Re: F-Prot (6?) in Debian?

To: debian-user-german@lists.debian.org
Subject: Re: F-Prot (6?) in Debian?
From: Manfred Schmitt <expires-081231@slashproc.org>
Date: Mon, 8 Dec 2008 20:23:33 +0100
Message-id: <[🔎] 20081208202333.6fbb18ae@desktop.bassdart.dyndns.org>
In-reply-to: <[🔎] 493D4F38.3000902@gmx.net>
References: <[🔎] 493D49EF.1040501@gmx.net> <[🔎] E1L9j6E-00073X-6n@mids.svenhartge.de> <[🔎] 493D4F38.3000902@gmx.net>

Andre Bischof schrieb:
> 
> Clamav galt damals als langsame und weniger performante Alternative, und 
> f-prot läßt sich so schön parallel auch standalone einsetzen - gibt's da 
> Alternativen?
> 
Im daemon-mode ist clamav nicht lahm, spamassassin frisst hier kurz 
getestet real gut 100x mehr Zeit! (wird aber garnicht mehr aufgerufen
wenn clamav zuschlaegt):

time clamdscan malware.mail 
/pfad/zur/malware.mail: Email.Phishing.DblDom-116 FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.006 sec (0 m 0 s)

real    0m0.008s
user    0m0.004s
sys     0m0.000s

time spamc -c < malware.mail 
27.6/5.0

real    0m0.869s
user    0m0.004s
sys     0m0.000s

Afaik ist irgendwelche par mail verteilte Malware auch desoefteren 
mal schneller in der Signatur-DB von clamav drin als in so manch 
kommerziellem Scanner.
Zudem enthaelt clamav, wie man oben sieht, auch Phishing-Signaturen.
OK, sowas ist in "Desktop-Virenscanner-Suiten" heutzutage wohl teilweise 
auch mit drin, das hat aber mit Virenscan im eigentlichen Sinn ja nix 
zu tun. 
Wenn man auch Viri von anno dunnemals erkennen will oder muss sind
kommerzielle Virenscanner wohl immer noch sinnvoller, aber per mail 
kommt ja heutzutage, von gezielten Angriffen mal abgesehen, nur immer 
der gerade aktuelle Klick-Trojaner rein und den kriegt man mit clamav 
nach meiner Erfahrung recht gut wegsortiert.

Zum "echten" Viren scannen reicht mir im Prinzip http://virustotal.com, 
ich werde mir die neue f-prot-Version aber wohl trotzdem mal anschauen.
Argl, wenn ich auf f-prot.com nach Debian suche und dann sehe das die 
gefunden links zum deb tot sind vergeht mir aber schon wieder die Lust.
Und das eine md5sum u.a. gut dafuer geeignet ist eine neue Version bekannt 
zu machen ist wohl auch immer noch nicht bei denen angekommen -- mal ganz 
davon abgesehen das ein Debian-Repository (und entsprechendes zumindest
fuer die groessten Distributionen) auch keine Raketentechnik ist ;)
Zeitweise gab es ja sogar mal ein deb aber kein Repository.

Na gut, hab das tar.gz doch mal runter geladen, immerhin laesst sich das 
binary jetzt direkt starten.

Nicht im daemon-mode, von daher nicht vergleichbar:
./fpscan --report /pfad/zur/malware.mail 

F-PROT Antivirus version 6.2.1.4252 (built: 2008-04-28T16-44-10)
FRISK Software International (C) Copyright 1989-2007

Engine version: 4.4.4.56
Virus signatures: 200804271455d25e6f60ac5f581e45c3c415e28c2452
                  (/pfad/zur/antivir.def)

Scanning: /

Results:

Files: 1
Skipped files: 0
MBR/boot sectors checked: 0
Objects scanned: 4
Infected objects: 0
Files with errors: 0
Disinfected: 0

Running time: 00:21

real    0m22.521s
user    0m18.761s
sys     0m1.568s

Die antivir.def ist vom 28.4 und somit komplett veraltet, ich hab die 
mail aber kurz von http://virustotal.com scannen lassen:
Durch die Bank alle Scanner (ausser natuerlich clamav) sehen die Mail 
als "sauber" an -- aber Phishing ist eben wie gesagt keine Malware.

Und wech,
Manne

Reply to:

Follow-Ups:
- Re: F-Prot (6?) in Debian?
  - From: Andre Bischof <a.bischof@gmx.net>

References:
- F-Prot (6?) in Debian?
  - From: a.bischof@gmx.net
- Re: F-Prot (6?) in Debian?
  - From: Sven Hartge <sven@svenhartge.de>
- Re: F-Prot (6?) in Debian?
  - From: Andre Bischof <a.bischof@gmx.net>

Prev by Date: Re: Tipps/Frage zu Partitionierung EeePC 1000 erwünscht
Next by Date: Re: Trojaner und Co finden
Previous by thread: Re: F-Prot (6?) in Debian?
Next by thread: Re: F-Prot (6?) in Debian?
Index(es):
- Date
- Thread