Virenscanner ClamAV: Große Aufräumaktion der Entwickler angekündigt

Der Virenscanner ClamAV soll wieder deutlich schlanker werden. Die Entwickler reduzieren die Virensignaturen, was die Größe der Datenbank spürbar verringert. Zudem fliegen alte Docker-Images raus, es sollen nur noch Images aktiv supporteter ClamAV-Builds weiter gepflegt werden.

Die unter Ciscos Führung laufende Entwicklung des Open-Source-Projekts ClamAV hat auf der Projekt-Webseite die Entrümpelungsaktion angekündigt. „ClamAV wurde erstmals im Jahr 2002 vorgestellt. Seitdem wuchs der Signatursatz unbeschränkt, um der Community so viele Erkennungen wie möglich zu liefern“, leiten die Entwickler ein und erklären weiter: „Durch die kontinuierlich wachsende Datenbankgröße und Nutzerzahl sehen wir uns signifikanten Kostensteigerungen für die Verteilung des Signatursatzes an die Community gegenüber.“

Cisco Talos habe daher evaluiert, wie relevant und effizient alte Signaturen noch sind. Als Ergebnis daraus schicken die Entwickler Signaturen, die aktuell keinen Wert mehr für die Community haben, in Rente. „Unser erster Durchlauf dieser Verrentungsaktion wird eine signifikante Reduktion der Datenbankgröße sowohl für die daily.cvd als auch die main.cvd haben“, führen sie aus.

Aktuelle Bedrohungen erkennen

„Unser Ziel ist es sicherzustellen, dass die Erkennungsinhalte auf aktuell aktive Bedrohungen und Kampagnen ausgerichtet sind. Wir beurteilen dies anhand von Signaturerkennungen, die wir über einen längeren Zeitraum in unseren Datenfeeds und jenen unserer Partner feststellen“, erklärt Cisco Talos. Die Programmierer ergänzen: „Wir werden weiterhin die Erkennungshäufigkeit für ausgemusterte Signaturen bewerten und alte Signaturen bei Bedarf wieder in den aktiven Signaturensatz aufnehmen, um die Community zu schützen.“

In Zukunft wolle man einen Signatursatz zusammenstellen, der die aktuelle Bedrohungslandschaft abbilde. Das könne zu einer noch weiteren Reduktion der Anzahl Signaturen im Signaturensatz führen – neben dem normalen Wachstum, das durch die Abdeckung neuer Bedrohungen kommt.

Die zu erwartende Größenreduktion ist tatsächlich signifikant. Belegte die main.cvd aus dem September noch 163 MByte Platz, schrumpft sie im Dezember auf rund 80 MByte. Die daily.cvd läuft noch stärker ein, von 62 MByte auf etwa 22 Mbyte Größe. Als konkretes Datum für die Umstellung nennt die FAQ der Ankündigung den 16. Dezember 2025.

Auch Docker Hub will Cisco Talos entlasten. Bislang liegen dort um die 300 GByte an ClamAV-Container-Images herum. Einerseits sollen Images entfernt werden, die potenzielle Schwachstellen enthalten. Am Ende sollen andererseits nur noch unterstützte Versionen von ClamAV zu finden sein, was derzeit die LTS-Versionen 1.0, 1.0.9, 1.4 und 1.4.3 sowie 1.5, 1.5.1 und die Zweige „latest“ und „stable“ umfasst.

ClamAV wird vor allem im Unternehmensumfeld eingesetzt. Es ist spezialisiert auf Malware-Erkennung in E-Mail-Anhängen.

Der Entwicklungszweig 1.5 von ClamAV wurde erst im Oktober veröffentlicht. Die Verarbeitung einiger verbreiteter Dokumentenarten wie OLE2-basierte Microsoft-Office-Dokumente oder PDFs verbesserten die Programmierer damit. Anderthalb Wochen später folgte bereits ClamAV 1.5.1, das einige Probleme mit dem neuen Softwarezweig ausbügelte. Zuvor war über ein Jahr lang der Branch 1.4 von ClamAV aktuell.

(dmk)