ClamAV : le modle de

la moule appliqu la
Pratique
virologie informatique...
Tomasz Kojm

orients voler
les donnes ou
transformer
l'ordinateur de la Degr de difficult
victime en une
machine sous,
sont une ralit Le problme du courriel non souhait nous concerne tous, que
quotidienne. La lutte ce soit les administrateurs systmes ou les simples utilisateurs
contre ce type de Internet ; ce courriel est devenu ces dernier temps, un outil de
courriel a dmontr marketing tentant pour certaines socits et toute sorte de
que la meilleure criminels, intresss principalement par les numros de nos
stratgie consiste cartes bancaires. Les attaques du type phishing ou les vers
liminer directement
les menaces au
niveau des serveurs
de messageries

L
lectroniques. Les e projet Clam AntiVirus (ClamAV) est un
ensemble d'outils antivirales, destins aux
logiciels Open systmes Unix. Il est dvelopp par une
Source nous quipe internationale de plusieurs dveloppeurs
viennent en aide et disponible en licence GNU GPL v2. J'attire ici
en proposant un votre attention sur le fait que, contrario d'autres
programmes Open Source, ce logiciel ncessite
ventail de solutions
des mises jours rgulires : aussi bien le code
pour lutter contre les que la base des signatures de virus. En ce qui
spams et au moins concerne les programmes anti-virus, ces l-
un programme pour ments, logiciels et services, jouent un rle clef.
lutter directement Le mot clam signifie en anglais une moule.
Les lecteurs se rappellent peut-tre que les
contre les logiciels
moules se nourrissent via une mthode de
malveillants ; nous filtrage : pour survivre, elles doivent filtrer l'eau
le dcrirons dans cet pour trouver des particules de nourriture. Cette
article. brve explication devrait rpondre aux ques-
tions concernant le nom du programme.
Outils de base
Le logiciel ClamAV s'adapte un principe Unix
connu, KISS (en anglais Keep it Simple, Single)
donc l'ventail des programmes fournis dans le
paquet source contient des applications spcia-
lises, simples d'emploi, en ligne de commande
et qui peuvent servir de base aux systmes com-
plexes d'analyse.
Clamscan
Clamscan est un outil pratique permettant d'ana-
lyser les fichiers et les rpertoires directement
en ligne de commandes. Dans le cas le plus
simple, son utilisation se limite indiquer le nom
du fichier ou du rpertoire scanner. Grce
l'option qui permet d'appeler des programmes
externes, il est capable de contrler les archives
non supportes par la bibliothque libclamav.
Clamscan peut tre utilis pour effectuer des
tches de routine, par exemple, scanner les
rpertoires d'utilisateurs ou s'intgrer aux autres
Cet article explique...
Comment est constitu Clam AntiVirus,
Comment utiliser la bibliothque libclamav,
Comment crer votre propre signature du virus
pour ClamAV.
Ce qu'il faut savoir...
Vous devriez avoir des connaissances de base
sur les menaces en provenance de Internet,
Vous devriez connatre les systmes Unix et
les services qu'ils proposent.

2 hakin9 N 2/2007 www.hakin9.org

 ClamAV

programmes afin de les doter de

l'option de protection antivirale. Il faut
Manager Classification
toutefois souligner que clamscan doit du scannage du type du fichier
charger les bases compltes de si-
gnatures chaque dmarrage, ce qui
Donnes
prend du temps et de la mmoire vive Ordination
OUI
doivent etre
supplmentaire. Pour cette raison, il prordinnes?
ne doit pas tre utilis dans le cadre NON
d'oprations ncessitant de scanner Choix de la
Scannage
de nombreux fichiers sparment et mthode
des signatures
du scannage
simultanment, tels que le courriel au
niveau du dmon SMTP.
Dtection
algorithmique
Clamd
Clamd est un dmon conu pour OUI
les oprations o l'efficacit est
Donnes doivent NON
importante. Le programme est multi- Dtection
etre toujours
du virus
thread et il est donc capable d'utiliser scannes?
les processeurs supplmentaires OUI OUI
dans les systmes SMP. Ceci garan-
tit galement une utilisation efficace Manque
Infection
de la dtection
de la base de signatures : elles sont
charges au dmarrage et aprs une
mise jours, puis ensuite, partages Figure 1. Schma simplifi du fonctionnement de la bibliothque libclamav
par tous les threads. Aprs le d-
marrage, clamd s'excute en tche lorsque le dmon FTP ne supporte base de signatures, ce qui rduit consi-
de fond et attend des commandes pas le scannage anti-virus. drablement le temps de dmarrage et
(comme SCAN, PING, RELOAD, l'utilisation de la mmoire. Clamdscan
STREAM) en indiquant le socket Clamdscan ne contient aucune procdure de scan-
Unix et/ou TCP dans le fichier de Clamdscan est l'un des outils permet- nage et repose uniquement sur clamd,
configuration. En ce qui concerne tant d'utiliser les fonctionnalits du d- en lui envoyant les noms de fichiers et
les systmes Linux et FreeBSD, il est mon clamd. Le nom suggre qu'il a t de rpertoires, les flux de donnes et
capable en plus de travailler avec le cr d'aprs le premier outil dcrit et les descripteurs scanner. Une restric-
module Dazuko, permettant de scan- c'est effectivement le cas. Clamdscan tion importante en rsulte : lors de la
ner les ressources slectionnes est capable de remplacer clamscan de vrification de fichiers ou de rpertoi-
lorsqu'on y accde. Cette solution manire efficace dans de nombreux res, clamdscan est capable de vrifier
permet notamment de suivre les res- cas. De manire efficace parce qu'il n'a uniquement ceux qui sont accessibles
sources des rpertoires publics FTP pas besoin de charger chaque fois la au dmon clamd.

Listing 1. Dtection algorithmique du virus utilisant une simple cryptanalyse

/* W32.Parite.B */
if(SCAN_ALGO && !dll && ep == EC32(section_hdr[nsections - 1].PointerToRawData)) {
lseek(desc, ep, SEEK_SET);
if(cli_readn(desc, buff, 4096) == 4096) {
const char *pt = cli_memstr(buff, 4040, "\x47\x65\x74\x50\x72\x6f\x63\x41\x64\x64\x72\x65\x73\x73\x00", 15);
if(pt) {
uint32_t dw1, dw2;
pt += 15;
if(((dw1 = cli_readint32(pt)) ^ (dw2 = cli_readint32(pt + 4))) == 0x505a4f &&
((dw1 = cli_readint32(pt + 8)) ^ (dw2 = cli_readint32(pt + 12))) == 0xffffb &&
((dw1 = cli_readint32(pt + 16)) ^ (dw2 = cli_readint32(pt + 20))) == 0xb8) {
*ctx->virname = "W32.Parite.B";
free(section_hdr);
return CL_VIRUS;
}
}
}
}

www.hakin9.org hakin9 N 2/2007 3

 Pratique

Freshclam Sigtool Dterminer le type du fichier

Le paquet ClamAV contient un pro- Le dernier outil dcrit est destin Pour des raisons de scurit et le
gramme appel freshclam, charg avant tout aux personnes travaillant travail direct sur les descripteurs,
d'automatiser compltement le pro- sur les signatures de virus et libclamav analyse le contenu du
cessus d'actualisation des bases de l'actualisation des bases dans le fichier et non son nom dans le sys-
signatures des virus. Le programme projet ClamAV. Sigtool permet de tme de fichiers pour dterminer le
propose une srie d'options : il peut dcompresser, de vrifier et de crer type du fichier. Des choses banales
tre lanc la demande ou travailler des bases de signatures signes de en apparence peuvent tre parfois
en tche de fond en tant que dmon, manire numrique, de gnrer les trs difficiles rsoudre. Autant la
il est capable d'utiliser un serveur fichiers diffrentiels (*.cdiff), de rcu- reconnaissance d'un fichier excu-
proxy, il permet d'excuter des prer le code des macros depuis les table ELF ne pose aucun problme,
programmes externes en fonction fichiers Office ou de normaliser les fi- autant dterminer si un fichier donn
d'vnement (actualisation des ba- chiers HTML, en facilitant la cration est une archive tar demande plus d'ef-
ses, erreur, dtection d'une nouvelle des signatures correctes. fort. Puisque le succs du scannage
version du logiciel). Afin de contrler dpend directement du rsultat de ce
la disponibilit d'une nouvelle version LibClamAV processus, il doit tre le plus exact
de la base de signatures, freshclam La bibliothque libclamav est l'l- possible. Pour ce faire, la bibliothque
se sert du protocole DNSet plus pr- ment responsable de dtecter les libclamav utilise trois techniques :
cisment d'un enregistrement texte virus. Elle est thread-safe et pro-
spcial : pose une API simple (en anglais les tests standards qui vrifient
Application Programming Interface) les nombres magiques (en
$ host -t txt current.cvd.clamav.net permettant aux programmes d'ac- anglais magic numbers) : les
current.cvd.clamav.net TXT cder aux fonctions de scannage valeurs uniques l'intrieur du
"0.88.4:39:1640:1155043741:1" universelles. La Figure 1 prsente un fichier, caractristique pour un
schma gnral du fonctionnement type donn,
Cet enregistrement contient ga- de la bibliothque et nous dcrirons la dtection algorithmique, base
lement l'information sur la version toutes les tapes ci-aprs. L'article sur l'analyse structurelle ou le
stable actuelle de ClamAV, ce qui se concentre sur la version actuelle contenu du fichier,
permet freshclam d'informer l'ad- du logiciel dans le repository CVS, le scannage du fichier en fonction
ministrateur d'une nouvelle sortie du qui remplacera prochainement la des fragments caractristiques
programme. version stable 0.8x. de donnes (par exemple, les
fragments du code HTML).
Tableau 1. Tableau des caractres de remplacement
Caractre de remplace- Sens de correspondance Gestion des fichiers spciaux
ment Lorsque le type du fichier est dter-
min, il faut dcider comment le g-
* N'importe quel nombre de n'importe quel
rer. Les fichiers spciaux, comme les
caractre
archives ou les documents, nces-
?? N'importe quel caractre sitent une prparation pralable qui
{n} n de n'importe quels caractres consiste extraire les donnes. La
{-n} Au plus n de n'importe quels caractres bibliothque est dote de la gestion
{n-} Au moins n de n'importe quels caractres des types suivants :

(a|b|c) a ou b ou c
archives : zip, RAR, CHM (en an-
glais Compiled HTML), cabinet,
Tableau 2. Tableau des caractres de remplacement OLE2, tar, SIS (paquets d'instal-
Code du fichier Type du fichier lation pour le systme Symbian),
cible fichiers compresss : gzip, bzip2,
0 Libre compress,
1 Portable Executable fichiers de la messagerie lec-
tronique : tous les formats Unix
2 Composant OLE2 (par exemple, le script VBA)
populaires, TNEF (winmail.dat),
3 HTML normalis PST,
4 De messagerie lectronique documents : HTML, PDF, MS Of-
5 graphique fice,
fichiers excutables : PE (ainsi
6 ELF
que la gestion des compresseurs

4 hakin9 N 2/2007 www.hakin9.org


ou protecteurs UPX, FSG, Petite,
PESpin, WWPack32, Y0da Cryp-
tor), ELF,
d'autres : JPEG, GIF, RIFF (ana-
lyse des fichiers en fonction de
prsence des exploits).
Les modules de gestion des fichiers
ont t crs de sorte dtecter les les acclrateurs matriels qui ac-
irrgularits qui pourraient tre utili-
ses induire en erreur le scanneur.
titre d'exemple, les procdures de
gestion des fichiers zip sont capables
de dtecter une manipulation dans
les en-ttes locaux des archives,
les entres fausses ou caches. Un
lment supplmentaire de protec-
tion sont des limites, lies au niveau
de rcursivit, au nombre et la
taille des fichiers dcompresss, qui
constituent une protection contre les
attaques du type Denial of Service,
utilisant les bombes d'archives (pe-
tites archives contenant un grand
nombre de fichiers compresss). Les
informations supplmentaires places
dans les archives (mta-donnes)
sont galement utiles ; libclamav les
scanne l'aide des signatures spcia-
les, permettant ainsi de dtecter dans
certains cas un logiciel malveillant au
sein des archives codes.
Scannage l'aide des
signatures
Afin de scanner les fichiers de ma-
nire efficace la recherche des
dizaines de milliers de virus, libcla-
Tableau 3. Tableau des dcalages acceptables
Dcalage
* N'importe quel endroit dans le fichier
n n-me octet
EOF-n
EP+n (ce dcalage et les dca-
lages ci-aprs ne fonctionnent
qu'avec les fichiers excutables
PE et ELF)
EP-n
Sx+n
Sx-n
SL+n, SL-n
mav utilise deux algorithmes : Aho-
Corasick et un algorithme tendu
de Boyer-Moore. Il s'agit des algo-
rithmes de correspondance multi-
modles, permettant de parcourir
les fichiers l'aide de nombreuses
signatures simultanment.
De plus, la bibliothque supporte
pas ce temps de fonctionnement de
clrent donc considrablement le l'automate parce que des restrictions
scannage.
L'algorithme Aho-Corasick cr
un arbre spcial d'aprs un ensem-
ble de modles (dans notre cas, un
ensemble de signatures de virus) ;
cet arbre sera ensuite transform en
un automate fini.
La Figure 2 prsente un exemple
d'un arbre et d'un automate lui cor-
respondant, crs pour un ensemble
de modles P = {GAT, GC, TGCT}.
Les tats de l'automate, marqus
de couleur verte, sont des tats finis
lorsque l'automate se trouve en cet
tat, l'un des modles a t correc- partie essentielle de l'algorithme ne
tement adapt. Les flches noires
(bords de l'arbre) reprsentent une
fonction de transfert et permettent de
modifier l'tat lorsque le caractre de
sortie n'est pas accept. Les flches
rouges reprsentent en revanche
une fonction d'chec et permettent
de modifier l'tat lorsque ceci est
impossible faire via la fonction de
transfert. L'automate commence
fonctionner dans l'tat zro (qui est
une racine de l'arbre et le premier
tat de l'automate) et effectue les
Lieu de correspondance
n-me octet depuis la fin du fichier
n-me octet depuis Entry Point
n-me octet avant Entry Point
n-me octet depuis le dbut de la
section portant le numro x
n-me octet avant le dbut de la sec-
tion portant le numro x
Comme ci-dessus o L correspond
la dernire section du fichier
www.hakin9.org
ClamAV
modifications ncessaires de l'tat
pour chaque caractre du texte
d'entre. Dans l'exemple dcrit, la
recherche du texte se droule en
temps linaire chaque caractre
du texte d'entre n'est vrifi qu'une
seule fois. L'implmentation de
l'algorithme en ClamAV ne garantit
de profondeur de l'arbre A-C ont t
ajoutes pour limiter l'utilisation de
la mmoire. L'efficacit est toutefois
satisfaisante. De plus, l'algorithme
bnficie d'une gestion des cartes
gnriques (en anglais wild cards)
dcrites dans le prochain point.
L'algorithme de Boyer-Moore
tendu utilise, de mme que la ver-
sion originale, l'ide de la table de
dcalage (en anglais shift table),
permettant d'omettre une partie du
texte d'entre dans lequel la corres-
pondance ne peut pas avoir lieu. La
travaille pas sur les caractres indivi-
duels mais sur les hachages calculs
partir de trois caractres conscu-
tifs. Ces caractres servent d'index
du tableau de dcalage et d'un ta-
bleau spcial de suffixes. Pour cette
raison, l'algorithme n'est utilis que
pour les signatures statiques (qui
ne contiennent pas de caractres de
remplacement).
Le processus de scannage
l'aide des signatures peut tre
acclr au moyen d'un acclra-
teur matriel. ClamAV supporte la
plate-forme NodalCore de Sensory
Networks qui propose les cartes PCI
dont le dbit s'lve 2 Gb/s. Leur
utilisation acclre le scannage
proprement parler et en plus rduit
la charge CPU, ce qui est important
pour les systmes de filtrage des mil-
liers ou des millions des fichiers quo-
tidiens. Vous trouverez les donnes
techniques et les prix des cartes sur
les sites Web des producteurs.
Types des signatures des
virus
Libclamav supporte plusieurs types
de signatures, permettant de dcrire
le logiciel malveillant de plusieurs
manires.
hakin9 N 2/2007 5
 Pratique

Le fragment du code qui identifie
le but est un lment essentiel des
signatures standards. Afin d'viter
les fausses alertes et de permettre
de stocker les entres dans les fi-
chiers textes, il est cod sous forme
d'une entre compose des nombres
hexadcimaux ; il peut galement
contenir des caractres de remplace-
ment dcrits dans le Tableau 1. Ces
caractres permettent d'augmenter la
souplesse de la signature.
Les signatures standards peu-
vent avoir deux formes : simplifie
et celle qui permet de dcrire le but
plus en dtails. Dans le premier cas,
il s'agit des signatures places dans
les bases *.db au format suivant :
NomDuVirus=SignatureHexadcimale
Les signatures sous forme dve-
loppe se trouvent dans les fichiers
*.ndb et se prsentent de manire
suivante :
NomDuVirus:CodeDeLobjectif:Offset:
SignatureHexadcimale[:
VersionMinimaleDuMoteur:
[WSMaximal]]
Elles permettent d'indiquer le type
du fichier et l'endroit o la corres-
pondance de la signature doit avoir
lieu. Les Tableaux2 et 3 prsentent
les valeurs possibles pour le deuxi-
me et troisime champ.
En ce qui concerne les logiciels
malveillants qui ne modifient pas leurs
fichiers, tels que la plupart de simples
chevaux de Troie, il est possible d'opter
pour les signatures utilisant des som-
mes MD5. Elles sont places dans les
fichiers *.hdb et ont le format suivant :
MD5:TailleDuFichier:Nom

T T
2 3 3 4
A !=T A

1 1
C C
G G
!=G, T
4 !=A,C
4
0 0

!=EOF
T T
5 5
!=G !=T

G G !=C

6 7 8 6 7 8
C T C T

!=EOF

Figure 2. Exemple d'arbre et d'automate Aho-Corasick

Metastructures
Structures RAR
MDS
Structures
MDS

Metastructures
Zip

Signatures
standard

Communs PE ELF HTML Bote Graphisme OLE2

A-C B-M A-C BM A-C B-M A-C B-M A-C B-M A-C B-M A-C B-M

Figure 3. Arbre de signatures en mmoire

6 hakin9 N 2/2007 www.hakin9.org

 ClamAV

Listing 2. Exemple d'utilisation de la bibliothque libclamav

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <clamav.h> /* fichier en-tte de la bibliothque libclamav */
int main(int argc, char **argv) {
int fd, ret;
unsigned long int size = 0;
unsigned int sigs = 0;
long double mb;
const char *virname;
struct cl_engine *engine = NULL;
struct cl_limits limits;
if(argc != 2) {
printf("Usage: %s file\n", argv[0]);
exit(2);

}
if((fd = open(argv[1], O_RDONLY)) == -1) {
printf("Can't open file %s\n", argv[1]);
exit(2);
}
/* charger toutes les bases depuis le rpertoire par dfaut */
if((ret = cl_load(cl_retdbdir(), &engine, &sigs, CL_DB_STDOPT))) {
printf("cl_load: %s\n", cl_strerror(ret));
close(fd);
exit(2);

}
printf("Loaded %d signatures.\n", sigs);
if((ret = cl_build(engine))) { /* Compiler le moteur */
printf("Engine compilation error: %s\n", cl_strerror(ret));;
cl_free(engine);
close(fd);
exit(2);
}
memset(&limits, 0, sizeof(struct cl_limits)); /* paramtrer les limites des archives*/
limits.maxfiles = 1000; /* nombre maximal des fichiers dcompresser */
limits.maxfilesize = 10 * 1048576; /* taille maximale du fichier archiv */
limits.maxreclevel = 5; /* niveau maximal des rcursivits */
limits.maxratio = 200; /* rapport maximal entre la taille du fichier compress et l'original */
/* scanner le descripteur indiqu */
if((ret = cl_scandesc(fd, &virname, &size, engine, &limits, CL_SCAN_STDOPT)) == CL_VIRUS) {
printf("Virus detected: %s\n", virname);
} else {
if(ret == CL_CLEAN) {
printf("No virus detected.\n");
} else {
printf("Error: %s\n", cl_strerror(ret));
cl_free(engine);
close(fd);
exit(2);
}
}
close(fd);
/* calculer une taille approximative des donnes scannes */
mb = size * (CL_COUNT_PRECISION / 1024) / 1024.0;
printf("Size of scanned data: %2.2Lf MB\n", mb);
cl_free(engine); /* librer la mmoire occupe par le moteur */
exit(ret == CL_VIRUS ? 1 : 0);
}

www.hakin9.org hakin9 N 2/2007 7

 Pratique
Grce cette solution, les utilisa-
teurs peuvent crer facilement leurs
propres signatures, il suffit d'utiliser
l'option --md5 du programme sigtool
:sigtool --md5 evil.exe > evil.hdb
et dplacer ensuite le fichier evil.hdb
dans le rpertoire des bases de si-
gnature de ClamAV.
Le dernier type de signatures
est destin dcrire les fichiers
contenus dans des archives et pour
ce faire, il se sert des mta-donnes
susmentionnes contenues dans
les archives. Il est utilis avant tout
pour les vers Internet qui se servent
des archives codes en tant que
support et dont les fichiers gardent
une proprit caractristique, telle
que le nom, la taille ou la somme de
contrle. Ces signatures sont stoc-
kes dans les fichiers .zmd et .rmd,
respectivement pour les archives zip
et RAR, au format suivant :
NomDuVer : cod(0,1) :
nom du fichier :
taille originale :
taille aprs la compression :
crc32 : mthode de compression :
numro de srie du fichier dans
l'archive:nombre maximal
des archives intgres
Si certains paramtres changent, il est
possible d'utiliser un astrisque pour
ignorer leurs valeurs. Worm.Padowor.A,
Worm.Kimazo.A et les variantes du ver
Bagle sont des exemples des vers d-
tects avec le succs l'aide de cette
mthode spcifique.
Afin de les utiliser de manire
optimale lors du dmarrage, les bases
de signatures se divisent en groupes
appropris, en crant un arbre pr-
sent sur la Figure 3. Dans un premier
temps, les donnes sont scannes
l'aide des signatures correspondant
leur type et ensuite, l'aide des
signatures communes et MD5. Les
signatures utilisant les mta-donnes
sont contrles au moment de d-
compresser les archives.
En ce qui concerne les fichiers,
dans un premier temps, on les scan-
ne l'aide des signatures correspon-
8 hakin9 N 2/2007
dant leur type et ensuite, l'aide
des signatures communes et MD5.
Fichiers CVD
Les fichiers CVD constituent un sup-
port de base pour les signatures de
ClamAV ; ces fichiers sont en ralit
des archives tar compresses et si-
gnes de manire numrique. Deux
fichiers sont distribus : daily.cvd et
main.cvd. Le premier d'entre eux est
une base qui sert la mise jour quo- permettant de scanner des fichiers
tidienne, le second est une archive
principale de signatures dans laquelle
une partie d'entres est dplace tous
les 45 jours en moyenne depuis le fi-
chier daily.cvd. Les bases contiennent
les fichiers de texte avec les signa-
tures aux formats dcrits ci-dessus.
Afin de rduire la charge des miroirs,
un systme d'actualisations diffren-
tielles a t labor (grce auquel il traduit le code d'erreur en message
n'est plus ncessaire de charger les
fichiers complets de la base de signa-
tures). la place, freshclam charge un
script spcial avec les dernires mo-
difications et effectue les mises jour
appropries dans les fichiers locaux.
Dtection
algorithmique des virus
Certains virus avancs ncessitent
une approche spciale. Ce point
concerne notamment les virus poly-
morphiques qui rendent impossible
la dtection directe l'aide des signa-
tures. Une partie des scanneurs anti-
virus essayent d'utiliser une approche
universelle base sur l'mulation du
code pour les dtecter mais avec les
virus modernes utilisant des astuces
avances ou les nouvelles extensions
de processeurs, cette solution peut
s'avrer inefficace. ClamAV propose
une dtection prcise base sur les
algorithmes ddis. Cette mthode
prend plus de temps mais elle permet
de dtecter prcisment et rapide-
ment un virus. Actuellement, tous les
algorithmes doivent tre placs direc-
tement dans les sources du program-
me mais il sera bientt possible de les
distribuer sous forme de code d'octets
(en anglais bytecode) avec les signa-
tures standards. Le Listing 1 prsente
un court fragment du code charg
de dtecter le virus W32.Parite.B,
www.hakin9.org
Je vous invite lire davantage les
sources si vous vous intressez aux
exemples plus complexes.
Exemple d'utilisation de la
bibliothque
La bibliothque libclamav permet
d'ajouter facilement un scannage anti-
virus au logiciel existant. Le Listing 2
prsente un exemple complet d'utilisa-
tion de la bibliothque un simple outil
individuels depuis la ligne de comman-
des. Les fonctions lmentaires y ont
t utilises : cl _ load() charge une
base ou toutes les bases depuis le r-
pertoire indiqu, cl _ retdbdir() retour-
ne le chemin du rpertoire par dfaut
avec les bases, cl _ build() compile
le moteur, cl _ scandesc() scanne le
descripteur indiqu, cl _ strerror()
en anglais et enfin, cl _ free() libre
la mmoire occupe par le moteur. Le
programme retourne le code 1 s'il d-
tecte une infection, 0 s'il ne la dtecte
pas et 2 s'il y a une erreur.
Infrastructure rseau
Le projet ClamAV est dot d'une in-
frastructure avance de miroirs, d-
veloppe depuis plusieurs annes.
Elle est finance par des entreprises,
des organisations et des organismes
ducatifs qui rendent disponibles
leurs connexions Internet pour les
besoins de distribution de bases
propos de l'auteur
Tomasz Kojm est concepteur et leader
du projet Clam AntiVirus. Il est diplm
de la facult d'informatique de l'Univer-
sit Mikoaj Kopernik Toru ; c'est
un enthousiaste des logiciels Open
Source et des tortues.
Sur Internet
http://www.clamav.net/ site offi-
ciel du projet Clam AntiVirus,
http://www.dazuko.org/ site offi-
ciel du projet Dazuko,
http://www.sensorynetworks.com/
site du producteur des acclra-
teurs matriels.
 ClamAV

avec les signatures de virus. Plus

de cent vingt serveurs dans une
quarantaine de pays garantissent
une actualisation rapide et sans pro-
blmes des bases. Pour un accs
optimal aux mises jour, il faut se
rfrer aux adresses suivantes :

db.XY.clamav.net indique les

miroirs disponibles dans le pays
dont le code est XY,
db.local.clamav.net essaie de
rediriger le client l'ensemble de
miroirs le plus proche en vrifiant
son adresse dans la base GeoIP,
database.clamav.net l'enre-
gistrement round-robin indique
l'ensemble des miroirs les plus
rapides et les plus disponibles.

En ce qui concerne la France, la con-

figuration recommande consiste
placer deux entres suivantes dans
le fichier freshclam.conf :

DatabaseMirror db.fr.clamav.net
DatabaseMirror database.clamav.net

Si la connexion avec les miroirs natio-

naux choue, freshclam utilisera auto-
matiquement la deuxime entre.

Applications possibles
Bien que ClamAV ait t conu avant
tout pour scanner les courriels, il se
prte bien aux autres applications. Le
site officiel du projet, dans la section
Third-party software, vous propose
une liste d'une centaine de program-
mes qui utilisent ClamAV, permettant
de filtrer les courriels au sein des pro-
tocoles SMTP, POP3 et les lecteurs de
messages lectroniques, de scanner
le systme de fichiers, les flux HTTP,
les ressources FTP et d'autres.

Conclusion
Un scanneur anti-virus constitue un
des outils lmentaires que se doit de
disposer les administrateurs rseau.
Clam AntiVirus est un logiciel souple,
offrant de larges fonctionnalits et ap-
plications ; grce sa licence et ses
mises jours rgulires, les adminis-
trateurs peuvent dcouvrir que la pro-
tection anti-virus ne doit pas forcment
tre onreuse. l

www.hakin9.org hakin9 N 2/2007 9