Quelq'un aurait-il des stats sur les détections et temps de réponse aux
nouvelles menaces concernant clamwin ?
Si vous avez des retours d'expériences, des informations comparatives
entre cet outil et d'autres du marché, je veux en fait voir sa pertinence.
C'est un projet amateur. Pour faire du filtrage de mail (l'utilisation que je vise) c'est
quand meme pas mal, non?
Depuis plusieurs mois, j'utilise en entreprise un firewall - passerelle de filtrage sous une version dédiée de Linux équipée de ClamAv .( Linux )
Aucun virus connu n'est passé à travers cette passerelle depuis sa mise en place : ces mails sont t ensuite traités par un second serveur équipé d'un antispam antivirus équipé de plusieurs moteurs de scan commerciaux dont KAV, Norman, et McAfee : les logs restent muet, aucun virus détecté à ce niveau
Les pièces jointes avec extensions dangereuses sont scannées puis, celles déclarées saines sont mises en quarantaine, charge à l'Admin de les valider ou non
Base de test : Plus de 18.000 mails actuellement, 15% infectés environ.
Oui, mais en priorité filtrez les extensions dangereuses.
Evidemment, le fait de bloquer les extensions est primordial. A la limite, ne faites que cela !
Le Wed, 09 Feb 2005 20:39:28 +0100, Roland Garcia
On 2005-02-09, Nicob <nicob@I.hate.spammers.com> wrote:
C'est un projet amateur.
Pour faire du filtrage de mail (l'utilisation que je vise) c'est
quand meme pas mal, non?
Depuis plusieurs mois, j'utilise en entreprise un firewall -
passerelle de filtrage sous une version dédiée de Linux équipée de
ClamAv .( Linux )
Aucun virus connu n'est passé à travers cette passerelle depuis sa
mise en place : ces mails sont t ensuite traités par un second serveur
équipé d'un antispam antivirus équipé de plusieurs moteurs de scan
commerciaux dont KAV, Norman, et McAfee : les logs restent muet, aucun
virus détecté à ce niveau
Les pièces jointes avec extensions dangereuses sont scannées puis,
celles déclarées saines sont mises en quarantaine, charge à l'Admin de
les valider ou non
Base de test : Plus de 18.000 mails actuellement, 15% infectés
environ.
Oui, mais en priorité filtrez les extensions dangereuses.
Evidemment, le fait de bloquer les extensions est primordial. A la
limite, ne faites que cela !
C'est un projet amateur. Pour faire du filtrage de mail (l'utilisation que je vise) c'est
quand meme pas mal, non?
Depuis plusieurs mois, j'utilise en entreprise un firewall - passerelle de filtrage sous une version dédiée de Linux équipée de ClamAv .( Linux )
Aucun virus connu n'est passé à travers cette passerelle depuis sa mise en place : ces mails sont t ensuite traités par un second serveur équipé d'un antispam antivirus équipé de plusieurs moteurs de scan commerciaux dont KAV, Norman, et McAfee : les logs restent muet, aucun virus détecté à ce niveau
Les pièces jointes avec extensions dangereuses sont scannées puis, celles déclarées saines sont mises en quarantaine, charge à l'Admin de les valider ou non
Base de test : Plus de 18.000 mails actuellement, 15% infectés environ.
Oui, mais en priorité filtrez les extensions dangereuses.
Evidemment, le fait de bloquer les extensions est primordial. A la limite, ne faites que cela !
Nicob
On Wed, 09 Feb 2005 17:36:55 +0100, Frederic Bonroy wrote:
Tant qu'en pratique Clamav arrête tous les virus, je ne vois pas de problème, effectivement. L'ennui que ça peut s'avérer très inefficace du jour au lendemain.
Ben voilà, t'as tout résumé ...
Seul en prod, j'aurai pas confiance. Mais ça reste un très bon "ceinture et bretelles", si couplé à un classique AV commercial.
Nicob
On Wed, 09 Feb 2005 17:36:55 +0100, Frederic Bonroy wrote:
Tant qu'en pratique Clamav arrête tous les virus, je ne vois pas de
problème, effectivement. L'ennui que ça peut s'avérer très inefficace du
jour au lendemain.
Ben voilà, t'as tout résumé ...
Seul en prod, j'aurai pas confiance. Mais ça reste un très bon "ceinture
et bretelles", si couplé à un classique AV commercial.
On Wed, 09 Feb 2005 17:36:55 +0100, Frederic Bonroy wrote:
Tant qu'en pratique Clamav arrête tous les virus, je ne vois pas de problème, effectivement. L'ennui que ça peut s'avérer très inefficace du jour au lendemain.
Ben voilà, t'as tout résumé ...
Seul en prod, j'aurai pas confiance. Mais ça reste un très bon "ceinture et bretelles", si couplé à un classique AV commercial.
Nicob
Kevin Denis
On 2005-02-09, Nicob wrote:
[clamav]
Seul en prod, j'aurai pas confiance. Mais ça reste un très bon "ceinture et bretelles", si couplé à un classique AV commercial.
Pour le moment, ca n'est qu'en test, j'ai derriere le clamav un mac et
un linux pour des boites mails poubelles (donc le risque virus est quand meme tres faible deja a la base). Au pifometre, ca me les bloque tous mais le vrai probleme reste le spam. ratio: 10% virus 89.9% spam 0.1% mail (a la louche, hein) -- Kevin
On 2005-02-09, Nicob <nicob@I.hate.spammers.com> wrote:
[clamav]
Seul en prod, j'aurai pas confiance. Mais ça reste un très bon "ceinture
et bretelles", si couplé à un classique AV commercial.
Pour le moment, ca n'est qu'en test, j'ai derriere le clamav un mac et
un linux pour des boites mails poubelles (donc le risque virus est quand
meme tres faible deja a la base). Au pifometre, ca me les bloque
tous mais le vrai probleme reste le spam.
ratio: 10% virus 89.9% spam 0.1% mail (a la louche, hein)
--
Kevin
Seul en prod, j'aurai pas confiance. Mais ça reste un très bon "ceinture et bretelles", si couplé à un classique AV commercial.
Pour le moment, ca n'est qu'en test, j'ai derriere le clamav un mac et
un linux pour des boites mails poubelles (donc le risque virus est quand meme tres faible deja a la base). Au pifometre, ca me les bloque tous mais le vrai probleme reste le spam. ratio: 10% virus 89.9% spam 0.1% mail (a la louche, hein) -- Kevin
Kevin Denis
On 2005-02-09, Frederic Bonroy wrote:
<snip tout, tres clair>
Pour conclure, le polymorphisme et le métamorphisme ne sont pas faciles à mettre en oeuvre et donc la plupart des auteurs de virus ne les emploient pas, mais quand ça arrive (c'est déjà arrivé et arrivera de nouveau), ce n'est pas avec un bout de signature que vous les combatterez efficacement.
merci -- Kevin
On 2005-02-09, Frederic Bonroy <bidonavirus@yahoo.fr> wrote:
<snip tout, tres clair>
Pour conclure, le polymorphisme et le métamorphisme ne sont pas faciles
à mettre en oeuvre et donc la plupart des auteurs de virus ne les
emploient pas, mais quand ça arrive (c'est déjà arrivé et arrivera de
nouveau), ce n'est pas avec un bout de signature que vous les
combatterez efficacement.
Pour conclure, le polymorphisme et le métamorphisme ne sont pas faciles à mettre en oeuvre et donc la plupart des auteurs de virus ne les emploient pas, mais quand ça arrive (c'est déjà arrivé et arrivera de nouveau), ce n'est pas avec un bout de signature que vous les combatterez efficacement.
merci -- Kevin
Nicolas Brulez
Bonjour,
Kevin Denis wrote:
Question concrete: quels virus _au 09 fevrier 2005 17h38_ utilisent un chiffrage a variante?
Pas plus tard qu'il y a deux jours, j'ai bossé sur un virus Infecteur PE Polymorphique. :-)
-- Nicolas Brulez
Head of Software Security - Senior Software Security Engineer
The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Bonjour,
Kevin Denis wrote:
Question concrete: quels virus _au 09 fevrier 2005 17h38_ utilisent un
chiffrage a variante?
Pas plus tard qu'il y a deux jours, j'ai bossé sur un virus Infecteur PE
Polymorphique. :-)
--
Nicolas Brulez
Head of Software Security - Senior Software Security Engineer
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Question concrete: quels virus _au 09 fevrier 2005 17h38_ utilisent un chiffrage a variante?
Pas plus tard qu'il y a deux jours, j'ai bossé sur un virus Infecteur PE Polymorphique. :-)
-- Nicolas Brulez
Head of Software Security - Senior Software Security Engineer
The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Frederic Bonroy
Confiez le à Andreas Marx, je parie qu'en taux de détection il arrivera en bon dernier.
En attendant, regardons du côté de Hambourg, juillet 2004: http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
Plus particulièrement: ftp://agn-www.informatik.uni-hamburg.de/pub/texts/tests/pc-av/2004-07/6llin.txt
Sur 23209 virus zoo, Clam en détectait 34,8%. Seul un antivirus faisait pire, Open Antivirus.
Virus de fichiers ITW: 45,8% pour Clam, 35,5% pour OAV, tandis qu'aucun autre antivirus ne descend en-dessous de 99,1%.
Virus macro zoo: 0,5% pour Clam, 0,1% pour OAV. Virus macro ITW: 4,1% pour CLAM, 0,0% pour OAV.
Selon un message posté sur alt.comp.antivirus, cette version de Clam ne contenait pas encore de moteur de détection pour les virus macro. On peut alors se demander comment il a fait pour détecter ceux qu'il a détectés, même si leur nombre est très faible.
Pour résumer, Clam a certainement évolué depuis, mais si les concepts de base n'ont pas changé alors il est à craindre qu'un test fait avec une version plus récente donne à peu près le même résultat. En tout car, la version de Clam testée à l'époque était visiblement sans intérêt et il me paraît donc dangereux de confier sa sécurité à ce produit.
Confiez le à Andreas Marx, je parie qu'en taux de détection il arrivera
en bon dernier.
En attendant, regardons du côté de Hambourg, juillet 2004:
http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
Plus particulièrement:
ftp://agn-www.informatik.uni-hamburg.de/pub/texts/tests/pc-av/2004-07/6llin.txt
Sur 23209 virus zoo, Clam en détectait 34,8%. Seul un antivirus faisait
pire, Open Antivirus.
Virus de fichiers ITW: 45,8% pour Clam, 35,5% pour OAV, tandis qu'aucun
autre antivirus ne descend en-dessous de 99,1%.
Virus macro zoo: 0,5% pour Clam, 0,1% pour OAV.
Virus macro ITW: 4,1% pour CLAM, 0,0% pour OAV.
Selon un message posté sur alt.comp.antivirus, cette version de Clam ne
contenait pas encore de moteur de détection pour les virus macro. On
peut alors se demander comment il a fait pour détecter ceux qu'il a
détectés, même si leur nombre est très faible.
Pour résumer, Clam a certainement évolué depuis, mais si les concepts de
base n'ont pas changé alors il est à craindre qu'un test fait avec une
version plus récente donne à peu près le même résultat.
En tout car, la version de Clam testée à l'époque était visiblement sans
intérêt et il me paraît donc dangereux de confier sa sécurité à ce produit.
Confiez le à Andreas Marx, je parie qu'en taux de détection il arrivera en bon dernier.
En attendant, regardons du côté de Hambourg, juillet 2004: http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
Plus particulièrement: ftp://agn-www.informatik.uni-hamburg.de/pub/texts/tests/pc-av/2004-07/6llin.txt
Sur 23209 virus zoo, Clam en détectait 34,8%. Seul un antivirus faisait pire, Open Antivirus.
Virus de fichiers ITW: 45,8% pour Clam, 35,5% pour OAV, tandis qu'aucun autre antivirus ne descend en-dessous de 99,1%.
Virus macro zoo: 0,5% pour Clam, 0,1% pour OAV. Virus macro ITW: 4,1% pour CLAM, 0,0% pour OAV.
Selon un message posté sur alt.comp.antivirus, cette version de Clam ne contenait pas encore de moteur de détection pour les virus macro. On peut alors se demander comment il a fait pour détecter ceux qu'il a détectés, même si leur nombre est très faible.
Pour résumer, Clam a certainement évolué depuis, mais si les concepts de base n'ont pas changé alors il est à craindre qu'un test fait avec une version plus récente donne à peu près le même résultat. En tout car, la version de Clam testée à l'époque était visiblement sans intérêt et il me paraît donc dangereux de confier sa sécurité à ce produit.
Nicob
On Sun, 13 Feb 2005 13:51:03 +0100, Frederic Bonroy wrote:
[...] il est à craindre qu'un test fait avec une version plus récente donne à peu près le même résultat
Sur du trafic "tout venant", Clam a quand même de bons résultats (pas de chiffres, j'ai la flemme de scripter les calculs).
En tout car, la version de Clam testée à l'époque était visiblement sans intérêt et il me paraît donc dangereux de confier sa sécurité à ce produit.
En mode "ceinture et bretelles", je le trouve acceptable, au vu du prix.
Nicob
On Sun, 13 Feb 2005 13:51:03 +0100, Frederic Bonroy wrote:
[...] il est à craindre qu'un test fait avec une version plus récente
donne à peu près le même résultat
Sur du trafic "tout venant", Clam a quand même de bons résultats (pas de
chiffres, j'ai la flemme de scripter les calculs).
En tout car, la version de Clam testée à l'époque était visiblement
sans intérêt et il me paraît donc dangereux de confier sa sécurité
à ce produit.
En mode "ceinture et bretelles", je le trouve acceptable, au vu du prix.
