Infected      : 1         Deleted    : 0    

Modifications : 0         Renamed    : 0    

Suspicious    : 0         Moved      : 0    

Scan time     : 00:00:01  Scan speed : 1087 Kb/s

Другой антивирус F-prot, о котором речь пойдет в следующий раз, выдал сообщение:

Infection: W32/Underscore.A

Очевидно, разработчики ориентируются в первую очередь на новые, недавно появившееся вирусы, и антивирус пока плохо знаком со старой гвардией. Сначала пробуем создать такую сигнатуру при помощи clamscan:

# sigtool -c "clamscan --stdout" -f  /home/sergej/virus_test/test.exe -s "Win32.HLLP.Underscore.36864"

ERROR: String  Win32.HLLP.Underscore.36864 not found in scanner's output.

Please check it and try again.

Does the scanner write to stdout ? It has to.

Опция -с говорит, какую команду запускать, здесь должен быть один из установленных в системе антивирусов, -f задает инфицированный файл, а -s – уникальная строка, которую вывел антивирус, обнаруживший вирус, в большинстве случаев сюда пишем имя обнаруженного вируса. Как видите, при помощи clamscan обнаружить его не получилось, поэтому пробуем Dr.Web.

# sigtool -c "drweb" -f  -f  /home/sergej/virus_test/test.exe -s "Win32.HLLP.Underscore.36864"

Detected, decreasing end 1113799 -> 891039

...

Detected, decreasing end 445519 -> 222759

Not detected at 0, moving forward.

Detected, decreasing end 111380 -> 0