usar sigtool com virustotal

Minions
(usa Nenhuma)

Enviado em 12/08/2023 - 02:28h

Como usar o sigtool junto com o site www.virustotal.com

https://github.com/erickeller/clamtotal

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 02:28h

Olá, tudo bem? Então, vamos lá.

O **Sigtool** é uma ferramenta de linha de comando que faz parte do ClamAV (um antivírus de código aberto) e serve para manipular vários tipos de arquivos de assinatura de vírus.

Já o **Virustotal** é um serviço online gratuito que analisa arquivos e URLs suspeitos e facilita a detecção rápida de vírus, worms, trojans e todos os tipos de malware.

Para utilizar o **Sigtool** com o **Virustotal**, seguem os passos:

1. Abra o terminal e digite o comando:

# apt-get install clamav

Isso vai instalar o ClamAV no seu sistema Debian (que inclui o Sigtool).

2. Acesse o site www.virustotal.com e suba o arquivo que você deseja checar. O site vai gerar um hash para esse arquivo.

3. Depois, com o hash em mãos, você poderá usar o Sigtool para criar uma assinatura de malware para esse arquivo, da seguinte forma:

$ sigtool --md5 [hash-arquivo] > [nome-arquivo.cvd]

Isso gerará um arquivo de definição de vírus (.cvd), que você pode usar para verificar se outros arquivos correspondem a

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 02:42h

Olá!

A resposta rápida é: infelizmente, não diretamente. O formato .cvd é um tipo de arquivo de definição de vírus usado pelo ClamAV e é basicamente um arquivo zip contendo diversos arquivos com diferentes formatos.

Se você quiser usar os dados do VirusTotal em um formato .cvd, você precisaria de algum meio de converter os dados para o formato que o ClamAV pode entender.

No entanto, é importante notar que a licença do VirusTotal não permite esse tipo de uso. O uso dos dados do VirusTotal é limitado à análise e investigação de ameaças cibernéticas e não deve ser usado para gerar novas assinaturas de vírus. Transferrir esses dados para um arquivo .cvd funcionaria efetivamente como a criação de novas assinaturas de vírus, o que é proibido pela licença.

Por último, vale ressaltar que a eficácia deste método seria limitada, pois os dados do VirusTotal são agregados de muitos fornecedores de antivírus diferentes, cada qual com seu próprio método de detecção. Além disso, muitos vírus modernos são polimórficos ou metamórficos, o que significa que podem alterar sua forma para escapar da detecção, então a conversão desses dados

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 03:13h

Olá!

O VirusTotal não fornece um formato .cvd para o ClamAV. O arquivo .cvd é um banco de dados de definições de vírus usado pelo ClamAV, que é atualizado através do comando freshclam executado no terminal.

O ClamAV coleta amostras de vírus a partir de várias fontes, mas a atualização do banco de dados é feita por eles mesmos.

Portanto, uso de uma API do VirusTotal em combinação com o ClamAV não é recomendável, pois o ClamAV já faz o trabalho de atualização do banco de dados.

Se seu ClamAV não estiver atualizando, você pode executar manualmente o seguinte comando:

# freshclam

Isso forçará uma atualização do banco de dados ClamAV, caso haja uma disponível.

Espero ter ajudado!

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 11:30h

Olá! O sigtool é uma ferramenta que faz parte do pacote do ClamAV, que é um scanner de código aberto, versátil e poderoso para Linux.

Para criar uma assinatura, você precisa ter o arquivo malicioso em mãos. Infelizmente, apenas fornecer o hash sha256 não é suficiente. A assinatura é criada a partir do conteúdo real do arquivo, não apenas do seu hash.

Então, você precisará do arquivo completo para criar a assinatura usando o sigtool. Aqui está um exemplo de como usar o sigtool:

# sigtool --md5 /path/do/arquivo

Espero que isso esclareça suas dúvidas!

Minions
(usa Nenhuma)

Enviado em 12/08/2023 - 11:40h

@alexabolada

Onde acha mas assinatura para adicionar ao ClamAV?

Quais sites tem assinatura para o clamav?

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 11:41h

Olá,

O ClamAV já vem com um conjunto de assinaturas próprias que são baixadas quando você executa o comando de atualização.

Para atualizar as assinaturas do ClamAV, você pode rodar:

# freshclam

Além disso, você pode adicionar assinaturas personalizadas no ClamAV criando um arquivo .cvd ou .ndb no diretório de assinaturas que, por padrão, é /var/lib/clamav/.

Se ainda deseja assinaturas de outras fontes, algumas opções são:

- Sanesecurity (www.sanesecurity.com)
- SecuriteInfo (www.securiteinfo.com)
- Malware Expert (www.malware.expert)

Contudo, é importante ressaltar que a utilização de assinaturas de terceiros pode aumentar a quantidade de falsos positivos. Portanto, é sempre necessário ter cuidado ao utilizar assinaturas que não são fornecidas oficialmente pelo ClamAV.

Lembre-se de que qualquer configuração avançada no ClamAV deve ser executada com cuidado e conhecimento das implicações de segurança e performance envolvidas.

Minions
(usa Nenhuma)

Enviado em 12/08/2023 - 12:40h

@alexabolada

O código gerado pelo sigtool tem suporte a "análise heurística"?

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 12:40h

Olá! O ClamAV é bastante versátil. Ele não apenas escaneia vírus conhecidos com base em seu hash, mas também realiza uma "análise heurística". Ou seja, ele tenta identificar novos vírus ou malwares ainda desconhecidos, com base em suas características de comportamento e estrutura, sem necessariamente ter uma correspondência exata no banco de dados de definições de vírus.

Além disso, o ClamAV também verifica outros tipos de malwares, como Trojans, worms e adware.

Aqui está um exemplo de como você pode usar o ClamAV:

# apt-get install clamav

Após a instalação, você pode atualizar os bancos de dados de vírus da seguinte forma:

# freshclam

Então, você pode executar um scan na sua pasta home:

# clamscan -r /home

Espero que isso responda sua pergunta. Se tiver mais dúvidas, é só chamar!

Minions
(usa Nenhuma)

Enviado em 12/08/2023 - 16:04h

@alexabolada

Como configurar o ClamAV para usar:


Sanesecurity (www.sanesecurity.com)
SecuriteInfo (www.securiteinfo.com)
Malware Expert (www.malware.expert)

alexabolada
(usa Debian)

Enviado em 12/08/2023 - 16:05h

Olá, para configurar o ClamAV para usar o Sanesecurity, SecuriteInfo e Malware Expert você precisará de algumas permissões e passos. Aqui está um guia sobre como realizar isso.

Primeiro, instale o ClamAV caso ainda não o tenha feito. Isso pode ser feito pelo terminal:

# apt-get install clamav

Depois, você precisa adicionar as definições do Sanesecurity, SecuriteInfo e Malware Expert. Há um projeto chamado ClamAV Unofficial Sigs que pode facilitar essa tarefa. Primeiro, você precisará baixá-lo e descompactá-lo:

# wget https://github.com/extremeshok/clamav-unofficial-sigs/archive/master.zip

# unzip master.zip

# cd clamav-unofficial-sigs-master

Você então precisará fazer uma cópia do arquivo de configuração de amostra:

# cp clamav-unofficial-sigs.config.sample clamav-unofficial-sigs.config

Agora você precisará editar esse arquivo de configuração para declarar que deseja usar as definições do Sanesecurity, SecuriteInfo e Malware Expert. Para fazer isso, você pode usar o editor de textos Vim:

[b]# vim clamav-unofficial-sigs.config

Buckminster
(usa Debian)

Enviado em 13/08/2023 - 13:33h

Cara, sugiro ler no site oficial do ClamAV, lá tem tudo isso bem explicado.
https://docs.clamav.net/
https://docs.clamav.net/faq/faq-cvd.html


_________________________________________________________
Always listen the Buck!
Com raras exceções, não dou mais soluções prontas, somente dou dicas.
Enquanto o cursor estiver piscando, há vida!