Kasperskyアンチウィルスを試す

参考：https://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/
ウィンドウのアンチウィルスで有名なKasperskyがLINUX用のアンチウィルスソフト、Kaspersky Virus Removal Tool for Linux が出たので試してみる
まずはダウンロード、https://www.kaspersky.com/downloads/free-virus-removal-tool
すると下の画面が開くので

downloadをクリックすると

が表示されるので、３つあるチェックボックスをチェックし、Accept をクリックし、好きな場所にkvrt.runを保存。このソフトは常駐ソフトではないので、このkvrt.runを走らせてウィルスチェックをする。試しに走らせるがその前にこのプログラムに実行権限を与える。ノーチラス（ウィンドウのエクスプローラー）でこのファイルを選び右クリックでプロパティーを選び

でもって、kvrt.exeを走らせるが、https://blog.kaspersky.co.jp/kvrt-for-linux/36511/
にあるように、root権限で実行する事。

そして Start scanをクリックするとスキャンが始まり

スキャンが終了すると

で、右上の QuarantineやReportsなどで状況を見ることが出来る。
ただ、このkvrt.runはウィルスのアップデートなどはしてくれないし、(https://blog.kaspersky.co.jp/kvrt-for-linux/36511/ から引用

KVRT for Linuxには、アンチウイルスデータベースを自動更新するメカニズムがありません。最新の脅威を認識させたい場合は、当社のWebサイトから新しいバージョンのプログラムを毎回ダウンロードする必要があります。そこでホストされているパッケージは1日に数回更新されています。

最新のものを使うにな毎回ダウンロードしないとならないとある。これは後で考えるとして、一々手動でやるのも面倒なので、定期実行のためにcronを使いCLIで走らせる。
参考させてもらった https://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/　によると
# cd kvrtのあるディレクトリ
# ./kvrt.run -- -silent -accepteula

Running with root privileges
Generated directory is </tmp/fb497e860bffa13210288>
Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux  100%  
=================================
Running kvrt with args <>
=================================
compver: 24.0.5.0 x86-64 (Jul  9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
kvrt exited with code <0>
=================================
[root@kvm6 ~]# ./kvrt.run -- -silent -accepteula
Running with root privileges
Generated directory is </tmp/faf476070b5b3ebc14036>
Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux  100%  
=================================
Running kvrt with args <-silent -accepteula>
=================================
compver: 24.0.5.0 x86-64 (Jul  9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
Scan is started
=================================
=================================
Scan is finished with results:
	Processed: 16377
	Processing errors: 0
	Detected: 0
	Password protected: 0
	Corrupted: 0
=================================
=================================
kvrt exited with code <0>
=================================

processedの数がGUIとCLIでは少し違うがまあ良としよう。
https://www.eicar.org/download-anti-malware-testfile/ から４つのテスト用のウィルスをダウンロードし検査してみる。(下の説明はhttps://beyondjapan.com/blog/2024/11/kaspersky-virus-removal-tool/ の受け売り）
-trace トレースを有効にします。
-tracelevel 「DEBUG」に設定し、イベントログをすべて出力させます。
-custom　検査ディレクトリを指定します。
-processlevel　今回は3に設定し、low~highの範囲すべての脅威を検出させます。
# ./kvrt.run — -accepteula -trace -tracelevel DBG -custom / -processlevel 3 -silent

Running with root privileges
Generated directory is </tmp/b37e793259399d0b19080>
Verifying archive integrity...  100%   SHA256 checksums are OK. All good.
Uncompressing Kaspersky Virus Removal Tool 24.0.5.0 for Linux  100%  
=================================
Running kvrt with args <-accepteula -trace -tracelevel DBG -custom / -processlevel 3 -silent>
=================================
compver: 24.0.5.0 x86-64 (Jul  9 2024 17:36:48)
Product folder </var/opt/KVRT2024_Data>
=================================
Scan is started
=================================
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar.com>
Threat <EICAR-Test-File> is detected on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D>
Threat <EICAR-Test-File> is detected on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar.txt>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicar_com.zip>
Threat <EICAR-Test-File> is detected on object </root/ダウンロード/eicarcom2.zip>
=================================
Scan is finished with results:
	Processed: 226696
	Processing errors: 0
	Detected: 6
	Password protected: 0
	Corrupted: 0
=================================
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com>
Action <Delete> is selected for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D>
Action <Delete> is selected for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt>
Action <Cure> is selected for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip>
=================================
Disinfection is started
=================================
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <Quarantined>
Disinfection action <Quarantine> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <Quarantined>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <CureFailed>
Disinfection action <Cure> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <CureFailed>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.com> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/99A5AFC59CA2D59AB83B2E632DE96A8473DE113D> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/.cache/mozilla/firefox/2vgfr40d.default-default/cache2/entries/E148D57B3989B86344234A70A7D6539BF62576BC> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar_com.zip> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicar.txt> is finished with status <Deleted>
Disinfection action <Delete> for threat <EICAR-Test-File> on object </root/ダウンロード/eicarcom2.zip> is finished with status <Deleted>
=================================
Disinfection is finished with results:
	Processed: 10
	Processing errors: 0
	Skipped: 0
	Quarantined: 6
	Quarantine failed: 0
	Cured: 0
	Cure failed: 4
	Cure on reboot: 0
	Deleted: 6
	Delete on reboot: 0
	Restored: 0
	Restore on reboot: 0
=================================
=================================
kvrt exited with code <0>
=================================

テスト用のウィルスがキャッシュにも残っていたので、6個見つかっている。隔離ファイルなどは /var/opt/KVRT2024_dataに保存されている。取り合えず新しいダウンロードはせず、現状のkvrt.runをcronで毎日朝の4時に走らせる
# echo “15 4 * * * root /root/kvrt.run” > /etc/cron.d/KvrtRun
その内、virusを発見した時にメールを送信するようなスクリプトを作ろう。