In einem früheren Beitrag habe ich bereits beschrieben, wie man den ClamWin Virenschutz optimal konfiguriert. ClamWin bietet sich besonders gut als zweiter Virenscanner an, da es pragmatisch leicht, gut zu konfigurieren, effektiv und Open Source ist (mal abgesehen davon, dass von Hause aus kein Echtzeitschutz enthalten ist).
Vor einiger Zeit habe ich eine tolle Möglichkeit gefunden, die Erkennungsraten noch einmal erheblich zu verbessern: sanesecurity.com bietet zusätzliche Signaturdatenbanken kostenlos für ClamAV zum Download an. Laut Hersteller kann die Erkennungsrate dadurch um bis zu 90% gesteigert und eine Genauigkeit von 97.11% erreicht werden.
Download und Installation
Ich setze voraus, dass ClamWin auf Windows installiert ist. Unter
findet ihr ein fertiges Kommandozeilen-Skript zum automatischen Download der neuen Signaturen. Außerdem benötigt ihr das Tool RSYNC, damit das Script funktioniert. Dieses kann hier heruntergeladen werden. Verschiebt den entpackten Skript-Ordner an einen beliebigen Ort (zum Beispiel Homeordner, oder ClamWin Programmverzeichnis), aus RSYNC benötigt ihr die Dateien aus dem /bin Ordner, welche ihr in den Ordner /winrsync des Update-Scripts kopiert.
Update-Script einrichten
Möglicherweise stimmen die voreingestellten ClamWin Verzeichnisse nicht mit den euren überein, weshalb eine Fehlermeldung beim Ausführen des Scripts ausgegeben wird. Startet also den Editor (notepad) mit Admin-Rechten und öffnet die sigupdate.bat. Dort sucht ihr die Zeilen
set logloc=C:\ProgramData\.clamwin\log
und außerdem
set db=C:\ProgramData\.clamwin\db
Prüft, ob die Verzeichnissangaben korrekt sind. Standardmäßig ist der .clamwin Ordner unter %ALLUSERSPROFILE% zu finden (In Ausführen eingeben!). Jetzt noch speichern, fertig.
Wenn ihr jetzt sigupdate.bat ausführt, sollte der Download starten.
Je nach Windows-Version und Benutzerrechte scheint das Skript Probleme mit den Zugriffsrechten zu haben. Falls ein solcher Fehler ausgegeben wird (permission denied), startet das Skript als Admin. Wenn das nicht funktioniert, öffnet die Kommandozeile (cmd) als Administrator, wechselt (cd) zum Skriptverzeichnis und führt dort manuell die sigupdate.bat aus. Das Ergebnis könnt ihr in der Logdatei unter C:\ProgramData\.clamwin\log\sigupdate.txt prüfen.
Signaturen auswählen
Die Malware-Datenbank von SaneSecurity kann beliebig modular ergänzt werden. Welche Signaturen zusätzlich heruntergeladen werden, steht in der Datei signames.txt. Dies ist für’s erste ausreichend. Auf dieser Seite findet ihr eine komplette Liste der weiteren möglichen Signaturen, inklusive Beschreibung. Dazu muss lediglich der Name in die signames.txt übernommen und ein erneuter Download ausgeführt werden.
Ich habe die drei gelb markierten Einträge nachträglich hinzugefügt, um die Erkennungsrate mit einigen Malware-Hashes noch weiter zu verfeinern. Manche bzw. zu viele Signaturdatenbanken erhöhen allerdings auch das Risiko von Falschmeldungen und verlängern die Ladezeit von ClamScan.
Automatische Updates
SaneSecurity veröffentlicht stündlich aktualisierte Signaturen. Wenn ihr ClamAV als Virenschutz benutzt (zum Beispiel mit ClamSentinel), solltet ihr eure Datenbank aktuell halten. Hierzu nutze ich die windowseigene Aufgabenplanung (Systemsteuerung/Verwaltung). Wenn geöffnet, dann wählt mit Rechtsklick „Neue Aufgabe erstellen“. Dann konfiguriert das gewünschte Aktualisierungsintervall und die Ausführungsbedingungen nach euren Wünschen. Bei Aktionen gebt nun wegen den oben erwähnten Rechte-Problemen nicht den direkten Pfad zum Update-Skript ein, sondern lasst es über cmd laufen:
C:\Windows\System32\cmd.exe /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat
beziehungsweise
Programm/Skript: C:\Windows\System32\cmd.exe
Argumente: /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat
Den Ordnerpfad entsprechend anpassen. Der Parameter /k bewirkt, dass das Kommandozeilen-Fenster offen bleibt, so dass ihr das Ergebnis kontrollieren könnt (kann später wieder entfernt werden). Wichtig ist jetzt noch dass ihr im Reiter „Allgemein“, den Haken vor „Mit höchsten Privilegien ausführen“ setzt, damit das Skript als Administrator ausgeführt wird. Ihr könnt nun die Aktionen testen, in dem ihr im rechten Fensterbereich der Aufgabenplanung die Aufgabe manuell startet, oder startet den Computer neu. Fertig!
keepmydesktop 