参考:https://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/
ウィンドウのアンチウィルスで有名なKasperskyがLINUX用のアンチウィルスソフト、Kaspersky Virus Removal Tool for Linux が出たので試してみる
まずはダウンロード、https://www.kaspersky.com/downloads/free-virus-removal-tool
すると下の画面が開くので

downloadをクリックすると

が表示されるので、3つあるチェックボックスをチェックし、Accept をクリックし、好きな場所にkvrt.runを保存。このソフトは常駐ソフトではないので、このkvrt.runを走らせてウィルスチェックをする。試しに走らせるがその前にこのプログラムに実行権限を与える。ノーチラス(ウィンドウのエクスプローラー)でこのファイルを選び右クリックでプロパティーを選び

でもって、kvrt.exeを走らせるが、https://blog.kaspersky.co.jp/kvrt-for-linux/36511/
にあるように、root権限で実行する事。

そして Start scanをクリックするとスキャンが始まり

スキャンが終了すると

で、右上の QuarantineやReportsなどで状況を見ることが出来る。
ただ、このkvrt.runはウィルスのアップデートなどはしてくれないし、(https://blog.kaspersky.co.jp/kvrt-for-linux/36511/ から引用
KVRT for Linuxには、アンチウイルスデータベースを自動更新するメカニズムがありません。最新の脅威を認識させたい場合は、当社のWebサイトから新しいバージョンのプログラムを毎回ダウンロードする必要があります。そこでホストされているパッケージは1日に数回更新されています。
最新のものを使うにな毎回ダウンロードしないとならないとある。これは後で考えるとして、一々手動でやるのも面倒なので、定期実行のためにcronを使いCLIで走らせる。
参考させてもらった https://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/ によると
# cd kvrtのあるディレクトリ
# ./kvrt.run -- -silent -accepteula
Running with root privileges
Generated directory is </tmp/fb497e860bffa13210288>
Verifying archive integrity... 100% SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux 100%
=================================
Running kvrt with args <>
=================================
compver: 24.0.5.0 x86-64 (Jul 9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
kvrt exited with code <0>
=================================
[root@kvm6 ~]# ./kvrt.run -- -silent -accepteula
Running with root privileges
Generated directory is </tmp/faf476070b5b3ebc14036>
Verifying archive integrity... 100% SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux 100%
=================================
Running kvrt with args <-silent -accepteula>
=================================
compver: 24.0.5.0 x86-64 (Jul 9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
Scan is started
=================================
=================================
Scan is finished with results:
Processed: 16377
Processing errors: 0
Detected: 0
Password protected: 0
Corrupted: 0
=================================
=================================
kvrt exited with code <0>
=================================
processedの数がGUIとCLIでは少し違うがまあ良としよう。
https://www.eicar.org/download-anti-malware-testfile/ から4つのテスト用のウィルスをダウンロードし検査してみる。(下の説明はhttps://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/ の受け売り)
-trace トレースを有効にします。
-tracelevel 「DEBUG」に設定し、イベントログをすべて出力させます。
-custom 検査ディレクトリを指定します。
-processlevel 今回は3に設定し、low~highの範囲すべての脅威を検出させます。
# ./kvrt.run — -accepteula -trace -tracelevel DBG -custom / -processlevel 3 -silent
Running with root privileges
Generated directory is </tmp/b37e793259399d0b19080>
Verifying archive integrity... 100% SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux 100%
=================================
Running kvrt with args <-accepteula -trace -tracelevel DBG -custom / -processlevel 3 -silent>
=================================
compver: 24.0.5.0 x86-64 (Jul 9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
Scan is started
=================================
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar.com>
Threat <EICAR-Test-File> is detected on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D>
Threat <EICAR-Test-File> is detected on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar.txt>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar_com.zip>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicarcom2.zip>
=================================
Scan is finished with results:
Processed: 226696
Processing errors: 0
Detected: 6
Password protected: 0
Corrupted: 0
=================================
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com>
Action <Delete> is selected for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D>
Action <Delete> is selected for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip>
=================================
Disinfection is started
=================================
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <Quarantined>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <CureFailed>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <Deleted>
=================================
Disinfection is finished with results:
Processed: 10
Processing errors: 0
Skipped: 0
Quarantined: 6
Quarantine failed: 0
Cured: 0
Cure failed: 4
Cure on reboot: 0
Deleted: 6
Delete on reboot: 0
Restored: 0
Restore on reboot: 0
=================================
=================================
kvrt exited with code <0>
=================================
テスト用のウィルスがキャッシュにも残っていたので、6個見つかっている。隔離ファイルなどは /var/opt/KVRT2024_dataに保存されている。取り合えず新しいダウンロードはせず、現状のkvrt.runをcronで毎日朝の4時に走らせる
# echo “15 4 * * * root /root/kvrt.run” > /etc/cron.d/KvrtRun
その内、virusを発見した時にメールを送信するようなスクリプトを作ろう。