Creando firmas hash para ClamAV

por | 11 marzo, 2018

Una firma hash es una firma te tipo estática que identifica a un fichero infectado por un virus o malware.

Crear una firma hash de un fichero infectado es sencillo. Utilizamos para ello la herramienta sigtool.

Supongamos que tenemos un fichero binario que sabemos infectado llamado fichero_infectado. Para crear la firma hash hacemos:

# sigtool --md5 fichero_infectado > firma.hdb

Ahora podemos verificar la firma localmente contra el fichero infectado y comprobar que da positivo:

 

[root@localhost firma hash]# clamscan -d firma.hdb fichero_infectado 
fichero_infectado: fichero_infectado.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1
Engine version: 0.99.3
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.01 MB
Data read: 0.01 MB (ratio 1.00:1)
Time: 0.008 sec (0 m 0 s)
[root@localhost firma hash]#

 

Por último, esta firma debería ser introducida en la base de datos de firmas de virus CDS (CalmAV Virus Database).

Las firmas estáticas son fáciles de crear pero adolecen de varias debilidades. Por una parte identifican a un fichero infectado, lo que obliga a crear firmas diferentes para los diferentes tipos de ficheros infectados. Por otra parte los virus encontraron maneras de mutar, por lo que las nuevas mutaciones no serán detectadas por las firmas creadas con anterioridad.

 

Un pensamiento en “Creando firmas hash para ClamAV

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *