Krotitelé virů - Virus Buster

14. 11. 2003
Doba čtení: 5 minut

Sdílet

Zdá se, že pokud si uděláme statistiku zemí původu antivirových a bezpečnostních programů vůbec, musíme dojít k závěru, že největší část z nich vzniká v zemích bývalého východního bloku. Vedle rumunské firmy Softwin coby producenta programu BitDefender, ruské firmy Kaspersky Labs atd. je zde maďarská společnost VirusBuster Ltd., která nabízí stejnojmenný antivirový produkt.

Portfolio programů VirusBuster je velice široké. Kromě VirusBusteru MailShield for SMTP a Virus Busteru for Linux, které budou předmětem dnešní recenze, jsou k dispozici ještě stejné produkty určené pro OpenBSD a FreeBSD a dále pro servery Windows a Novell, pracovní stanice Windows, MS Office (jsem sám, koho překvapí existence antiviru pro kancelářský balík?) a Novell GroupWise.

Jak už to tak u antivirů bývá, jejich fungování se posuzuje velice obtížně, protože jejich kvality lze posoudit až časem a zkušenostmi. Skutečnost, že oba produkty nalezly všechny viry v mém skromném archivu, ještě neznamená, že tomu tak bude i u nových virů. Proto se v téhle oblasti zdržím hodnocení a budu se soustředit především na technické aspekty věci.

Virus Buster for Linux

Prvním testovaným programem je řádkový antivirový scanner Virus Buster for Linux. Jeho možnosti jsou jednoduché – prohledává soubory podle zadané specifikace a upozorňuje na pravděpodobně zavirované soubory. V případě, že najde zavirovaný soubor, umí vir odstranit (ne vždy), přesunout do karantény, změnit jeho příponu, nebo jej smazat.

Program pracuje pouze ve znakovém prostředí a ani se nepokouší o implementace jakékoliv grafické nadstavby. Díky tomu má ovšem jen velmi skromné požadavky na hardware (386, 8 MB RAM a 2.5 MB volného místa).

Instalace programu je velice jednoduchá. O všechno potřebné se postará shellový skript, který nakopíruje binární soubory vbusteru do adresáře /usr/lib/vbuster, nainstaluje symlinky a manuálovou stránku. Pak již je možné program používat prostřednictvím binárky vbuster.

Nevýhodou Virus Busteru for Linux je skutečnost, že jej nelze koupit samostatně, ale pouze v rámci jiného produktu Virus Buster. K jeho používání si tedy musíte koupit například verzi Virus Buster for Windows a licenci k používání linuxové (nebo DOSové, OpenBSD, příp. FreeBSD) verzi dostanete v ceně. Jeho výbava je kupříkladu natolik chudá, že distribuční balíček neobsahuje ani základní nástroj na aktualizaci virové datábaze. Tu si v podobě souboru vbuster.vdb musíte opatřit jinak (pomocí jiného programu řady Virus Buster, nebo si ji musíme stáhnout ze stránek výrobce).

VirusBuster MailShield for SMTP

Jedná se o implementaci antivirového filtru, který se zaměřuje na viry šířené pomocí elektronické pošty. Naprostá většina antivirových řešení pracuje tak, že zjištěné viry „likviduje“ buď ve fázi doručování mailu do mailboxu (tzn. prostřednictvím programu MDA), nebo antivirové funkce nějakým způsobem začleňuje do předávacího řetězce MTA. VirusBuster na to jde ovšem úplně jinak. Jeden z jeho modulů poslouchá na standardním portu tcp/25, díky čemuž se stává prvním programem, který zpracovává příchozí mail. Prozkoumá jej a v případě, že jej shledá čistým, předá mail ke zpracování jinému programu na jiný počítač nebo na jiný tcp port, kam přemístíme původní MTA. Pokud je ve zprávě odhalen vir, provede se stanovený postup, což typicky znamená jeho zahození. Spíše než o klasický mailový antivir se tedy jedná o jakýsi aplikační firewall pracující na úrovni SMTP, napadá mě například pojem „poštovní firewall“.

Toto řešení mu dává jednu důležitou výhodu, a to nezávislost na konkrétním poštovním serveru. Jiné produkty musí být k dispozici vždy ve verzích pro qmail, Postfix, Exchange, Sendmail, Kerio apod. VirusBuster je díky svému založení kompatibilní univerzálně. Není tedy nutné překompilovávat ani nijak modifikovat váš existující MTA (s výjimkou změny čísla portu, na kterém poslouchá) a instalace je tedy velice jednoduchá. Kromě Linuxu běží VirusBuster ještě v OpenBSD a FreeBSD.

Teoreticky vypadá tento způsob napojení antiviru do poštovního subsystému geniálně, ovšem přináší s sebou také některé problémy, které jsou zkušenějším uživatelům zřejmé na první pohled. Především je to nutnost, aby antivir plnohodnotně komunikoval pomocí protokolu SMTP, musí být schopen rozhodnout o přijetí nebo odmítnutí mailu tak, jako by to učinil MTA, musíme korektně implementovat SMTP relaying apod. Problémy nastanou, pokud náš MTA provádí věci, které Virus Buster neumí, např. nejrůznější antispamové kontroly, SMTP autentizaci apod.

Na druhé straně SMTP komponenta Virus Busteru nabízí poměrně značné možnosti filtrování zpráv. Umožňuje například snadno naplňovat black-listy založené na adrese nebo doméně odesílatele nebo IP adresách serverů. Může také blokovat přílohy mailů na základě přípony nebo velikosti souboru. Potěší, že vše je snadno konfigurovatelné pomocí přehledného konfiguračního souboru.

Instalace VB for SMTP je docela snadná. Nejdříve je potřeba překonfigurovat SMTP server, aby poslouchal na jiném portu než standardním 25. Potom už stačí spustit instalační skript, který umístí binárky, rc skripty a konfigurační soubory na správná místa a zkonfiguruje seznam relayovaných domén. Instalační skript se sám zeptá na vše potřebné. Pak už stačí jen zaktualizovat virovou databázi (prostřednictvím skriptu vdbupdate.sh, což je jen „ukecanější“ rozhraní k příkazu wget) a poté již pomocí rc skriptu spustíme vlastní SMTP komponentu provádějící i antivirovou kontrolu.

Licencování Virus Busteru je dvojí. Buď si koupíme neomezenou licenci na server jako celek, nebo kupujeme většinou cenově výhodnější licence podle počtu provozovaných domén (2–12, pak už se vyplatí koupit server). V době psaní toho článku byla cena základní cena za server 19 668 Kč a cena za dvě domény (nejmenší počet licencí, které lze takto koupit) byla 8 152 Kč. Uvedená cena opravňuje k užívání programu po dobu jednoho roku, po této době je nutné licenci obnovit, což se prodává se slevou 40%. Pro uživatele konkurenčních antivirů (zejména mrtvého RAVu) a akademické uživatele jsou poskytovány další slevy. Částky uvedené v tomto článku se mohou měnit podle kurzu USD, takže neuděláte chybu, když si je porovnáte s aktuálním ceníkem.

bitcoin_skoleni

Program můžeme provozovat i bez licence, ovšem musíme se smířit s tím, že do každé zprávy bude vložen text informující o tom, že server obsahuje neregistrovaný antivirový software. Infikované zprávy také nebude možné léčit – pouze smazat.

Distributorem produktů Virus Buster je tuzemská firma OfficePlus, které tímto děkuji za poskytnutí produktů k recenzi.

Autor článku