はじめに
セキュリティの意識が低いと耳の痛い言葉を見かけることが多くなったので、自分の出来る範囲でセキュリティ対策を頑張ろうと思いました。
前回は、マルウェア検知ツールを導入しましたので今回はウィルス検知ツールです。
インストール
https://qiita.com/harasakih/items/deea8b5391be4343002d
上記のサイトをそのまま参考にしてます。ファイル名やパスが若干間違ってたりしますが、まぁ誰も困りはしないレベルだと思います。
ウィルススキャン
前回のマルウェア検知ツールの動作確認では、対象ファイルがマルウェアではなくウィルスだったのか検知できませんでした。今回こそSophos先輩がバシッと決めてくれるでしょう。早速スキャンします。
# savscan -f -ndi -nremove /tmp
.
.
フルモード検索
ファイル 2 個を 6秒で検索しました。
ウイルスは発見されませんでした。
検索が終了しました。
検知できてない!!!
そもそもtmpフォルダ配下のファイルは2個じゃない!!!
https://www.sophos.com/ja-jp/medialibrary/PDFs/documentation/savl_9_cgeng.pdf
マニュアル参照中…。
-allのオプションを付ければ全部見てくれるそうです。
今度こそ、ウィルス見つけてくれよ?
# savscan -f -ndi -nremove /tmp -all
.
.
フルモード検索
ファイル 8 個を 11秒で検索しました。
ウイルスは発見されませんでした。
検索が終了しました。
…まぁ、こういうのは気持ちが大事!
ウィルス検知対策ソフトが動いているというその事実だけで今は十分。
検体ファイルについては、前回のマルウェアテストの際にWindows側で消されたりしたので…
ん、待てよ?Windows側で作ったのがまずかったのかも。
https://support.kaspersky.co.jp/459
上記サイトを参考に、今度はLinux側で再作成。
savscan -f -ndi -nremove /tmp -all
.
.
フルモード検索
>>> ウイルス‘EICAR-AV-Test’がファイル /tmp/virus-test.bat に発見されました
ファイル 8 個を 7秒で検索しました。
1 個のウイルスが発見されました。
1 個のファイル(8 個中)が感染しています。
検出に関する詳細は、ソフォス Web サイトの次のリンクを参照してください。
脅威解析センター: http://www.sophos.com/ja-jp/threat-center.aspx
検索が終了しました。
や↑ったぜ(琴ノ葉茜ボイス)
/opt/sophos-av/bin/savlog --today --utc
2019-08-13 13:03:18: log.threat 脅威が /tmp/virus-test.bat で検出されました: EICAR-AV-Test (閉じる)。(ファイルはまだ感染しています。)
2019-08-13 13:03:24: savscan.log オンデマンド検索が開始しました。
2019-08-13 13:03:31: savscan.log オンデマンド検索の詳細: 検索マスターブートレコード数: 0、検索ブートレコード数: 0、検索ファイル数: 8、エラー数: 0、検出脅威数: 1、検出した感染ファイル数: 1
2019-08-13 13:03:31: log.threat オンデマンド検索中、脅威が /tmp/virus-test.bat: EICAR-AV-Test で検出されました。(ファイルはまだ感染しています。)
2019-08-13 13:03:31: savscan.log オンデマンド検索が終了しました。
2019-08-13 13:03:35: log.threat 脅威が /tmp/virus-test.bat で検出されました: EICAR-AV-Test (開く)。(ファイルはまだ感染しています。)
手動スキャンだけじゃなくてライブスキャン時にもしっかり確認できているように見受けられます。
最後に今度は発見時の通知の仕組み作りですが、もう後は画像貼り付け掲示板を巡回して画像を収集したいのでここまでにします。