Clam AntiVirus

[en] [jp] [de] [it] [es] [fr] [ru] [pl] [pt] [nl] [hu] [simp. cn] [trad. cn]

FAQ

FAQ officielle

Ceci est la FAQ officielle. Pour des FAQs additionnelles merci de visiter notre Wiki. Merci d’ajouter autant de FAQs que c’est possible sur le Wiki. L’équipe de ClamAV suit continuellement cette page et y ajoutera les meilleures d’entre elles.

Mettre à jour ClamAV

Comment mettre à jour ClamAV ?
- Visitez notre Wiki . Cette page peut-être éditée par tout le monde. Si vous avez le niveau sysadmin merci d’y contribuer.

Que signifie WARNING: Current functionality level = 1, required = 2 ?
- Le functionality level de la base détermine quelle version du moteur du scanner est requise pour utiliser toutes ces signatures. Si vous ne mettez pas à jour immédiatement vous n’aurez pas accès aux derniers virus.

Que signifie Your ClamAV installation is OUTDATED ?
- Vous obtiendrez ce message dès qu’une nouvelle version de ClamAV sera disponible. Pour pouvoir détecter les derniers virus, il n’est pas suffisant d’avoir votre base à jour. Il est aussi nécessaire d’utiliser la dernière version du scanner. Vous pouvez télécharger les sources de la dernière version sur notre site web. Les instructions pour la mise à jour sont disponibles sur le Wiki. Si vous êtes effrayé à l’idée de casser quelque chose pendant la mise à jour, utilisez les precompiled packages pour votre système d’exploitation/distribution. Rappel: utiliser la dernière version stable améliore aussi la stabilité.

J’ai mis à jour à la dernière version stable mais je continue d’obtenir le message Your ClamAV installation is OUTDATED, pourquoi ?
- Soyez sûr qu’il n’y a réellement qu’une seule version de ClamAV installée sur votre système :
```
   $ whereis freshclam 
   $ whereis clamscan
```
- Vérifiez aussi qu’il ne reste pas d’anciennes librairies (libclamav.so*) trainant dans votre système de fichier. Vous pouvez le vérifier en utilisant la commande : $ ldd `which freshclam`

Comment puis-je vérifier de l’intégrité des sources de ClamAV ?
- En utilisant GnuPG vous pouvez facilement vérifier de l’authenticité de votre téléchargement de la version stable en utilisant la méthode suivante : Téléchargez la key de Tomasz Kojm du site clamav.net. Importez la clé dans votre keyring plublic local : $ gpg --import tkojm.gpg. Téléchargez la version stable ET le fichier .sig correspondant dans le même répertoire. Vérifiez que la version stable téléchargée est signée par la clé de Tomasz Kojm : $ gpg --verify clamav-X.XX.tar.gz.sig . Il est à noter que la sortie résultante DOIT contenir le message suivant !! Good signature from Tomasz Kojm.

Où puis-je obtenir les derniers snapshots SVN de ClamAV ?
- Visitez source download page.

Est-ce que mon compilateur/matériel/système d’exploitation est supporté par ClamAV?
- ClamAV supporte une grande variété de compilateurs, matériels et systèmes d’exploitation. Notre compilateur de base est gcc sous Linux sur plateforme 32 et 64bits Intel, mais nous le testons aussi en utilisant d’autres compilateurs, incluant le compilateur Sun C , Microsoft Visual Studio, compilateur Intel C et d’autres. A ce jour nous avons trouvé seulement un compilateur que nous ne supportons pas, GCC de la version 4.0.0 à 4.1.0 incluse. Nous avons découvert que les versions de ce compilateur produisaient du code incorrect sur toutes les plateformes et systèmes d’exploitation sur lesquels nous l’avons testé. ClamAV ne fonctionnera pas en utilisant ce compilateur et vous DEVEZ en utiliser un autre, comme GCC3.4 ou GCC4.1. Merci de contacter votre revendeur pour plus d’informations. Merci de consulter gcc’s bugzilla pour plus d’informations. Si vous désirez voir une preuve comme quoi gcc 4.0.1 génère du mauvais code pour le noyau lisez l’article suivant sur kerneltrap. Plus d’information sur ce bug est aussi disponible dans notre bugzilla . Nos scripts de configuration détecteront si votre compilateur est affecté par ce bug et refuseront de générer un binaire non fonctionnel avec le message d’erreur suivant: your compiler has gcc PR26763-2 bug, use a different compiler .

Mettre à jour la base de Virus de ClamAV

Que signifie WARNING: DNS record is older than 3 hours ?
- freshclam essaye de détecter des problèmes potentiels avec les caches DNS et repasse dans l’ancien mode si quelque chose paraît bizarre. Si ce message apparaît de temps en temps, vous pouvez l’ignorer sans crainte. Si vous avez cette erreur chaque fois que vous exécutez freshclam, vérifiez votre horloge système. Si elle est correcte, vérifiez votre configuration DNS. Si cela ne résoud rien, essayez de mettre en haut de votre tache cron :
```
 host -t txt current.cvd.clamav.net; perl -e 'printf "%d\n", time;' 
```
  Le 4&eaegrave;me champs de la première ligne doit être moins que 3 ∗ 3600 derriére la sortie de la deuxième ligne. Si cela n’est pas le cas, vous avez un serveur DNS cache quelque part se comportant mal.

A quelle fréquence la base de virus est mise à jour ?
- La base de virus est normalement mise à jour plusieurs fois par semaine. Regardez http://lurker.clamav.net/list/clamav-virusdb.html pour voir notre temps de réponse aux nouvelles attaques. L’équipe virusdb essaye d’être à jour avec les derniers vers en liberté. Quand un nouveau vers se répand, il faut souvent moins d’une heure pour qu’une mise à jour de la base soit effectuée. Vous pouvez contribuer en améliorant le processus de mise à jour de virusbd en envoyant des échantillons de virus via notre interface web.

Combien de fois par heure est-ce que je dois exécuter freshclam ?
- Si vous utilisez ClamAV 0.7x merci de upgrade NOW. Si vous utilisez ClamAV 0.8x ou une version plus récente, vous pouvez vérifier les mises à jour de base aussi souvent que 4 fois par heure si vous avez bien les options suivantes dans votre freshclam.conf: DNSDatabaseInfo current.cvd.clamav.net DatabaseMirror db.XY.clamav.net DatabaseMirror database.clamav.net Remplacez XY avec votre code pays. Si vous n’avez pas ces options, vous aurez au maximum 1 vérification par heure.

J’ai essayé de soumettre un échantillon via l’interface web, mais on m’a répondu que l’échantillon était déjà reconnu par ClamAV. Mon clamscan me répond le contraire. J’ai déjà mis à jour ma database et le moteur ClamAV, qu’est ce qui ne va pas avec ma configuration ?
- Merci d’exécuter clamscan avec l’option --detect-broken . Vérifiez aussi que freshclam et clamscan utilisent la même répertoire pour stocker/lire la database.

J’ai trouvé un fichier infecté sur mon HD/disquette/mailbox, mais ClamAV ne le reconnaît pas encore. Pouvez-vous m’aider ?
- Notre base de virus est mise à jour avec l’aide de la communauté. Dans le cas où vous trouvez un nouveau virus qui n’est pas détecté par ClamAV vous devez remplir ce formulaire. L’équipe virusdb regardera votre soumission et mettra à jour la database si nécessaire. Avant de soumettre un nouvel échantillon : – vérifiez la valeur de DatabaseDirectory, aussi bien dans clamd.conf que dans freshclam.conf, si ils sont équivalents – mettez à jour votre database en exécutant freshclam.

Comment je garde ma base de virus à jour ?
- ClamAV est fourni avec freshclam, un outil qui va vérifier périodiquement les nouvelles versions de la database et qui la mettra à jour.

J’obtiens cette erreur lorsque j’exécute freshclam: Invalid DNS reply. Falling back to HTTP mode or ERROR: Can’t query current.cvd.clamav.net . Qu’est ce que cela signifie ?
- Il y a un problème avec votre serveur DNS. Merci de vérifier les entrées dans /etc/resolv.conf et vérifier que vous pouvez résoudre manuellement l’enregistrement TXT : $ host -t txt current.cvd.clamav.net Si vous ne pouvez pas, cela signifie que votre réseau est défectueux. Vous serez capable de télécharger les mises à jour, mais vous perdrez beaucoup de bande passante en vérifiant les mises à jour.

J’obtiens cette erreur lorsque j’exécute freshclam: ERROR: Connection with ??? failed . Que dois-je faire ?
- Soit vos serveurs DNS ne fonctionnent pas ou alors vous bloquez le port 53/tcp. Vous devez vérifier manuellement que vous pouvez résoudre l’hôte suivant avec : $ host database.clamav.net. Si cela ne fonctionne pas, vérifiez votre configuration DNS dans /etc/resolv.conf. Si cela fonctionne, vérifiez que vous pouvez recevoir des réponses à des requêtes DNS de plus de 512 octets, par exemple vérifiez que votre pare-feu ne bloque pas les paquets qui viennent du port 53/tcp. Un moyen facile de le voir : $ dig @ns1.clamav.net db.us.big.clamav.net

Comment puis-je savoir si mon adresse IP a été bannie ?
- Essayez de télécharger daily.cvd avec lynx ou wget de la même machine qui fait fonctionner freshclam. Les versions futures de freshclam fourniront un meilleur moyen de résoudre ce problème.

Qu’est ce que le fichier mirrors.dat ?
- mirrors.dat est utilisé par freshclam pour suivre les miroirs défaillants. Il supprime les délais inutiles causés par les tentatives de téléchargement de mise à jour CVD d’un miroir défaillant plusieurs fois au cours des dernières 24 heures.

J’utilise ClamAV sur plusieurs machines clientes de mon réseau local. Puis-je fournir les fichiers cvd d’un serveur local pour que chaque client n’ait pas à le télécharger de vos serveurs ?
- Evidemment, il y a deux solutions possible.
- Si vous voulez obtenir les avantages de la mise à jour incrémentale, installez un serveur proxy et configurez vos clients freshclam pour l’utiliser (regardez pour le paramètre HTTPProxyServer dans le man de freshclam.conf).
- La seconde solution possible est de configurer un serveur web local sur l’une de vos machines (par exemple machine1.mylan) et laisser freshclam télécharger les fichiers *.cvd de http://database.clamav.net vers le DocumentRoot du serveur web. Finalement, changez freshclam.conf sur vos clients pour qu’ils lisent :
- DatabaseMirror machine1.mylan
- Premièrement la database sera téléchargée sur le serveur web local et les autres clients du réseau mettront à jour leur copie de la database de celui-ci. Pour que cela fonctionne, vous devez ajouter ScriptedUpdates off sur toutes vos machines !

Je ne peux pas vous attendre pour mettre à jour la database ! J’ai besoin d’utiliser la nouvelle signature MAINTENANT !
- Pas de problème, sauvegardez vos propres signatures dans un fichier texte avec l’extension appropriée (voir signatures.pdf pour plus d’information). Le mettre dans le même répertoire que les fichiers .cvd. ClamAV le chargera après les fichiers .cvd officiels. Il n’est pas nécessaire de signer les fichiers .db.

Puis-je télécharger la virusdb manuellement ?
- Oui, la virusdb peut-être téléchargée en suivant ce lien ClamAV Virus database de notre page d’accueil.

Je ne peux résoudre current.cvd.clamav.net ! Y a-t-il un problème avec vos/mes serveurs DNS ?
- current.cvd.clamav.net n’a seulement qu’un enregistrement TXT, pas un enregistrement de type A ! Essayez cette commande : $ host <del>t txt current.cvd.clamav.net. Il est à noter que certains serveurs DNS qui ne suivent pas les RFC (nommément celui embarqué dans les modems Alcatel (maintenant Thomson) SpeedTouch 510) ne peut résoudre un enregistrement TXT. Si c’est le cas, merci de recompiler ClamAV avec l’option </del>-enable-dns-fix .

Problèmes et dépannages

J’obtiens un message d’erreur suivi de report to http://bugs.clamav.net: pouvez-vous corriger ce bogue ?
- Si vous voulez qu’un correctif soit réalisé pour corriger un bogue, nous avons besoin que vous nous envoyez le message d’erreur et le fichier qui l’a déclenchée. Sans ce fichier votre rapport est sans intérêt pour nous. En dépit de ce que le message d’erreur signale, la meilleure façon de nous soumettre un rapport de bogue est maintenant d’utiliser notre interface bugzilla.

ClamAV ne fonctionne pas ! Il n’ajoute aucun entête aux messages qui transitent sur mon serveur de messagerie.
- ClamAV lui-même est un antivirus et son travail est de scanner les fichiers pas de faire des choses fantaisistes avec vos entêtes d’email. Pour utiliser ClamAV avec votre MTA vous avez besoin d’un programme de filtrage de contenu. Si vous utilisez clamav-milter vous pouvez demander de l’aide sur nos listes de diffusion. Si vous utilisez un autre programme de filtrage de contenu, trouvez l’adresse de sa liste de diffusion officielle -(si il en possède une) ou contactez l’auteur.

ClamAV plante/bloque/ne se compile pas/ne démarre pas. Est-ce que j’ai trouvé un bogue ?
- Avant de rapporter un bogue, il faut télécharger la dernière version du code SVN et essayer de reproduire le bogue avec celui-ci. Il y a des chances pour que le bogue que vous avez rencontré soit déjà corrigé. Si vous pensez que vous avez réellement trouvé un bogue, merci de visiter notre interface bugzilla. Avant de soumettre votre bogue merci de vérifier qu’il n’y a pas déjà un rapport similaire présent.

Comment démarrer clamd au moment du boot ?
- Si vous avez installé ClamAV d’un paquetage binaire ou d’une collection de ports, vous devez déjà avoir un script pour démarrer clamd au moment du boot. Si vous avez compilé vous-même, jettez un oeil dans le répertoire contrib/init/ des sources du paquetage.

Comment puis-je redémarrer automatiquement clamd quand il meurt ?
- Mettez en place une tache cron qui vérifiera que clamd fonctionne normalement toutes les XX minutes. Vous pouvez trouver un exemple dans les répertoires contrib/clamdmon/ et contrib/clamdwatch/. Vous pouvez aussi vérifier clamd de la ligne de commande avec un simple :
```
echo PING|socat - /tmp/clamd 
```

Comment puis-je redémarrer automatiquement clamav-milter quand il meurt ?
- Mettez en place une tache cron qui vérifiera que clamav-milter fonctionne normalement toutes les XX minutes. Vous pouvez trouver un exemple sur http://www.itg.uiuc.edu/itg_software/clmilter_watch/

Que signifie SECURITY WARNING: NO SUPPORT FOR DIGITAL SIGNATURES ?
- Le paquetage ClamAV a besoin de la librairie GMP pour vérifier la signature numérique de la base de virus. Quand vous compilez ClamAV vous avez besoin de la librairie GMP et de ses entêtes: si vous utilisez Debian, il suffit juste de faire un apt-get install libgmp3-dev, si vous utilisez une distribution basée sur les RPM installez le paquetage gmp-devel. Vous aurez besoin de relancer ./configure et de recompiler ClamAV.

Comment puis-je afficher la liste des noms de signature de virus de la base ?
- Si vous utilisez une version récente de ClamAV, il suffit de taper : $ sigtool --list-sigs

Comment puis-je savoir que des mises à jour de la base sont réalisées ?
- Souscrivez à la liste de diffusion clamav-virusdb .

J’ai trouvé un faux positif dans la base de virus ClamAV. Que dois-je faire ?
- Complétez le formulaire sur http://www.clamav.net/sendvirus . Soyez sûr que Le fichier attaché est… un faux positif.

La charge de mon serveur de messagerie est simplement trop élevée, clamscan met plus de 20 secondes pour scanner un simple email. Que dois-je faire ?
- Passez à clamd/clamdscan pour éviter la surcharge de charge CPU dans le chargement du CVD chaque fois qu’un message arrive.

Utiliser les listes de diffusion ClamAV

Où puis-je poser des questions sur l’utilisation de ClamAV ?
- Souscrivez à notre liste de diffusion clamav-users .

Je veux participer au developpement de ClamAV. Où puis-je obtenir plus d’informations ?
- Souscrivez à la liste de diffusion clamav-devel .

Les listes de diffusion génèrent trop de messages par jour. Je ne peux le gérer. Que puis-je faire ?
- Il y a deux solutions possibles : – Allez dans l’interface de mailman de mailing-list , cliquez sur Unsubscribe or edit options, et activez digest mode on – accédez aux listes de diffusion en utilisant un news reader

J’ai envoyé un message sur l’une des listes de diffusion de ClamAV, mais le message a été rejeté/nécessite une approbation. Pourquoi ?
- Seulement les personnes enregistrées sont autorisées à poster des messages sur la liste de diffusion. C’est fait pour rejeter les spammeurs. Merci de vérifier que vos messages envoyés commence avec une ligne comme celle-ci : Return-Path: me@mydomain.com ou me@mydomain.com est le compte de messagerie que vous avez utilisé pour vous enregistrer à la liste de diffusion. Vous pouvez souscrire plusieurs fois, avec différentes adresses de messagerie, et désactiver l’envoi de message. Vous serez capable de poster sur la liste de diffusion en mettant l’une de ces adresses dans Return-Path.

Je lis la liste de diffusion de la passerelle Gmane news. Puis-je poster à la liste de diffusion ?
- Voir la FAQ précédente.

J’ai été désabonné de l’une des listes de diffusion. Que s’est-il passé ?
- Il y a deux raisons possibles : Si votre compte génére trop de bounces vous serez automatiquement désabonné. Merci de resouscrire avec un compte qui fonctionne mieux. Si nous recevons seulement une fois un out of office notification de votre programme d’absence, votre adresse sera désabonnée et bannie pour toujours de notre liste de diffusion. Désolé pour cela, il y a juste trop de personnes stupides ici bas.

Comment je désactive l’envoi de message de la liste de diffusion à laquelle je me suis abonné ?
- Supposons de vous êtes abonné à clamav-users. Allez sur http://lists.clamav.net/mailman/listinfo/clamav-users et entrez votre adresse de messagerie à la fin de la page. Cliquez sur Unsubscribe or edit options et maintenant choississez on pour Disable mail delivery.

Divers

Est-ce que le phishing est considéré comme une forme de spam ? ClamAV ne le détectera pas comme une forme de malware.
- A partir de la version 0.90, ClamAV vous permet de choisir de détecter les phishing comme une sorte de malware ou pas. Cela mettra fin à un fil de discussion interminable sur nos listes de diffusion. Enfin, et encore merci pour tout le phish.

Est-ce que je peux convertir le format de la nouvelle base vers l’ancien ?
- Oui, installez une version récente de sigtool et exécutez : sigtool --unpack-current daily.cvd; sigtool --unpack-current main.cvd

Comment puis-je lire à l’intérieur des fichiers CVD ?
- Voir la FAQ précédente.

J’utilise ClamAV dans un environnement de production et un nouveau virus n’est pas identifié par ClamAV. Combien de temps je vais attendre avant que ClamAV ne puisse filtrer ce virus ?
- Aucune attente ! Trouvez une signature pour ce virus et modifiez votre base de virus correctement (voir signatures.pdf dans le répertoire doc/). Et n’oubliez pas de soumettre l’échantillon à l’équipe virusdb.

Pourquoi ClamAV appelle le virus XXX avec un autre nom ?
- Cela arrive normalement quand nous ajoutons une signature avant les autres vendeurs d’AV. Pas de nom connu n’est disponible à ce moment la donc nous en inventons un. Renommer le virus après quelques jours ajoute encore plus de confusion, donc nous continuons d’utiliser le nom que nous lui avons donné pour ce virus. La seule exception est quand un nouveau nom est établi peu après l’addition de la signature.

J’ai beaucoup de faux positifs de Oversized.zip
- Dès qu’un fichier dépasse ArchiveMaxCompressionRatio (voir la page de man clamd.conf), il est considéré comme une bombe logique et marqué comme Oversized.zip . Essayez d’augmenter votre paramètre ArchiveMaxCompressionRatio.

Que signifie PUA? J’obtiens un nombre important de faux positifs nommés PUA.*
- Avec la version 0.91.2 de ClamAV nous avons introduit une option pour scanner les application potentiellement non désirées (Potentially Unwanted Applications). La base de données PUA contient la détection pour des applications qui ne sont pas malicieuses par elles-mêmes mais qui peuvent être utilisées de façon malicieuses ou dans un contexte non voulu. Par exemple: un outil qui récupére les mots de passe sur un systéme peut-être utile tant que la personne qui l’utilise y est autorisée pour le faire. Cependant, ce même outil peut-être utilisé pour voler les mots de passe d’un systéme. Pour pouvoir utiliser la base de données PUA vous pouvez utiliser le paramètre—detect-pua de clamscan ou l’activer via le fichier de configuration de clamd (ajouter DetectPUA yes). Actuellement nous NE recommendons PAS son utilisation dans un environnement de production, parce que la détection est trop agressive et conduit à un grand nombre de faux positifs. Dans l’une de nos prochaines versions nous fournirons des paramètres de configuration plus fins qui permettront un meilleur ajustement en fonction de différents réglages. NOTE: Une détection comme PUA NE nous dit pas si l’application est bonne ou mauvaise. La seule chose qu’elle nous indique, c’est que ce fichier PEUT-ETRE non-désiré ou PEUT-ETRE peut compromettre la sécurité de votre système et que PEUT-ETRE il serait préférable de le vérifier une seconde fois.

Est-ce que ClamAV peut désinfecter les fichiers ?
- Non, il ne peut pas. Nous ajouterons le support de désinfection des fichiers OLE2 dans une de nos prochaines versions stables. Il n’y a aucun plan pour désinfecter d’autres types de fichiers. Il y a plusieurs raisons à cela : nettoyer les virus des fichiers est virtuellement sans intérêt de nos jours. C’est une perte de temps car il ne reste souvent rien d’intéressant après le nettoyage, et même si c’était le cas, est-ce que vous auriez confiance ?

Quand j’utilise clamscan, est-ce qu’il y a un moyen pour savoir quel message dans ma messagerie est infecté ?
- Il y a deux solutions : Exécutez clamscan --debug, recherchez le Deal with email number xxx Ou alors vous pouvez convertir votre mbox au format Maildir, exécutez clamscan dessus et le reconvertir au format mbox. Il y a plusieurs outils disponibles pour convertir du/vers le format Maildir : formail, mbox2maildir et maildir2mbox

J’utilise ClamAV + amavisd-new et j’obtiens l’erreur suivante dans les logs de messagerie amavis: Clam Antivirus-clamd FAILED – unknown status:/var/lib/amavis/amavis-20060917T120205-21416/parts: lstat() failed. ERROR\n amavis: WARN: all primary virus scanners failed, considering backups . Qu’est ce qui ne va pas ?
- Merci de voir Wiki.

J’utilise Qmail + Qmail-Scanner + ClamAV et j’obtiens l’erreur suivante dans mes logs de messagerie : clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem. Qu’est ce qui ne va pas ?
- Merci de voir Wiki.

Comment puis-je utiliser ClamAV avec p3scan?
- Merci de voir Wiki.

Quelle plate-forme est supportée ?
- Clam AntiVirus fonctionne avec Linux®, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X et Cygwin B20 sur plusieurs architectures comme Intel, Alpha, Sparc, Cobalt MIPS boxes, PowerPC et RISC 6000.

Où puis-je trouver plus d’informations sur ClamAV ?
- Merci de lire la documentation complète au format pdf/ps. Vous la trouverez dans chaque paquetage ou dans documentation. Vous pouvez aussi essayer de rechercher dans les mailing list archives. Si vous ne pouvez pas trouver de réponse, vous pouvez demander du support sur la liste de diffusion clamav-users, mais s’il vous plait avant de la faire, recherchez dans les archives ! Aussi, soyez sûr que vous n’envoyez pas de messages au format HTML et que votre réponse ne figure pas en début de message (top post) : cela viole la netiquette et diminue les chances d’obtenir une réponse.

Comment puis-je contribuer au projet ClamAV ?
- Il y a plusieurs façons possibles de contribuer au projet ClamAV.

Derniére mise à jour : 10 Février 2007

Nous faisons de notre mieux pour tenir la version localisée de ce site à jour, mais ce n’est cependant pas toujours possible. Veuillez vous réferer à la version anglaise pour les toutes dernières informations

FAQ