Freier Virenscanner ClamAV in Version 0.96 verfügbar
Die neue Version bringt mehrere Verbesserungen mit und schließt Sicherheitslücken. Erstmals soll sich ClamAV nun auch nativ in Visual Studio unter Windows übersetzen lassen,
- Daniel Bachfeld
Die Entwickler des freien Virenscanners ClamAV haben Version 0.96 freigegeben, die mehrere Verbesserungen mitbringt und Sicherheitslücken schließt. So soll ClamAV nun durch eine leistungsfähigere Heuristik Windows-Malware erkennen können, die sich mittels falscher Icons und gefälschter PE-Header als harmlose Datei auszugeben versucht. Der Scanner kann nun auch in 7zip-, InstallShield-, CPIO-Archive und in mit UPX-3.0 gepackte Dateien hineinschauen. Außerdem unterstützt er die Analyse von 64-Bit-ELF-Dateien und Mac-OS-X-Universal-Binaries mit MAch-o. Zudem wurde allgemein die Geschwindigkeit erhöht und der Ressourcenverbrauch verringert.
Weniger wichtig für Endanwender, aber ziemlich praktisch für Entwickler ist die Möglichkeit, ClamAV nun nativ in Visual Studio unter Windows übersetzen zu können. Die Bibliothek LibClamAV lässt sich auf diese Weise in eigene Anwendungen unter Windows integrieren. Darüber hinaus soll ein zur Bibliothek gehörender Bytecoder Interpreter das Erstellen und Verteilen sehr komplexer Erkennungsfunktionen erleichtern.
Durch die nun geschlossenen Sicherheitslücken war es möglich, mit präparierten CAB-Archiven Schädlinge am Scanner vorbeizuschmuggeln sowie mit speziell komprimierten Dateien (Quantum Kompression) einen Speicherfehler zu verursachen, der zum Absturz des Scanners führt. Nach Einschätzung von Secunia lässt sich die Schwachstelle auch zum EInschleusen und Ausführen von Code auf einem verwundbaren System ausführen.
Anwender sollten das Update auf 0.96 so schnell wie möglich installieren. Ende nächster Woche steht zudem die Ende des letzten Jahres angekündigte Abschaltung veralteter ClamAV-Versionen (vor 0.95) an. Dazu wollen die Entwickler von ClamAV eine spezielle Signatur verteilen, die ältere Scanner lahmlegt. Der Grund für die einschneidende Maßnahme ist ein Fehler im Update-Dienst Freshclam, der in Versionen vor 0.95 über inkrementelle Updates mit mehr als 980 Bytes strauchelt. Dies verhindere die Verteilung komplexer Signaturen und führe aufgrund der vollständigen Updates zu einer Überlastung der Server. Ab Mai wolle man dann erstmals größere Signaturen verteilen.
Siehe dazu auch:
- Entwickler planen Zwangsabschaltung des freien Virenscanners ClamAV
- Freier Virenscanner ClamAV mit neuen Funktionen
- ClamAV im heise Software-Verzeichnis
(dab)
