Officiële FAQ

Dit is de officiële FAQ (vaak gestelde vragen). Voor bijkomende FAQs kan u onze wiki raadplegen. We willen iedereen aanmoedigen om hieraan mee te werken. Het ClamAV team houdt deze pagina constant in het oog en zal de beste FAQs hier toevoegen.

ClamAV Upgraden

• Hoe kan ik ClamAV upgraden?
  • Raadpleeg de Wiki . Deze pagina kan door iedereen aangepast worden. Als je een ervaren systeembeheerder bent kan je hieraan meewerken.

• Wat betekent WARNING: Current functionality level = 1, required = 2?
  • Het functionality level van de database bepaalt welke scanner engine versie vereist is om alle definities in de database te gebruiken. Als je niet meteen upgrade zal je een aantal van de recentste virussen over het hoofd zien.

• Wat betekent Your ClamAV installation is OUTDATED?
  • Je zal deze boodschap zien verschijnen wanneer een nieuwe versie van ClamAV is vrijgegeven. Om alle recentste virussen te kunnen detecteren is het niet genoeg de database regelmatig bij te werken. Je moet daarvoor ook de laatste versie van de scanner gebruiken. Je kan de broncode van de laatste release downloaden van onze website. Upgrade instructies staan op de Wiki. Als je vreest iets te zullen stukmaken bij het upgraden, gebruik dan de geprecompileerde pakketten voor jou besturingssysteem of distributie. Denk eraan: het gebruiken van de laatste stabiele versie verhoogt ook de stabiliteit.

• Ik heb de recentste versie geïnstalleerd maar krijg nog steeds de melding Your ClamAV installation is OUTDATED, hoe komt dat?
  • Kijk na dat er echt maar één versie van ClamAV geïnstalleerd is op je systeem:

       $ whereis freshclam 
       $ whereis clamscan

  • Kijk ook na dat je geen oude bibliotheken (libclamav.so*) in het bestandssysteem hebt. Dat kan je nagaan met : $ ldd `which freshclam`

• Hoe controleer ik de integriteit van de ClamAV broncode?
  • Door middel van GnuPG kan je gemakkelijk de authenticiteit van je stabiele release downloads controleren op de volgende manier: Download Tomasz Kojm’s key vanaf de clamav.net site. Importeer deze key in je locale publieke keyring: $ gpg --import tkojm.gpg. Download de stabiele release EN het overeenkomstige .sig bestand in dezelfde map. Controleer dat de stabiele release download getekend is met Tomasz Kojm’s key: $ gpg --verify clamav-X.XX.tar.gz.sig . Denk eraan dat de output de volgende melding MOET bevatten !! Good signature from Tomasz Kojm.

• Waar kan ik de laatste SVN snapshot van ClamAV vinden?
  • Kijk op de source download pagina

• Wordt mijn compiler/hardware/besturingssysteem ondersteund door ClamAV?
  • ClamAV ondersteund een groot gamma compilers, hardware en besturingssystemen. Onze voornaamste compiler is gcc voor Linux op 32 en 64 bit Intel platformen, maar we testen ook andere compilers, waaronder Sun’s C compiler, Microsoft’s Visual Studio, Intel’s C compiler, LLVM-GCC, en andere. Tot nu toe hebben we één compiler gevonden die niet ondersteund wordt, namelijk GCC versies 4.0.0 tot en met 4.1.0. Die versies van de compiler genereren onjuiste code op alle platformen en besturingssystemen waarop we ze getest hebben. ClamAV zal niet werken wanneer u deze compiler gebruikt en u MOET overschakelen op een alternatief, zoals GCC3.4 of GCC4.1. Contacteer je verdeler voor meer informatie. Kijk ook in gcc’s bugzilla voor meer informatie. Als je het bewijs wil zien waarom gcc 4.0.1 de onjuiste code genereert voor de kernel, lees dan het relevante artikel op kerneltrap. Meer informatie over deze bug is ook beschikbaar in onze eigen bugzilla . Onze configure scripts zullen detecteren of je compiler invloed van deze bug ondervindt en weigert een niet werkende binary te maken met de volgende foutmelding: your compiler has gcc PR26763-2 bug, use a different compiler . Als je op MacOS X werkt, kan je als alternatieve compiler LLVM-GCC4.2-2.2 gebruiken, waarvan officiële binaries beschikbaar zijn.

De ClamAV Virus Database bijwerken

• Wat betekent WARNING: DNS record is older than 3 hours?
  • Freshclam probeert mogelijke problemen met DNS caches te detecteren en schakelt over op de oude methode als iets er verdacht uitziet. Als deze melding slechts af en toe verschijnt kan je ze veilig negeren. Als je de fout iedere keer ziet als je freshclam uitvoert, kijk dan je systeemklok na. Indien deze correct is, controleer dan je dns instellingen. Als dat allemaal niet helpt, probeer dan hetvolgende bovenaan je cronjob te plaatsen:

     host -t txt current.cvd.clamav.net; perl -e 'printf "%d\n", time;' 

    Het vierde veld van de eerste lijn zou minder dan 3 ∗ 3600 na de output van de tweede lijn moeten volgen. In het andere geval heb je te maken met een caching DNS server die zich foutief gedraagt.

• Hoe vaak wordt de virus database bijgewerkt?
  • Meestal wordt de virus database vele malen per week bijgewerkt. Kijk eens op http://lurker.clamav.net/list/clamav-virusdb.html om onze respons-tijden op nieuwe bedreigingen te bekijken. Het virusdb team probeert de recentste wilde worm op te volgen. Wanneer een nieuwe worm zich verspreidt, doen we er vaak minder dan een uur over voor we een database update uitbrengen. Je kan helpen het virus update proces efficiënter te maken door voorbeelden van virussen in te zenden via onze web interface.

• Hoe vaak per uur kan ik best freshclam uitvoeren?
  • Als je nog ClamAV 0.7x gebruikt, voer dan alstublieft NU een upgrade uit. Als je 0.8x of hoger gebruikt, mag je tot 4 maal per uur checken op database updates op voorwaarde dat je de volgende opties in je freshclam.conf bestand plaatst: DNSDatabaseInfo current.cvd.clamav.net DatabaseMirror db.XY.clamav.net DatabaseMirror database.clamav.net Vervang XY door je regio code. Als je die opties niet hebt, moet je je houden aan 1 check per uur.

• Ik probeerde een virus in te zenden via de web interface, maar deze vertelde me dat het virus al door ClamAV wordt herkend. Mijn clamscan herkent het echter niet. Ik heb mijn database definities en ClamAV engine al bijgewerkt, wat is er mis met mijn installatie?
  • Voer clamscan eens op het bestand uit met de optie --detect-broken. Controleer ook of freshclam en clamscan dezelfde locatie gebruiken voor het opslaan en lezen van de database.

• Ik vond een geïnfecteerd bestand in mijn HD/floppy/mailbox, maar ClamAV herkent het nog niet. Kan u me helpen?
  • Onze virus database wordt up to date gehouden met behulp van de gemeenschap. Als je een nieuw virus vindt dat niet door ClamAV gedetecteerd wordt, vul dan dit formulier in. Het virusdb team zal je inzending bekijken en de database bijwerken indien nodig. Controleer, alvorens een nieuw bestand in te zenden, dat de waarde van DatabaseDirectory in zowel clamd.conf als freshclam.conf correct en hetzelfde zijn, en werk je database bij door freshclam uit te voeren.

• Hoe houd ik mijn virus database up to date?
  • Samen met ClamAV wordt freshclam meegeleverd, een tool die periodiek controleert of er nieuwe definities bestaan en die je database bijwerkt.

• Ik krijg deze fout wanneer ik freshclam uitvoer: Invalid DNS reply. Falling back to HTTP mode or ERROR: Can’t query current.cvd.clamav.net . Wat betekent dat?
  • Er is een probleeem met je DNS server. Controleer de gegevens in /etc/resolv.conf en probeer of je het TXT record manueel kan vertalen: $ host -t txt current.cvd.clamav.net Als je dat niet kan is er een probleem met je netwerk. Je zal wel nog updates kunnen downloaden, maar je zal veel bandbreedte verspillen bij het opzoeken van de updates.

• Ik zie deze fout bij het uitvoeren van freshclam: ERROR: Connection with ??? failed . Wat moet ik doen?
  • Ofwel werken je dns servers niet ofwel blokkeer je poort 53/tcp. Controleer manueel of u de hostnamen kan vertalen met: $ host database.clamav.net. Als dat niet werkt, controleer dan je dns settings in /etc/resolv.conf. Indien het werkt, controleer dan of je dns antwoorden langer dan 512 bytes kan ontvangen, bijvoorbeeld of je firewall geen pakketten blokkeert die via poort 53/tcp binnenkomen. Om dit makkelijk uit te vinden gebruikt u: $ dig @ns1.clamav.net db.us.big.clamav.net

• Hoe weet ik of mijn IP adres in de blacklist staat?
  • Probeer daily.cvd met lynx of wget te downloaden vanaf dezelfde machine waarop freshclam draait. In de toekomst zal freshclam hiervoor een betere oplossingen bieden.

• Wat is het mirrors.dat bestand?
  • mirrors.dat wordt gebruikt door freshclam om defecte mirrors bij te houden. Het voorkomt onnodige wachttijden veroorzaakt door een CVD update vanaf een mirror te downloaden die gedurende de laatste 24 uren meermaals een fout genereerde.

• Ik gebruik ClamAV op een heleboel client PCs op mijn locaal netwerk. Kan ik de cvd bestanden op een locale server ter beschikking stellen zodat niet elke client opnieuw deze van jullie servers moet downloaden?
  • Natuurlijk, hiervoor bestaan twee mogelijkheden:
  • Als je gebruik wil maken van incrementele updates, installeer dan een proxy server en stel je freshclam clients zo in dat ze deze gebruiken (kijk naar de HTTPProxyServer parameter in man freshclam.conf).
  • De tweede mogelijkheid is een locale webserver op één van je systemen te installeren (bijvoorbeeld systeem1.mijnnetwerk) en freshclam de *.cvd bestanden te laten downloaden van http://database.clamav.net naar de DocumentRoot van de webserver. Verander tenslotte freshclam.conf op je clients zodat deze lezen van:
  • DatabaseMirror systeem1.mijnnetwerk
  • De database zal eerst gedownloaded worden naar de locale webserver en daarna kunnen alle clients op het netwerk hun copy van de database van daaruit bijwerken. Voor deze opstellingen moet u de optie ScriptedUpdates off toevoegen aan de instellingen van alle systemen!

• Ik kan niet wachten tot jullie de database bijwerken! Ik heb de nieuwe definities NU nodig!
  • Geen probleem, bewaar je eigen definities in een tekstbestand met de juiste extensie (zie signatures.pdf voor meer informatie). Plaats dit bestand in dezelfde map als de .cvd bestanden. ClamAV zal het laden na de officiële .cvd bestanden. Je hoeft het .db bestand niet te handtekenen.

• Kan ik de virusdb manueel downloaden?
  • Zeker, de virusdb bestanden kunnen gedownloaded worden via de ClamAV Virus database link op onze startpagina.

• Ik kan current.cvd.clamav.net niet vertalen! Is er een probleem met jullie/mijn DNS servers?
  • current.cvd.clamav.net bevat enkel een TXT record, geen type A record! Probeer dit commando: $ host -t txt current.cvd.clamav.net. Let hierbij op, sommige niet-RFC compatibele DNS servers (namelijk degene die bij de Alcatel (nu Thomson) SpeedTouch 510 modem geleverd wordt) geen TXT record kan vertalen. Als dat het geval is, hercompileer dan ClamAV met de optie --enable-dns-fix.

Probleemzoeken bij crashes

• Ik krijg een foutmelding gevolgd door report to http://bugs.clamav.net: Kan je deze bug oplossen?
  • Als je echt wil dat we de bug oplossen, moet je ons de foutmelding toezenden en het bestand dat deze veroorzaakt. Zonder het bestand is je rapport compleet onbruikbaar voor ons. Ondanks wat deze melding je vertelt, is de beste manier om bug rapporten in te zenden nu onze bugzilla interface.

• ClamAV werkt niet! Het voegt geen header toe aan de boodschappen die mijn mail server passeren.
  • ClamAV is zelf een antivirus en is bedoeld om bestanden te scannen, niet om fantasietjes met je email headers uit te halen. Om ClamAV met je MTA te gebruiken heb je een content filter programma nodig. Indien je clamav-milter gebruikt kan je hulp vinden in onze mailing lijsten. Als je een andere content filter gebruikt, zoek dan het adres van de officiële mailing-lijst (als die bestaat) of contacteur de leverancier.

• ClamAV crashet/hangt/compileert niet/start niet. Heb ik een bug gevonden?
  • Vooraleer je een bug rapporteert, download je liefst eerst de recentste SVN code en probeer je daarmee de bug te reproduceren. De kans bestaat dat de bug al is ontdekt en opgelost. Als je echt denkt dat je een bug hebt gevonden, kijk dan op onze bugzilla interface. Controleer vooraleer je een bug inzendt alsjeblieft eerst of er al een soortgelijk rapport aanwezig is.

• Hoe start ik clamd bij het opstarten?
  • Als je ClamAV geïnstalleerd hebt van een binair pakket of vanuit ports, zou je al een script moeten hebben dat clamd automatisch opstart. Als je ClamAV zelf compileerde, kijk dan in de folder contrib/init/ directory van het broncode pakket.

• Hoe start ik clamd automatisch terug op als het uitvalt?
  • Stel een cronjob in die om de xx minuten controleert of clamd nog draait. Je vindt een voorbeeld in de mappen contrib/clamdmon/ en contrib/clamdwatch/. Je kan clamd ook eenvoudig controleren vanaf de commandoregel via:

    echo PING|socat - /tmp/clamd 

• Hoe start ik automatisch clamav-milter opnieuw op als het uitvalt?
  • Stel een cronjob in die om de xx minuten controleert of clamav-milter nog draait. Je vindt een voorbeeld op http://www.itg.uiuc.edu/itg_software/clmilter_watch/

• Wat betekent SECURITY WARNING: NO SUPPORT FOR DIGITAL SIGNATURES?
  • Het ClamAV pakket heeft de GMP bibliotheek nodig om de digitale handtekening van de virus database te controleren. Bij het compileren van ClamAV heb je de GMP bibliotheek en zijn headers nodig: als je Debian gebruikt, voer dan gewoon apt-get install libgmp3-dev uit. Bij een RPM-gebaseerde distributie installeer je het gmp-devel pakket. Je zal ./configure opnieuw moeten uitvoeren en ClamAV opnieuw moeten compileren.

• Hoe kan ik de virus definities oplijsten die in de database aanwezig zijn?
  • Als je een recente versie van ClamAV gebruikt kan je gewoon $ sigtool --list-sigs uitvoeren.

• Hoe weet ik of er nieuwe database updates zijn?
  • Abonneer je op de clamav-virusdb mailing-lijst.

• Ik vond een valse virusmelding in de ClamAV virus database. Wat doe ik nu?
  • Vul het formulier op http://www.clamav.net/sendvirus in. Selecteer hierbij zeker The file attached is… a false positive.

• De belasting op mijn mail server is eenvoudigweg te hoog, clamscan heeft meer dan 20 seconden nodig om één e-mail bericht te scannen. Wat moet ik doen?
  • Schakel over op clamd/clamdscan om te vermijden dat de CVD voor elk nieuw bericht opnieuw geladen wordt.

Gebruik maken van de ClamAV mailing lijsten

• Waar kan ik vragen stellen over het gebruik van ClamAV?
  • Abonneer je op onze clamav-users mailing-lijst.

• Ik wil meewerken aan de ontwikkeling van ClamAV. Waar kan ik meer informatie krijgen?
  • Abonneer je op de clamav-devel mailing-lijst.

• De mailing-lijsten genereren te veel boodschappen per dag. Ik kan ze niet verwerken. Wat doe ik hieraan?
  • Er zijn twee mogelijke oplossingen: – Ga naar de mailing-lijst mailman interface, klik op Unsubscribe or edit options, en schakel de optie digest mode aan – Bekijk de mailing-lijsten met behulp van een nieuws lezer

• Ik verzond een boodschap aan één van de ClamAV mailing-lijsten, maar de boodschap werd verworpen/ter goedkeuring tegengehouden. Waarom?
  • Alleen abonnees mogen posten in de mailing-lijsten. Dit ter vermijding van spammers. Controleer aub dat je uitgaande boodschappen beginnen met een regel zoals de volgende: Return-Path: ik@mijndomein.com waarin ik@mijndomein.com het mailadres is dat je gebruikte om je te abonneren op de mailing-lijst. Je kan je meerdere malen inschrijven, en email bezorging uitschakelen. Je zal dan naar de mailing-lijsten kunnen posten met eender welk van de adressen in het Return-Path.

• Ik zie de mailing-lijst vanaf de Gmane nieuws gateway. Kan ik posten naar deze lijst?
  • zie voorgaande FAQ.

• Ik werd uitgeschreven uit één van de mailing-lijsten. Wat is er gebeurd?
  • Er zijn twee mogelijke redenen: Als je account teveel bounces genereert zal je automatisch uitgeschreven worden. Schrijf alstublieft opnieuw in met een meer betrouwbare account. Als we ook maar één out of office notification van je vakantie-programma ontvangen, zal je adres uitgeschreven worden en voor altijd geband van onze mailing-lijst. Onze excuses daarvoor, er lopen gewoon te veel idioten rond.

• Hoe schakel ik het toezenden van emails uit van een mailing-lijst waarop ik geabonneerd ben?
  • Stel je voor dat je geabonneerd bent op clamav-users. Ga dan naar http://lists.clamav.net/mailman/listinfo/clamav-users en geef je email adres in onderaan de pagina. Klik op Unsubscribe or edit options. Op de volgende pagina geeft u uw passwoord in en drukt u op Log in. Onder Your clamav-users Subscription Options kiest u voor Disabled in plaats van Mail delivery en drukt vervolgens op Submit My Changes onderaan de pagina.

Varia

• Kan phishing beschouwd worden als spam? ClamAV zou dit niet mogen herkennen als een soort malware.
  • Vanaf release 0.90 laat ClamAV je kiezen of je phish als malware wil detecteren of niet. Dit zou een einde moeten maken aan de eindeloze bedreigingen van onze mailing lijsten. Tot ziens, en bedankt voor alle phish.

• Kan ik het nieuwe database formaat converteren naar het oude?
  • Jazeker, installeer een recente versie van sigtool en gebruik: sigtool --unpack-current daily.cvd; sigtool --unpack-current main.cvd

• Hoe lees ik de inhoud van de CVD bestanden?
  • Zie de vorige FAQ.

• Ik gebruik ClamAV in een productie omgeving en een gloednieuw virus is niet herkend door ClamAV. Hoe lang moet ik wachten vooraleer ClamAV dit virus kan filteren?
  • Je hoeft helemaal niet te wachten! Zoek een definitie voor dat virus en pas je virus database hieraan aan (zie signatures.pdf in de map doc/). Denk eraan een voorbeeld van het virus te bezorgen aan het virusdb team.

• Waarom benoemt ClamAV virus XXX met een andere naam?
  • Dit gebeurt gewoonlijk wanneer we een definitie toevoegen voordat andere AV leveranciers dat doen. Er is op dat moment geen bekende naam beschikbaar en we moeten er zelf één uitvinden. Het virus enkele dagen later hernoemen zou mensen nog meer in verwarring brengen, dus behouden we gewoonlijk de naam voor dat virus. De enige uitzondering is wanneer een nieuwe naam vastgesteld wordt vlak na het toevoegen van de definitie.

• Ik krijg veel valse meldingen over Oversized.zip
  • Als een bestand de waarde van ArchiveMaxCompressionRatio overschreidt (zie die clamd.conf man pagina), wordt het beschouwd als een logische bom en gemarkeerd als oversized.zip. Probeer je ArchiveMaxCompressionRatio instelling te verhogen.

• Wat is PUA? Ik krijg veel valse meldingen met de naam PUA.*
  • Met de release van ClamAV 0.91.2 introduceerden we de optie om te scannen voor Potentially Unwanted Applications (mogelijk ongewenste applicaties). De PUA database bevat detecties voor applicaties die op zich geen kwaad doen maar die gebruikt kunnen worden in een kwaadaardige of ongewenste context. Bijvoorbeeld: Een tool om passwoorden van een systeem op te lijsten kan handig zijn zolang de persoon die de tool gebruikt hiervoor geauthoriseerd is. Dezelfde tool kan echter ook gebruikt worden om passwoorden van een systeem te stelen. Om de PUA database te gebruiken kan je de clamwin-optie—detect-pua gebruiken of je kan deze optie aanzetten in het configuratiebestand van clamd (voeg “DetectPUA yes” toe). Momenteel raden we het gebruik van PUA NIET aan in productieomgevingen, omdat de detectie nog te agressief zou kunnen zijn en daardoor vele valse meldingen (false positives) kan veroorzaken. In één van de volgende releases zullen we bijkomende functionaliteit voorzien voor het fijnregelen zodat je dit beter kan aanpassen aan verschillende installaties. OPMERKING: Een detectie als PUA vertelt je NIET of een applicatie goed of slecht is. Het zegt alleen dat een bestand MISSCHIEN ongewenst!

• Kan ClamAV geïnfecteerde bestanden herstellen?
  • Neen, dat kan het niet. We zullen ondersteuning voor het herstellen van OLE2 bestanden toevoegen in één van de volgende releases. Voor het herstellen van andere bestandstypen zijn geen plannen. Hiervoor zijn vele redenen: virussen uit bestanden halen is heden ten dage meestal nutteloos. Het is zeer zeldzaam dat er na het opkuisen nog een nuttig bestand overblijft, en zelfs als dat zo is, kan je het dan vertrouwen?

• Als ik clamscan gebruik, is er dan een mogelijkheid om te weten welke boodschap in een mbox bestand geïnfecteerd is?
  • Hier zijn twee oplossingen: Voer clamscan --debug op, zoek voor Deal with email number xxx. Daarnaast kan je de mbox converteren naar het Maildir formaat, clamscan hierop loslaten en daarna terug converteren naar mbox formaat. Er zijn vele tools beschikbaar om te converteren naar en van Maildir formaat: formail, mbox2maildir en maildir2mbox.

• Ik gebruik ClamAV en amavisd-new en zie de volgende foutmelding in mijn email log amavis: Clam Antivirus-clamd FAILED – unknown status:/var/lib/amavis/amavis-20060917T120205-21416/parts: lstat() failed. ERROR\n amavis: WARN: all primary virus scanners failed, considering backups . Wat is er aan de hand?
  • Raadpleeg aub de Wiki.

• Ik gebruik Qmail + Qmail-Scanner + ClamAV en zie de volgend foutmelding in mijn email logs: clamdscan: corrupt or unknown clamd scanner error or memory/resource/perms problem. Wat is er aan de hand?
  • Raadpleeg aub Wiki.

• Hoe gebruik ik ClamAV met p3scan?
  • Raadpleeg aub Wiki.

• Welke platformen worden ondersteund?
  • Clam AntiVirus werkt met Linux®, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X, Cygwin B20 op verschillende architecturen zoals Intel, Alpha, Sparc, Cobalt MIPS boxes, PowerPC, RISC 6000.

• Waar vind ik meer informatie over ClamAV?
  • Lees aub de volledige documentatie in pdf/ps formaat. Je vindt deze in het pakket of in de pagina documentatie van deze website. Je kan ook zoeken in de mailing lijst archieven. Als je het antwoord niet vindt, kan je ondersteuning vragen in de clamav-users mailing-lijst, maar zoek alstublieft eerst in de archieven! Zorg er ook voor dat je geen HTML boodschappten inzendt en dat je niet top post (bovenaan een bericht antwoorden): dit gaat in tegen de netiquette en vermindert je kans op een antwoord.

• Hoe kan ik meewerken aan het ClamAV project?
  • Er zijn vele manieren om mee te werken aan het ClamAV project.

We doen ons best om de gelocaliseerde versie van deze website up to date te houden. Dat is echter niet altijd mogelijk. Bekijk alstublieft de Engelse versie voor de recentste informatie.