ClamWin

SaneSec Signaturen: Erkennungsrate von ClamWin verbessern

clamwin3In einem früheren Beitrag habe ich bereits beschrieben, wie man den ClamWin Virenschutz optimal konfiguriert. ClamWin bietet sich besonders gut als zweiter Virenscanner an, da es pragmatisch leicht, gut zu konfigurieren, effektiv und Open Source ist (mal abgesehen davon, dass von Hause aus kein Echtzeitschutz enthalten ist).

Vor einiger Zeit habe ich eine tolle Möglichkeit gefunden, die Erkennungsraten noch einmal erheblich zu verbessern: sanesecurity.com bietet zusätzliche Signaturdatenbanken kostenlos für ClamAV zum Download an. Laut Hersteller kann die Erkennungsrate dadurch um bis zu 90% gesteigert und eine Genauigkeit von 97.11% erreicht werden.

Download und Installation

Ich setze voraus, dass ClamWin auf Windows installiert ist. Unter

http://sanesecurity.com/usage/windows-scripts/

findet ihr ein fertiges Kommandozeilen-Skript zum automatischen Download der neuen Signaturen. Außerdem benötigt ihr das Tool RSYNC, damit das Script funktioniert. Dieses kann hier heruntergeladen werden. Verschiebt den entpackten Skript-Ordner an einen beliebigen Ort (zum Beispiel Homeordner, oder ClamWin Programmverzeichnis), aus RSYNC benötigt ihr die Dateien aus dem /bin Ordner, welche ihr in den Ordner /winrsync des Update-Scripts kopiert.

Update-Script einrichten

Möglicherweise stimmen die voreingestellten ClamWin Verzeichnisse nicht mit den euren überein, weshalb eine Fehlermeldung beim Ausführen des Scripts ausgegeben wird. Startet also den Editor (notepad) mit Admin-Rechten und öffnet die sigupdate.bat. Dort sucht ihr die Zeilen

set logloc=C:\ProgramData\.clamwin\log

und außerdem

set db=C:\ProgramData\.clamwin\db

Prüft, ob die Verzeichnissangaben korrekt sind. Standardmäßig ist der .clamwin Ordner unter %ALLUSERSPROFILE% zu finden (In Ausführen eingeben!). Jetzt noch speichern, fertig.

Wenn ihr jetzt sigupdate.bat ausführt, sollte der Download starten.

sanesec1

Je nach Windows-Version und Benutzerrechte scheint das Skript Probleme mit den Zugriffsrechten zu haben. Falls ein solcher Fehler ausgegeben wird (permission denied), startet das Skript als Admin. Wenn das nicht funktioniert, öffnet die Kommandozeile (cmd) als Administrator, wechselt (cd) zum Skriptverzeichnis und führt dort manuell die sigupdate.bat aus. Das Ergebnis könnt ihr in der Logdatei unter C:\ProgramData\.clamwin\log\sigupdate.txt prüfen.

Signaturen auswählen

Die Malware-Datenbank von SaneSecurity kann beliebig modular ergänzt werden. Welche Signaturen zusätzlich heruntergeladen werden, steht in der Datei signames.txt. Dies ist für’s erste ausreichend. Auf dieser Seite findet ihr eine komplette Liste der weiteren möglichen Signaturen, inklusive Beschreibung. Dazu muss lediglich der Name in die signames.txt übernommen und ein erneuter Download ausgeführt werden.

sanesec2Ich habe die drei gelb markierten Einträge nachträglich hinzugefügt, um die Erkennungsrate mit einigen Malware-Hashes noch weiter zu verfeinern. Manche bzw. zu viele Signaturdatenbanken erhöhen allerdings auch das Risiko von Falschmeldungen und verlängern die Ladezeit von ClamScan.

 

Automatische Updates

SaneSecurity veröffentlicht stündlich aktualisierte Signaturen. Wenn ihr ClamAV als Virenschutz benutzt (zum Beispiel mit ClamSentinel), solltet ihr eure Datenbank aktuell halten. Hierzu nutze ich die windowseigene Aufgabenplanung (Systemsteuerung/Verwaltung). Wenn geöffnet, dann wählt mit Rechtsklick „Neue Aufgabe erstellen“. Dann konfiguriert das gewünschte Aktualisierungsintervall und die Ausführungsbedingungen nach euren Wünschen. Bei Aktionen gebt nun wegen den oben erwähnten Rechte-Problemen nicht den direkten Pfad zum Update-Skript ein, sondern lasst es über cmd laufen:

C:\Windows\System32\cmd.exe /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat

beziehungsweise

Programm/Skript: C:\Windows\System32\cmd.exe

Argumente: /k cd „C:\Program Files (x86)\ClamWin\sigupdate\“ & sigupdate.bat

Den Ordnerpfad entsprechend anpassen. Der Parameter /k bewirkt, dass das Kommandozeilen-Fenster offen bleibt, so dass ihr das Ergebnis kontrollieren könnt (kann später wieder entfernt werden). Wichtig ist jetzt noch dass ihr im Reiter „Allgemein“, den Haken vor „Mit höchsten Privilegien ausführen“ setzt, damit das Skript als Administrator ausgeführt wird. Ihr könnt nun die Aktionen testen, in dem ihr im rechten Fensterbereich der Aufgabenplanung die Aufgabe manuell startet, oder startet den Computer neu. Fertig!

Neun kostenlose Virenscanner im Funktions-Vergleich

Ein Virenschutz muss sein. Kostenlos, na klar! Aber welcher? Ich habe in den letzten Tage neun verschiedene, mehr oder weniger bekannte kostenlose Virenschutzprogramme getestet. Da man als Nutzer inzwischen (glücklicherweise) eine große Auswahl hat, dachte ich mir, dass eine kleine Übersicht über die einzelnen Programmfunktionen und ein Vergleich zwischen den verschiedenen Anbietern bei der Entscheidung helfen kann. Denn jeder hat letztendlich eine eigene Vorstellung davon, was das Programm bieten soll und nicht jeder möchte ein Programm nach dem anderen testen, bis er fündig wird.

Folgende Programme habe ich getestet (mit Link zur Website): Microsoft Security Essentials / Windows Defender (ab Windows 8), Ad-Aware Free Antivirus+, Panda Free Antivirus (ehem. Cloud Antivirus), Avast Free Antivirus, Bitdefender Free Antivirus, Avira Free Antivirus, AVG Antivirus Free 2015, Comodo Free Antivirus, ClamWin (+Sentinel Plugin)

Folgende Eigenschaften habe ich dabei berücksichtigt:

  • Malware Schutz vor Viren, Trojanern und anderer gängiger Malware
  • Spyware Schutz vor Spyware, Adware, Tracking-Software oder andere PUP
  • Browser Webschutz; Schutz beim Browsen und Downloaden
  • Email Schutz vor bösartigen Emails; Spamfilter
  • Heuristik Verhaltenserkennung, Heuristik oder andere erweiterte Erkennungsmechanismen
  • Benutzerdefinierte Scans Eigene Scans erstellbar (einzelne Dateien, Ordner oder Partitionen durchsuchen)
  • Aktualisierungen Virensignatur-Updateintervall <6h oder Streamupdates, Cloud
  • erweiterte Konfiguration Das Programm lässt sich in seinen einzelnen Komponenten ausreichend für die individuellen Bedürftnisse anpassen
  • Profile Verhaltensprofile, z. B. „Spielemodus“, in denen sich das Programm in den Hintergrund schaltet
  • Deutsch Vollständige Deutsche Lokalisierung vorhanden
  • Werbefrei Programm verzichtet auf großflächige oder aufdringliche Werbung, ständige Kauferinnerung

av_vergleich

Wie schaut’s aus? Den vollständigen Test seht ihr hier (PDF): neun_kostenlose_av_vergleich.pdf

Bitte beachtet: Die Tabelle sagt nichts über die Erkennungsrate und den tatsächlichen Schutz des Programmes aus, sondern soll lediglich ein Funktionsvergleich darstellen. Auch unterliegen die Programme einer ständigen Entwicklung, weshalb sich natürlich ständig etwas ändern kann (Stand: Januar 2015). Für die Korrektheit der Angaben gebe ich keine Garantie. Im Zweifelsfall: Selber informieren!

Folgendes habe ich beim Testen festgestellt (Achtung, jetzt wirds subjektiv!): Am besten aufgestellt ist man mit Avast Free Antivirus, dem bekannten und bewährten Virenscanner. Wer es minimalistisch mag und ein Programm mit geringem Ressourcenverbrauch bevorzugt, wird mit dem weitestgehend selbstständig arbeitenden Bitdefender Free AV glücklich. Wer eine mächtige Software-Suite, die sich bis ins Detail konfigurieren lässt, sucht, sollte sich Comodo Free AV anschauen.

Soviel dazu. Ich hoffe, dass ich euch mit Vergleich weiterhelfen konnte und freue mich auf Feedback!

Interessanter Beitrag? Email-Adresse eintragen und nichts verpassen! ->

ClamWin: Open-Source-Virenschutz einrichten

Nicht jeder Virenschutz muss gleich Geld kosten – und neben den großen Namen im Markt gibt es auch weniger bekannte Programme zum Schutz vor Malware: ClamWin ist ein bewährter, kostenloser Open-Source-Virenscanner für Microsoft Windows 8/7/Vista/XP/Me/2000/98, der auf dem ClamAV-Projekt beruht. In der Grundversion bietet der Virenschutz:

  • zeitgeplante Scans
  • automatische Defintionsupdates
  • Explorer- und Tray-Integration
  • Outlook- und Firefox-Plugin sowie POP3-Überprüfung
  • Quarantänefunktion

…und auch die Erkennungsraten können sich sehen lassen.

Download und Installation

ClamWin steht unter der GNU GPL kostenlos zur Verfügung und kann direkt von den Entwicklern bezogen werden: http://www.clamwin.com/content/view/18/46/

Das Setup ist ca. 100 Mb groß, zur Installation muss nur dem Installer gefolgt werden, Angst vor Toolbars muss man nicht haben. Anschließend wird die Virendatenbank aktualisiert, was einige Sekunden in Anspruch nimmt, anschließend ist das Programm verfügbar.clamwin3

Die Programmoberfläche präsentiert sich aufgeräumt und minimalistisch. Neben der Menüleiste mit den Einstellungsmöglichkeiten, Logs und der Hilfe bietet das GUI lediglich eine Funktion zum Update und Scan der Festplatte (oder einzelne Ordner und Dateien) und des Arbeitsspeichers (was braucht man mehr?).

Einstellungen optimieren

In den Einstellungen kann man noch nachhaken:

General: Per Default melden ClamWin nur einen Fund, tut dann aber erst einmal nichts. Ich empfehle, Dateien gleich in den Quarantäneordner verschieben zu lassen.

Internet Updates: Hier überprüfen, ob täglich oder gar stündlich die Virensignaturen aktualisiert werden sollen, je nach Gebrauch reicht es auch beim Systemstart.

Scheduled Scans: Geplante Scans müssen nicht automatisch aktiv sein, können aber als praktische Vorgabe-Scans („Quick-Scan“) genutzt werden. Häufige Pfade, die ihr setzten könnt, sind

  • euren Downloadordner, normalerweise C:\Users\BENUTZER\Downloads
  • Temporäre Dateien C:\Users\BENUTZER\AppData\Local\Temp oder einfach %temp%
  • Das Firefox-Profil und den FF-Internetcache: C:\Users\BENUTZER\AppData\Local\Mozilla\Firefox\Profiles\
  • …und des Internet Explorers C:\Users\BENUTZER\AppData\Local\Microsoft\Windows\Temporary Internet Files
  • das Windows-Verzeichnis C:\Windows

Nachtrag vom 20.06.2015: Inzwischen habe ich in der offiziellen Dokumentation von ClamWin einen Artikel gefunden, der beschreibt, wie man am besten einen „Quickscan“ definiert, d.h. welche Dateien in den Suchvorgang eingeschlossen werden. So kann man die Scanzeit um das bis zu 20-fache verkürzen.

Im Tray erscheint außerdem ein schickes ClamWin-Symbol, mit dem die wichtigsten Funktionen bedient werden und direkt geplante Scans ausgeführt werden können, was sich regelmäßig empfiehlt!

clamwin

Achtung: Kein Echtzeitschutz im Grundpaket

ClamWin hat bisher keinen Echtzeitschutz integriert und bietet sich daher nicht als vollwertiger Ersatz zu anderen Virenscannern an. Abhilfe schafft jedoch das kostenlose Plugin ClamSentinel, welches einen Echtzeitschutz hinzufügt. Nach der Installation bindet sich ClamSentinel nahtlos in den Betrieb ein, lediglich die zu überwachende Festplatte muss gewählt werden. Ein weiteres Symbol ist nun im Tray sichtbar. Fairerweise muss man sagen, dass es noch weitere Echtzeitscan-Plugins für ClamWin gibt, dies ist jedoch das bekannteste – und funktioniert.

Schutz prüfen

Habt ihr die Viren-Definitionen aktualisiert und ClamWin und ClamSentinel richtig konfiguriert, könnt ihr den Virenschutz mit dem EICAR Test Virus auf die Probe stellen (auf eigene Verantwortung!): http://www.eicar.org/86-0-Intended-use.html Das Programm sollte nun sofort beim Download oder spätestens beim Anklicken Meldung erstatten und ihr wisst, das alles funktioniert.

Fazit

ClamWin mit Echtzeitergänzung ist ein gutes Schutzpaket vor Malware, wenn das Programm davor richtig konfiguriert wird. Da es nur über rudimentäre Handlungsmechanismen (Quarantäne oder Löschen) verfügt, ist das Programm deshalb vielleicht auch nur für erfahrenere Nutzer zu empfehlen. Auf jedenfall bietet ClamWin auch ohne Echtzeitschutz eine gute, ressourcenschonende Ergänzung zum Virenscanner eurer Wahl. 🙂