ClamAV : Операционные системы и программное обеспечение

Думаю, многие из вас знают о существовании этого антивируса.
У меня он фильтрует веб-траффик от squid, но не об этом сейчас речь.
Речь даже не о том, насколько он ловуч и прочее. Споткнулся я совершенно неожиданно о его возможность самостоятельного пополнения вирусной базы (чувствуете профит?). Теперь не надо плакать, что кто-то что-то там не ловит пока еще. Находите одного зверька, добавляете в базу и все, все компы офиса от него защищены. Помимо официальной базы, которую пополняют другие, вы можете пополнять свою собственную базу злобствующими в вашем регионе зверьками или нежелательным софтом.
Антивирус многоплатформенный, если что.
Итак. Основная дока находится тут
Поясню на примере.
Есть у нас файлик trojan.exe и базы ClamAV лежат в /var/lib/clamav
Работает с базами утилита sigtool, входящая в состав ClamAV.
ВСЕ!
Например, я добавил зверька по блокированию с смс-вымогательством.
Содержимое файла:
тут, конечно существенное "но". Этот способ годится для тупых троянов, неспособных изменять собственную контрольную сумму. Для нежелательных приложений он тоже вполне пригоден.
Для вылавливания заразы по какой-то части придется повозиться. А именно, почитать доку и посмотреть примеры, распаковав основную базу.
В итоге в main.ndb можно увидеть, например, такое:
Где первая часть - название вируса, вторая тип файлов, в которых он встречается (в доке есть расшифровка), третья - часть exe, например, где искать сигнатуру и последняя - сама сигнатура в hex.
Для получения сигнатуры можно слить в файл дамп файла-вируса. Например, так:
Для работы с hex неплохо бы еще пользоваться утилитой xxd в Линуксе, проще будет при, например, кодировании известной сигнатуры вируса (многие авторы вирусов оставляют в нем подписи обычным текстом).
Соответственно, в сигнатуре должно быть что-то вроде:
(последнюю сигнатуру не проверял)