その理由は単純明快です。ウィルスソフトをインストールしていなかったためです。当たり前ですが、検出ソフトがなければ感染したことに殆ど気づくことがありません。Linuxはウィルスに強いと勝手に思い込みをしているだけなのかも分かりません。
しかしはっきり言えることは、Windowsに感染するウィルスは圧倒的に多く、殆どLinuxには感染しないためパピー単独で使用している場合には安全です。しかしUSBでのファイルのやりとりや、デュアルブートの環境の場合は、LinuxからWindowsへのウィルスの感染が非常に危惧されます。
そんなことを言いながら、そこのところを簡単にメモとしてみました。
前フリが長かったですが、そこで登場するのが ClamAV というアンチウィルスソフトです。これは非常駐・監視型のシンプルなアンチウイルスで、メモリスキャン、自動アップデートができ、多機能ではありませんがシンプルな分使いやすいソフトです。
動作確認したバージョンは以下のとおりですが、ライブラリ不足のものがあるようです。
・Precise5.7.1JP OK
・Slacko5.7 OK
・Pup4.3.1JP2012 NG
・Wary5.5 NG
依存関係ファィルを同梱しコンパイルされたPETファィルは、本家フォーラムにvicmzさんがアップロードされていましたので、使用させていただきました。
ClamAV 0.98 + Clamvtk 1.2
しかし、リンク先のPETファィルは少し古いようで、ウィルスデータベースを更新すると「期限切れ」と文句を言われます。検索エンジンが若干古いですが、ウィルスデータベースを更新できますので使用は可能です。
最新版はフォーラムの一番上にある、スペイン語のリンク先にあるサイトにあります。ここはアルゼンチンのスペイン語版のパピーのサイトのようですが、日本語フォーラムほど盛況ではないようです。お世話になりましたので紹介させてもらいます。
http://mamalibre.no-ip.org/pub/puppylinux/pet_packages-5/
clamav-0.98.3.pet
clamav-daily.pet
clamvtk-1.2.2.pet
今回やることは、
1.PETファィルのインストール
2.ウィルスDBを最新版に更新
3.自動アップデート設定
4.ウィルス検索
5.EICARテストファイルの検出
さてインストールですが、PETファイルをクリックするだけの簡単操作で終了です。メニュー/ユーティリティに登録されていますので、クリックでClamvtkのGUIウインドウが立ち上がります。
まず最初にすることは、メニューの一番上にある Update Virus DB でウィルスデータベースを最新版に更新することです。
更新はすぐに終わり、スペイン語らしき言葉で????と言われます。
もしデータベースを最新版に自動アップデートしたいのであれば、2番目をクリックすれば一発設定可能です。
ウィルスDBの更新が終わりましたので、さっそくウィルス検索をしてみます。元々のClamAVは端末でコマンドライン入力で使用するものですが、今回は GUIのClamvtkをインストールしていますので、ウィルス検索フォルダをフルパスで入力するだけです。
何も入力しないでリターンするとrootを検索しますが、始まるまでに少し時間がかかり、ダンマリ状態となります。結果は画面表示と共に、rootにログが保存されますので、もしもの時は別途確認できます。
/だけ入力し、リターンすると全フォルダとマウントされているHDDのホームフォルダを含めて検索できますが、オールドPCではかなり時間がかかるのを覚悟する必要があります。ちなみにこのオールドPCでは18分かかりました。
他のHDDのパーテーションは、マウントすることで検索できますが、写真等を大量に保存しているとこれもかなり時間がかかります。USBも同様にマウントし、/mnt/sdbXとパスを入力すれば単独で検索できます。
スキャンが終了しますと、画面の最後に「SCAN SUMMARY」という検査結果が表示されます。
----------- SCAN SUMMARY -----------
Known viruses: 3369040
Engine version: 0.98.3
Scanned directories: 12712
Scanned files: 59975
Infected files: 15
Total errors: 6867
Data scanned: 3262.39 MB
Data read: 13124.02 MB (ratio 0.25:1)
Time: 1082.501 sec (18 m 2 s)
アリャ、怪しいファイルが15個検出されました。検出されたファイルを表示させるには、4番の quarantine file をクリックすることで隔離部屋に送られた怪しいファィルを確認できます。 実際は9個しか隔離されてはいませんでした。
しかし、私にはこのファイル名を見ても何のことかサッパリ分かりませんので、バッサリ削除することとします。その後、特に不具合は発生していませんが、気がつかないだけかも知れません。
数回確認作業を繰り返しましたが、普通のWEB閲覧ではほとんど同種類のフアィルが毎回検出されます。これは危ないサイトでも同様の結果でした。
ここで、このウィルスソフトは本当に本物のウィルスを検出しているのかという疑問が沸いてきます。そこで登場するのが EICAR です。ウィキによりますと、EICARテストファイルとは EICAR が開発したウィルス ソフトの応答をテストするためのファイルだそうです。
ウィルスソフトがこのファイルを発見すると、コンピュータウイルスを発見したときと全く同じ形で反応する様になっており、例えばこのファイルをデータ圧縮したりでき、そのような圧縮されたファイルについてもこのファイルを検出できるかをテストすることができるようです。
そこで、EICARのサイトから下記の四種類のテストファイルをダウンロードし、rootへコピーし検出テストを実施してみました。何も入力しないでリターンのみです。
eicar.com
eicar.com.txt
eicar_com.zip
eicarcom2.zip
見事、eicar.com、eicar.com.txtの二個が検出されましたが、ZIP圧縮されたウィルスは検出されませんでした。
rootに保存されたログファイルを確認すると、発見されたウィルスは隔離部屋へ移動されていて、削除待ちとなっています。
つぎに実際の使用場面を想定して、USB起動用にインストールしたPrecise571のフォルダに潜んでいるウィルスを駆除してみます。eicar.comをUSBにコピーし、ClamAVに /mnt/sdb4と入力し検索します。結果は以下のとおり、eicar.comは駆除され、隔離部屋へ移動されました。メデタシ、メデタシ。
EICARのサイトによりますと、eicar.comが検出されればオッケーだそうで特に問題は無いということですが、今回はZIPファイルは検出できませんでした。市販のソフトではZIPは当然検出できると宣伝していますので、まあ、それほど高機能では無いということですね。エーカ、無料ですから。
ほとんど世の中に存在しないLinuxウィルスを検出するアンチウィルスソフトとは、存在価値があるのでしょうか。それは世のため、人のためです。
格言に曰く「ウイルス対策ソフトは あっても効果が全くないことも多いが、あったほうがよい」
安全、安心が一番、
飼いました大きく吠える番犬を