Tag ClamAV

Aunque Linux es conocido por su seguridad y resistencia frente a ataques informáticos, no es inmune al malware. La creciente popularidad de Linux en servidores, dispositivos IoT y escritorios ha llevado a que los ciberdelincuentes también enfoquen sus esfuerzos en este sistema operativo.

Por eso, es fundamental que los usuarios adopten buenas prácticas de seguridad y conozcan cómo prevenir, detectar y eliminar malware.

En este artículo te explicamos de forma clara y práctica cómo proteger tu sistema Linux contra software malicioso.

🔍 ¿Qué tipo de malware afecta a Linux?

Antes de entrar en materia, es importante entender que el malware en Linux puede manifestarse de diversas formas:

• Rootkits: herramientas diseñadas para esconder procesos maliciosos.
• Troyanos: disfrazados como software legítimo.
• Worms (gusanos): se propagan por redes Linux mal configuradas.
• Backdoors: permiten acceso remoto sin autorización.
• Cryptominers: software que consume recursos para minar criptomonedas sin permiso.
• Botnets: convierten tu equipo en parte de una red de dispositivos infectados.

🧰 Herramientas para detectar y eliminar malware en Linux

1. ClamAV

Antivirus de código abierto ampliamente utilizado para escanear archivos en busca de virus, troyanos y malware.

sudo apt install clamav

sudo freshclam # actualiza la base de datos

clamscan -r /home # escanea tu carpeta personal

2. Chkrootkit

Herramienta que detecta posibles rootkits en tu sistema.

sudo apt install chkrootkit sudo chkrootkit

3. rkhunter (Rootkit Hunter)

Escanea rootkits, backdoors y exploits locales. Analiza cambios sospechosos en archivos del sistema.

sudo apt install rkhunter

sudo rkhunter --update

sudo rkhunter --check

4. Lynis

Auditoría de seguridad para analizar vulnerabilidades y configuraciones débiles.

sudo apt install lynis

sudo lynis audit system

🔐 Buenas prácticas para prevenir infecciones

✅ 1. Mantén tu sistema actualizado

Usa siempre las versiones más recientes del kernel y los paquetes. Muchos ataques se basan en vulnerabilidades ya corregidas.

sudo apt update &&

sudo apt upgrade

✅ 2. Instala software solo de fuentes confiables

Evita descargar programas de sitios desconocidos o repositorios no oficiales.

✅ 3. Desactiva servicios innecesarios

Cuantos más servicios estén corriendo, más puertas abiertas tendrá tu sistema.

sudo systemctl disable nombre-del-servicio

✅ 4. Usa un firewall

Linux incluye UFW (Uncomplicated Firewall), fácil de configurar.

sudo apt install ufw

sudo ufw enable

sudo ufw default deny

✅ 5. Activa SELinux o AppArmor

Son sistemas de control de acceso obligatorios que restringen lo que cada aplicación puede hacer.

• En Debian/Ubuntu: AppArmor suele venir activado.
• En Fedora/RHEL: SELinux está incluido por defecto.

🧑‍💻 ¿Y si mi sistema ya está infectado?

Si detectas actividad sospechosa:

1. Desconecta de la red inmediatamente.
2. Revisa procesos activos con top, htop o ps aux.
3. Escanea el sistema completo con ClamAV y Chkrootkit.
4. Cambia contraseñas importantes.
5. Considera respaldar y reinstalar si la infección es grave o ha comprometido archivos del sistema.

Aunque Linux es más seguro que otros sistemas operativos, no debes bajar la guardia. El malware evoluciona, y tu mejor defensa es una combinación de herramientas adecuadas, sentido común y buenas prácticas. Con medidas preventivas y monitoreo constante, tu sistema Linux puede seguir siendo una fortaleza frente a amenazas cibernéticas.

Fuente: www.somoslibres.org

ClamAV 1.3 es la nueva versión del antivirus publicado como software libre (GPLv2) y que ofrece soporte multiplataforma al abarcar oficialmente Linux, Windows y macOS. En esta ocasión, y aunque sorprenda, la novedad más destacada va dirigida a Microsoft, a la cual acompañan nuevas opciones y posibilidades.

Siguiendo el anuncio oficial y lo que hemos expuesto, empezamos con la incorporación de “soporte para extraer y escanear archivos adjuntos que se encuentran en la sección de ficheros de Microsoft OneNote. El análisis de OneNote estará habilitado de forma predeterminada, pero opcionalmente se puede inhabilitar” siguiendo algunas opciones que abarcan la línea de configuración y ficheros de configuración.

La segunda novedad mencionada de ClamAV 1.3 es la corrección de un problema que aparecía cuando se compilaba el antivirus en Haiku y sistemas tipo BeOS. Haiku es uno de los proyectos más prometedores entre los sistemas operativos para escritorio que son publicados como código abierto, pero el hecho de emplear la permisiva licencia MIT despierta las susceptibilidades de algunos.

A partir de ahora el daemon (clamd) verificará en el inicio si existe el directorio especificado por TemporaryDirectory en el fichero de configuración clamd.conf. En caso de no ser así, el daemon imprimirá un mensaje de error y se cerrará con el código de salida 1. Por otro lado, se ha añadido la capacidad de reconocer el tipo de fichero que consiste en Python compilado (.pyc) y el soporte para descifrar PDF con contraseñas vacías ha sido mejorado.

Otra cosa importante es que, en caso de configurar para compilar bibliotecas estáticas, CMake instalará a partir de ahora las bibliotecas estáticas libclamav_rust, libclammspack, libclamunrar_iface y libclamunrar requeridas por libclamav.

De entre las correcciones tenemos todavía más refinamiento para el descifrado de ficheros PDF con contraseñas vacías, la de un warning que saltaba cuando se escaneaban algunos ficheros HTML, para un problema cuando se compilaba ClamAV en formato RPM en algunas configuraciones, la solución de un problema relacionado con la impresión de MaxScanSize cuando su valor superaba los 4GB, además de otra corrección para un posible cuelgue cuando se procesaban ficheros de Visual Basic for Applications (VBA) sobre HP-UX/IA de 64-bit.

Todos los detalles sobre ClamAV 1.3 están publicados en el anuncio oficial, mientras que el antivirus puede ser obtenido para Linux (Deb y RPM), macOS y Windows a partir de la sección de descargas del sitio web oficial. También han sido publicadas las versiones 1.2.2 y 1.0.5 con dos fallos de seguridad corregidos.

Fuente: www.muylinux.com

ClamAV 1.0 ha sido publicada como la primera versión “redonda” de este antivirus que es software libre (GPLv2) y multiplataforma. Este lanzamiento sorprende un poco si tenemos en cuenta que se trata de un desarrollo muy veterano con dos décadas a sus espaldas, pero, por otro lado, tampoco es que estas situaciones sean raras de ver en el mundo del FLOSS.

La primera versión de ClamAV en ver la luz fue la 0.01 en el año 2002. No se trata de una solución antimalware tradicional, sino que más bien es un “kit de herramientas antivirus diseñado especialmente para escanear correo electrónico en puertas de enlace de correo. Proporciona una serie de utilidades que incluyen un demonio de subprocesos múltiples flexible y escalable, un escáner de línea de comandos y una herramienta avanzada para las actualizaciones automáticas de las bases de datos. El núcleo del paquete es un motor antivirus disponible en forma de biblioteca compartida”. Solo tiene soporte de detección en tiempo real en Linux.

Continuando con la historia, ClamAV fue adquirido en 2007 por Sourcefire, que se hizo con la marca y los copyrights del producto, aunque el código fuente del software siguió publicado bajo la licencia GPLv2 (esto se puede comparar con lo que pasa con RHEL y los clones de este). Años después, en 2013, Sourcefire fue adquirida por Cisco, así que ClamAV pertenece a esta última desde entonces, aunque por suerte mateniendo la licencia GPLv2.

Ahora sí, vamos a mencionar las novedades de ClamAV 1.0. Para empezar, está el soporte para descifrar ficheros XLS basados en OLE2 de solo lectura que fueron cifrados con la clave predeterminada. El uso de la clave por defecto aparecerá a partir de ahora en los metadatos de JSON.

La característica o el modo all-match, que se encarga de continuar escaneando dentro de una coincidencia (fichero) para hallar más coincidencias, ha sido reescrita con un nuevo código que es más confiable y fácil de mantener. Por otro lado, se han agregado varios casos de prueba para verificar el comportamiento correcto de todas las coincidencias.

Continuando con más cosas del modo all-match, está la habilitación de las firmas de reconocimiento de tipo de archivo incrustadas para que coincidan cuando una firma de malware también coincidió en un escaneo de la misma capa, la habilitación de las firmas de bytecode en modo all-match después de producirse una coincidencia, además de haberse corregido algunos problemas con el uso del modo all-match.

Otra novedad interesante de ClamAV 1.0 es la incorporación de una nueva devolución de llamada (callback) en la API pública para inspeccionar el contenido de un fichero durante un proceso de escaneo en una capa de extracción del archivo, la cual se encuentra definida en clamv.h.

Para terminar con lo más importante de este lanzamiento, se ha agregado una nueva función a la API pública para desempaquetar archivos de firmas CVD, la opción de compilar con una biblioteca TomsFastMath externa ha sido eliminada (un cambio sin el cual la base de datos y la validación del certificado de autenticación EXE/DLL de Windows pueden fallar), además de un Dockerfile y unos scripts de soporte movidos del repositorio principal de ClamAV a otro nuevo con el fin de facilitar la actualización de las imágenes y la resolución de los problemas.

Todos los detalles sobre ClamAV 1.0 están publicados en el anuncio oficial, mientras que el antivirus puede ser obtenido para Linux (Deb y RPM), macOS y Windows a partir de la sección de descargas del sitio web oficial.

Fuente: www.muylinux.com