¿De dónde obtiene ClamAV sus firmas de virus?

14

Veo que ClamAV tiene archivos de definición de virus, que en su mayoría son códigos hash en formatos md5, sha1 y sha256, que analizan el archivo completo o lo que se denomina secciones PE de un archivo ejecutable. Por supuesto, hay variaciones fuera de eso que buscan otras cosas. Sin embargo, los hashes constituyen la mayor parte de los megabytes en las definiciones de virus.

Entonces, ¿cómo ClamAV obtiene estos? ¿Existen fuentes gratuitas en la web de las que podamos obtenerlas para crear nuestro propio software antivirus? (Soy un desarrollador de C ++, verás).

EDITAR: Aclarar más: seguramente ClamAV no tiene un laboratorio en el que encuentren malware y catalogue estas firmas de virus hash, ¿verdad? ¿Seguramente usan alguna organización o empresa nacional o internacional que ya esté haciendo esto?

    
pregunta Volomike 11.12.2015 - 05:23
fuente

3 respuestas

13

ClamAV pertenece a Cisco y su grupo Talos. Cisco adquirió Sourcefire, los fabricantes de Snort y ClamAV a finales de 2013.

enlace

enlace
enlace

  

© 2004 - 2015 Cisco y / o sus afiliados. Todos los derechos reservados.

Sourcefire también pertenece a Cisco: enlace

Las firmas están en el servidor de ClamAV

enlace

  

¿Desde dónde puedo descargar manualmente los archivos de definición de virus?

     

Puede obtener las definiciones de virus sin clamwin a través de http: //

     

enlace
enlace

     

Luego copie main.cvd y daily.cvd descargados en su base de datos   ubicación que se especifica en las Preferencias de ClamWin, Ubicaciones de archivos   lengüeta.

     

La ubicación predeterminada de la base de datos es: "C: Documents and SettingsAll   Users.clamwindb "

Muchos de los grandes contribuyentes son proveedores de virus y compañías de seguridad: enlace

  

Colaboradores

     

Equipo ClamAV

     

Joel Esler
  Douglas Goddard
  Nigel Houghton
  Tom Judge
  Kevin Lin
  Steve Morgan
  Matt Olney
  Dave Raynor
  Samir Sapra
  Ryan Steinmetz
  Dave Suffling
  Matt Watchinkski
  Alain Zidouemba

     

ClamAV QA

     

Erin Germen
  Dragos Malene
  Vijay Mistry
  Matt Donnan

     

Grupo Talos

     

Andrea Allievi
  Jonathan arneson
  Ben Baker
  Nathan Benson
  Andrew Blunk
  Kevin Brooks
  Jaime Filson
  Paul frank
  Erick Galinkin
  Douglas Goddard
  Richard Harman, Jr.
  Nicholas herbert
  Shaun Hurley
  Richard Johnson
  Alex Kambis
  Brittany lawler
  Justin lindsey
  Chris Marczewski
  Christopher Marshall
  Nick Mavis
  Christopher McBee
  David McDaniel
  Alex McDonnell
  Kevin Miklavcic
  Patrick Mullen
  Marcin noga
  Katie Nolan
  Carlos pacho
  Ryan Pentney
  Nick Randolph
  Marcos Rodriguez
  Geoff Serrao
  Brandon stultz
  Nick Suan
  Emmanuel Tacheau
  Melissa taylor
  Angel villegas
  Andy walker
  Alicia Willett
  Yves Younan

     

Colaboradores

     

Aeriana, Andreas Cadhalpun, Mike Cathey, Michael Cichosz, Diego   D'Ambra, Arnaud Jacques, Tomasz Papszun, Bill Parker, Robert   Scroggins, Sven Strickroth, Trog, Steve Basford, Dennis de   Messemacker, Jason Englander, Thomas Lamy, Thomas Masden, Boguslaw   Brandys, Anthony Havé, Andreas Faust, Sebastian Andrzej Siewior

     

Emérito de ClamAV

     

Luca Gibelli, Török Edvin, Tomasz Kojm, Alberto Wu, Nigel Horne

Cada actualización contiene información sobre el remitente, algunos mencionan Virus Total, VRT Sandbox y otros.

En general, los proveedores de antivirus, los investigadores de seguridad y los colaboradores colaboran y comparten muestras.

enlace
enlace

Cualquiera puede contribuir y también hay una lista de correo para firmas aportadas por la comunidad.

enlace
enlace

    
respondido por el Daniel Ruf 11.12.2015 - 07:32
fuente
1

Los usuarios envían muestras de archivos infectados a Clam AV que son procesados por el personal de Cisco / Sourcefire que trabaja en el proyecto de Clam AV. Virus Total y otras fuentes de la industria AV también comparten archivos infectados con el proyecto Clam AV. Finalmente, la gente de Cisco / sourcefile comparte con Clam AV lo que han aprendido sobre su fin.

    
respondido por el Robert Scroggins 06.06.2016 - 20:42
fuente
-2

Bien para las firmas en mi organización, se generan utilizando muestras recibidas en nuestros servidores de correo electrónico normales y también a partir de muestras enviadas. Luego se generan firmas y hash.

    
respondido por el Sanesecurity 12.12.2015 - 11:21
fuente

Lea otras preguntas en las etiquetas