En busca de virus con Avira en Ubuntu

El otro día leí en Ask Ubuntu sobre la necesidad o no, de un antivirus en Linux, y pocos días antes leí otra noticia en la que se mencionaba que se había concedido la certificación VB100 a F-PROT en la última revisión comparativa de antivirus sobre Ubuntu Linux Server Edition realizado por Virus Bulletin.

La certificación VB100, implica que el antivirus en cuestión cumple con las siguientes características:

  • Probar que puede detectar el 100% del malware listado en ‘In the Wild‘ de la Organización WildList
  • No puede generar un falso positivo cuando escanea un amplio conjunto de ejemplos limpios.

La verdad es que no estaba muy metido en el mundo de los Virus pero me pareció, muy interesante, así que terminé en el siguiente gráfico:

Y estuve ojeando donde quedaba F-prot, y por supuesto, como no podía ser de otra manera, estuve buscando aquel que estuviera mejor posicionado, y así es como me reencontré con Avira Antivir, un viejo conocido de Windows.

No es que a estas alturas, esté preocupado por la posibilidad de tener virus. Tal y como mencionan en Ask Ubuntu, y en función de mi propia experiencia, en los varios años, que llevo en Ubuntu, todavía no me he encontrado con un sólo Virus.

Ahora bien, ya que tu no te vas a ver infectado, tampoco se trata de ser un transmisor. Por esta razón, es interesante escanear de vez en cuando tu equipo, como ya comenté en En busca de virus y en Antiviral, en busca de virus.

Características de Avira

Sin embargo, el problema de ClamAV, es que no te permite eliminar el virus (aunque siempre puedes borrar el archivo en cuestión). Así que primero comencé por F-prot, pero posteriormente instalé Avira, y me quedé verdaderamente sorprendido. Realmente está pensado en Linux:

  • Sencilla instalación mediante un script
  • Un escáner para el terminal, que te permite buscar por virus, troyanos, gusanos
  • Un demonio residente en memoria que te permite detectar virus y aplicaciones indeseables. Esto es lo que no tengo muy claro, porque en principio, no tiene que ser necesario, sobre todo en el caso de un equipo de sobremesa, a lo mejor en el caso de un servidor, si que es necesario, puesto que aquí intervienen otras máquinas que pueden estar compartiendo paquetes infectados.
  • Deteción heurística de macrovirus
  • Busqueda recursiva en archivos anidados.
  • Actualización automática tanto del antivirus como del archivo de virus.
  • Funciones comprensivas de mensajes y avisos para el administrador
  • Programa de comprobación integral que asegura que el sistema de antivirus está funcionando de manera correcta siempre.

División de Avira

Avira se divide en los siguientes comonentes:

  • AntiVir Engine. El motor de escaneo y reparación de Avira. Además lo utilizan el resto de productos AntiVir
  • AntiVir Guard. Se trata de un demonio residente en memoria, que se encarga de monitorizar a todos los usuarios que tienen acceso a la red, protegiendo todos los archivos de virus y programas indeseables. Bloquea de forma inmediata los archivos infectados, renombrándolos, reparándolos o moviéndolos.
  • Antivir Command Line Scanner. Se trata de el comando a utilizar en el terminal. Te permite aislar y/o borrar archivos infectados y macros sospechosas, y te proporciona un gran numero de opciones. Evidentemente, lo puedes integrar con tus propios scripts.
  • Avira Updater. Este hace lo que te imaginas. Se encarga de descargar las actualizaciones tanto de la aplicación como del archivo de virus e instalarlo manualmente o de forma automática. También puedes personalizar lo que quieres actualizar, si solo el antivirus o también el archivo de virus

Licencia

Avira Antivir no es software libre como ClamAV, pero es gratuito. Dependiendo de las necesidades de cada uno y el grado de protección, tiene que replantearse el antivirus a utilizar.

Instalación

Lo primero es descargar el archivo de instalación, que lo puedes encontrar en la página de Avira. También lo puedes descargar directamente desde el terminal:


wget 

lo siguiente es descomprimir el archivo:


tar xvzf antivir_workstation-pers.tar.gz

El script contenido en el archivo realiza varias operaciones:

  • Comprueba la integridad de los archivos
  • Comprueba que tienes los permisos para la instalación (tienes que ser roor)
  • Copia los archivos del programa sobreescribiendo aquellos que son obsoletos
  • Copia los archivos de configuración. Si existen archivos, el script se encarga de reescribirlos.
  • Opcionalmente crea un enlace para que AntiVir se pueda utilizar en cualquier carpeta
  • Opcionalmente instala un el AntiVir Guard (el demonio residente en memoria)
  • Opcionalmente instala un plugin para Gnome
  • Opcionalmente instala el actualizador
  • Opcionalmente configura Avira Updater y AntiVir Guard para que se arranque al inicio de la sesión

Vamos…, en el terminal dentro de la carpeta que contiene los archivos de instalación:


sudo ./install

0001_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

Lo primero es aceptar la licencia, recuerda que no se trata de software libre, aunque si gratuito para uso personal.

0002_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

El siguiente paso es la configuración de las actualizaciones:

0003_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

Te pregunta si quieres iniciarlo como una tarea de cron:

0004_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

La regularidad de las actualizaciones:

0005_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

Y entonces ya pasa a instalar la aplicación principal:

0006_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

Si quieres instalar el plugin para Gnome:

0007_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1

Una vez has terminado con la instalación, lo primero que tienes que hacer es actualizar para tener el último registro de virus, así como el motor del antivirus totalmente actualizado:

0012_atareao@zorita: -home-atareao-Downloads-antivir-workstation-pers-3.1.3.4-1


sudo /usr/lib/AntiVir/guard/avupdate-guard --product=Guard

Configuración

Tienes que hacer un mínimo de configuración de Avira, para ello tienes que editar avguard.conf


sudo gedit /etc/avira/avguard.conf

Número de demonios: NumDaemons 3
Reparar infectados: RepairConcerningFiles

También tienes que configurar avscan.conf:


sudo gedit /etc/avira/avscan.conf

Reparar infectados: RepairConcerningFiles yes
Acción a realizar al detectar un virus: AlertAction quarantine
Seguir enlaces simbólicos: FollowSymlink yes

Escanear

Una vez terminado todo este rollo, nos queda ponernos a escanear. Para ello primero tenemos que lanzar al vigilante, en el caso de que no esté iniciado.


sudo avguard start

Si no sabes si el demonio está iniciado, en el terminal:


sudo avguard status

Y ahora a realizar un escaneo total del todo. Escanea todos los archivos (–scan-mode=all), busca todo tipo de malware (–detect-prefixes=alltypes), escanea todas las subcarpetas (-s) y todos los archivos comprimidos (–scan-in-archive). A continuación indicamos el directorio. En este caso el directorio raíz (/)


avscan --scan-mode=all --detect-prefixes=alltypes -s --scan-in-archive /

Si quieres escanear e intentar desinfectar y en caso de no conseguirlo borrar utilizas:


avscan --scan-mode=all -e --alert-action=delete

En fin, como ves las opciones son múltiples y variadas, así que te recomiendo que le pegues un ojo al manual de Avira y escanees para evitar ser un propagador.

9 comentarios en “En busca de virus con Avira en Ubuntu

  1. de primer nivel como siempre, excelente

    hace mucho que sabia de la existencia de avira para linux, pero no me habia sido posible instalarlo hasta ahora

    de corazon, gracias.
    ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::..
    may the source be with you

  2. Disculpad la ignorancia. Lo instalé cuando se publicó esta entrada. Ahora tengo un programa escondido en mi ordenador que no aparece en ningún lugar, lo cual no me hace mucha gracia. Dentro de dos semanas quizás se me olvide y se queda para la eternidad. Mientras tanto me siento espiado y no sé cómo desinstalarlo. Es más, si en un terminal tengo que dirigirme al directorio en el que está instalado voy bastante pez. No sé si puedo instalar otro antivirus al mismo tiempo, por ejemplo Avast, al que le pueda decir ahora te paras y ahora escaneas todo lo que se me antoje en mi ignorante, pero libre, conciencia. Disculpad de nuevo, pero ¿Podríais ayudarme a desinstalarlo y alvidarme de estas escondidas armas por causa de las cuales intento escaparme del amigo Windows? Es que n sé usar un terminal para hacer más cosas que pegar y copiar, pero busco en donde es evidente que deben aparecer las cosas que me importan, en aplicaciones y esos menús y ¡No está! Yo al menos no lo veo. Antes que cualquier otra cosa debería haber empezado dando gracias.

    1. Hola,

      para desinstalar, sigues los siguientes pasos:
      wget http://dlpe.antivir.com/package/wks_avira/unix/en/pers/antivir_workstation-pers.tar.gz
      tar xvzf antivir_workstation-pers.tar.gz
      cd antivir-workstation-pers-3.1.3.5-0/

      Ahora das permiso de ejecución al script de desinstalación:
      chmod +x uninstall

      ejecutas el script, indicando lo que vas a desinstalar:
      sudo ./uninstall –product=Guard

      te hace varias preguntas sobre si quieres hacer copias de seguridad (contestas que no):

      Looking for existing key-files … 1 key-file found
      Would you like to back-up these key-files? [n]
      -> remove /usr/lib/AntiVir/guard/avira_personal.key … done

      Looking for existing Avira AntiVir Guard log-files … 1 log-file found
      Would you like to back-up these log-files? [n]
      -> remove /var/log/avupdate.log … done

      Looking for existing Avira AntiVir Guard conf-files … 11 conf-file found
      Would you like to back-up these conf-files? [n]

      Ya está desistalado, lo puedes comprobar ejecutando:

      sudo ./uninstall, que te volcará algo así como:

      installed products:
      no installed product found

      Saludos

  3. Hola
    Este informe lo muestra avira tras escanear /home en Ubunt
    —— scan results ——
       directories: 1365
     scanned files: 14708
           skipped: 7
            alerts: 0
        suspicious: 0
          warnings: 1
         scan time: 00:03:01
    ————————–
    Me gustaría saber lo que significa exactamente skipped, entiendo que deben ser ficheros que no puede escanear. También me gustaría saber la diferente entre  warnings, suspicious, alerts
    ¿Podrías indicarme algún lugar, tutorial, manual que me ayude a comprender estos conceptos?
    Saludos
    Gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *