clamavで特定のシグネチャを除外する方法

前回は、特定のファイルを除外する方法だったが、今回は特定のシグネチャ(シグネチャって言うか定義と言うか適切な表現がわからん)を除外する方法。

今回除外するシグネチャ

Pdf.Exploit.CVE_2016_4207-1

元々、最近ウィルスじゃない普通のPDFが誤検知されることが多く、全てこの定義で誤検知されていた。んで、この定義だけ無効にしたいって話。

前回も書いたけど、古いバージョンでは対応してないかもしれない。

今回の環境。centos7でepelで入れたはず。

$ clamscan -V
ClamAV 0.98.7/22269/Thu Sep 29 06:39:27 2016

1 2	$ clamscan -V ClamAV 0.98.7/22269/Thu Sep 29 06:39:27 2016

除外方法は、clamavのパターンファイルが入るディレクトリに、local.ign2ってファイルを作って、その中に除外したい定義を書いてあげる。

# echo "Pdf.Exploit.CVE_2016_4207-1" >> /var/lib/clamav/local.ign2

1	# echo "Pdf.Exploit.CVE_2016_4207-1" >> /var/lib/clamav/local.ign2

自分の環境では、パターンファイルディレクトリは、/var/lib/clamavだった。

たぶんlocal.ign2のファイル名は、拡張子さえ(.ign2)になってればなんで良さそう(未検証)。

あと、clamdの場合はデーモンの再起動が必要。