou? Pois é, isso acontece comigo  :-\ Dai eu já previno dor de cabeça pra frente  ;) Pelo visto, muitos aqui começaram no Kuruma... eu iniciei no Conectiva 4 (que eu me lembre) Na epoca a discussao de distro era entre Guarani, Conectiva, Mandrake, etc para usuarios finais. Alguns antigões usaram muito Solares e AIX da IBM, Unix na veia msmo, sendo alguns que são ativos aqui no forum, inclusive, hoje.  ;D

Obrigado, Alarcon. [ ]s
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

alarcon

Citação de: Eunir Augusto online 24 de Julho de 2007, 15:17
hehe, eu tbm nao  ;) Mas vou dar um exemplo: vamos supor que um colega de trabalho te mande um email, e vc tem q repassar este para alguem no seu local de trabalho, que vai acessar de um pc que vc tenha q dar manutenção, imaginou? Pois é, isso acontece comigo  :-\ Dai eu já previno dor de cabeça pra frente  ;) Pelo visto, muitos aqui começaram no Kuruma... eu iniciei no Conectiva 4 (que eu me lembre) Na epoca a discussao de distro era entre Guarani, Conectiva, Mandrake, etc para usuarios finais. Alguns antigões usaram muito Solares e AIX da IBM, Unix na veia msmo, sendo alguns que são ativos aqui no forum, inclusive, hoje.  ;D

Obrigado, Alarcon. [ ]s

Até o momento nunca precisei enviar ou receber arquivos em anexo no email, somente texto puro, mas já seguindo seu raciocínio acabei de instalar o f-prot + frontend para escanear emails antes de enviá-los, caso seja preciso anexar algo.

No momento parece que foi um sucesso a instalação, depois vejo se está atualizando e funcionando corretamente ok.

Há outra coisa, comecei  com o kurumin 3.1 (acho) e o conectiva 10  simultaneamente. ;D

Eunir Augusto

Citação de: alarcon online 25 de Julho de 2007, 10:40

No momento parece que foi um sucesso a instalação, depois vejo se está atualizando e funcionando corretamente ok.

Há outra coisa, comecei  com o kurumin 3.1 (acho) e o conectiva 10  simultaneamente. ;D

Grande alarcon, funcinando posta pra gente um passo-a-passo do f-prot + frontend com as alterações atualizadas, por favor, que vai ajudar os meninos.

É, meu amigo, muita gente passou pelo Kuruma. Muitos criticam, mas nao podemos esquecer que o Carlos Morimoto teve uma iniciativa muito plausível. Esses dias mesmo eu estava no Acesso Rápido tentando rotear um D-Link 500 G, mas só consegui fazer isso seguindo um tuto do Morimoto, acredita? Todos os tutoriais do Abusar não funcionaram, e o do Morimoto funcionou. Isso tem uma semana. Portanto, mérito pra ele, mesmo eu nao gostando do Kuruma, respeito muito o trabalho do rapaz.

[ ]s, alarcon
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

alarcon

Citação de: Eunir Augusto online 25 de Julho de 2007, 10:55
Citação de: alarcon online 25 de Julho de 2007, 10:40

No momento parece que foi um sucesso a instalação, depois vejo se está atualizando e funcionando corretamente ok.

Há outra coisa, comecei  com o kurumin 3.1 (acho) e o conectiva 10  simultaneamente. ;D

Grande alarcon, funcinando posta pra gente um passo-a-passo do f-prot + frontend com as alterações atualizadas, por favor, que vai ajudar os meninos.

É, meu amigo, muita gente passou pelo Kuruma. Muitos criticam, mas nao podemos esquecer que o Carlos Morimoto teve uma iniciativa muito plausível. Esses dias mesmo eu estava no Acesso Rápido tentando rotear um D-Link 500 G, mas só consegui fazer isso seguindo um tuto do Morimoto, acredita? Todos os tutoriais do Abusar não funcionaram, e o do Morimoto funcionou. Isso tem uma semana. Portanto, mérito pra ele, mesmo eu nao gostando do Kuruma, respeito muito o trabalho do rapaz.

[ ]s, alarcon

A atualização funcionou, só achei um pouco demorado, mas talvez seja devido a grande quantidade de atualização.

veja o resultado do comando:

f-prot -virno

CitarSIGN.DEF created 25 July 2007
SIGN2.DEF created 25 July 2007
MACRO.DEF created 25 July 2007
DOS/Windows: 332347 viruses and 130722 Trojans
Word/Excel: 8678 viruses and Trojans
Java: 11 viruses and 463 Trojans
BAT: 4859 viruses and Trojans
IRC INI: 3134 viruses and Trojans
Script: 28402 viruses and Trojans
INF: 6 viruses and Trojans
Unix shell: 633 viruses and Trojans
Ami: 2 viruses and Trojans
WinBat: 4 viruses and Trojans
PIF: 30 viruses and Trojans
PalmOS: 4 viruses and Trojans
PHP: 116 viruses and Trojans
Unix: 620 viruses and Trojans
In addition, over 15750 viruses are identified using
generic identification, so the total number of viruses
and Trojans known to F-PROT is somewhere over 525700

Como você recomendou está aqui o tópico mostrando como instalá-lo:

http://ubuntuforum-pt.org/index.php/topic,23018.msg127057.html#msg127057

Nada muito diferente do que já tinha falado por aqui. Só acrescentei algo que torna o frontend traduzido para o português Brasil.

Eunir Augusto

excelente topico, alarcon. parabens

acho que isso é o suficiente para os usuarios que vêem como uma necessidade a questao de antivirus no mundo Linux, por diversas razoes.

obrigado

[ ]s
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

alarcon

Citação de: Eunir Augusto online 25 de Julho de 2007, 14:01
excelente topico, alarcon. parabens

acho que isso é o suficiente para os usuarios que vêem como uma necessidade a questao de antivirus no mundo Linux, por diversas razoes.

obrigado

[ ]s

Obrigado.

Para testar peguei um arquivo keymaker.exe que eu sabia que estava contaminado só para testar a eficiência do programa e veja o que deu:



ou seja, está infectado com w32/Dropper.BOE

Eunir Augusto

é, alarcon, acho que meninos que interessam pelo assunto precisam + q isso nao... rsrs

mas me diz, vc acha q ele ta sendo atualizado regularmente? tem versao dele pra win? rs

[ ]s
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)

alarcon

Citação de: Eunir Augusto online 25 de Julho de 2007, 15:08
é, alarcon, acho que meninos que interessam pelo assunto precisam + q isso nao... rsrs

mas me diz, vc acha q ele ta sendo atualizado regularmente? tem versao dele pra win? rs

[ ]s

Bem o F-Prot já está há muito tempo no mercado e tem sim versão para windows, aliás ele foi feito originalmente para esta plataforma, como muitos outros.

Veja as plataformas que ele atende:

F-PROT Antivirus for Windows
F-PROT Antivirus for Linux
F-PROT Antivirus for BSD
F-PROT Antivirus for DOS



Agora quanto a sua eficiência e atualizações não sei informar se são constantes. De qualquer forma fica aí para quem quiser usar.

Me parece que o clamav é melhor, mas quando testei aqui não atualizou, talvez por ser uma versão antiga que se encontra nos repositórios do Ubuntu, e me pareceu que deixou o pc mais lento.

Eunir Augusto

Citação de: alarcon online 25 de Julho de 2007, 16:43

Me parece que o clamav é melhor, mas quando testei aqui não atualizou, talvez por ser uma versão antiga que se encontra nos repositórios do Ubuntu, e me pareceu que deixou o pc mais lento.


Pois é, eu tive esse mesmo parecer seu, tanto com o clamav dos repositorios qto com o Klamav, q tbm está nos repositórios... portanto, pra quem tiver acompanhando este topico... nao perca tempo com os clamavs do repositorio, pois li em outros topicos q está desatualizado. vlw, alarcon.

[ ]s
Comunidade PCLinuxOS Brasil - Assinatura modificada a pedido do grande amigo Ricardo (rjbgbo)