Компания Cisco выпустила свободный антивирусный пакет ClamAV 0.99, в котором представлено несколько существенных новшеств. В частности, переработан код сканирования файлов на лету, добавлена поддержка правил блокировки YARA и совместимых с perl регулярных выражений.

Ключевые улучшения ClamAV 0.99:

  • Возможность использования коллекции правил YARA, предоставляющей сигнатуры для выявления различных категорий вредоносного ПО. Правила YARA сочетают строковые маски с логическими выражениями, описывающими условия применения масок. Для подключения правил, созданных сообществом YARA, достаточно скопировать их в штатную директорию с вирусными базами ClamAV. Из достоинств применения ClamAV вместе с YARA отмечается возможность задействования средств декомпозиции, т.е. автоматического сопоставления, независимо от применения сжатия данных и типа файлов (документы, архивы и т.п.);
  • Расширение возможностей по составлению логических сигнатур, которые теперь могут включать многие средства, присутствующие в сигнатурах YARA. Например, можно использовать регулярные выражения PCRE (Perl Compatible Regular Expressions), задавать альтернативные строковые маски и применять атрибуты YARA;
  • Новая реализация системы прозрачной проверки открываемых файлов (on-access scanning) для платформы Linux. Новая реализация основана на использовании механизма fanotify и позволяет организовать проверку не только в момент начала чтения данных из файла, но и при открытии файла. Из новшеств отмечается также возможность рекурсивного и динамического отслеживания директорий (автоматически добавляются новые директории) и поддержка блокирования доступа к файлу при обнаружении в нём вируса.
  • Добавлен API для организации callback-вызовов в случае обнаружения вирусов, позволяющий в приложениях, работающих в режиме all-match, подключать собственные обработчики для формирования отчёта или записи в лог;
  • Поддержка подключения базы типовых паролей, которые будут использованы для попытки раскрытия зашифрованных zip-файлов;
  • Поддержка файлов в формате TIFF;
  • Поддержка файлов Adobe Flash, сжатых с использованием LZMA;
  • Поддержка документов Microsoft Office 2003 XML с вложениями MSO;
  • Новый вид сигнатур для применения с файлами неизвестного типа;
  • Улучшен эвристический алгоритм предотвращения потери данных;
  • В утилиту sigtool добавлена опция "--ascii-normalize", позволяющая генерировать нормализованные версии ASCII-файлов;
  • Изменён путь установки на платформе Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".


Источник: http://www.opennet.ru/opennews/art.shtml?num=43432