<html><body>
<p>Lists, <br>
<br>
 I know that some of folks don't think that doing virus detection with and IDS but Victor Julien and I have developed a preprocessor that can detect virus activity in network traffic, using a clamav c function and the clamav virus database.  On to the preproc, you can enable the ClamAV preprocessor by running ./configure --enable-clamav.  You can specify the include directory by doing ./configure --enable-clamav ---with-clamav-includes=DIR if clamav.h can't be found by the configure or if the dbdir can't be found you may specify with configure by ./configure --enable-clamav --with-clamav-defdir=DIR.  You must have clamav and clamav.h available we do not provide it in the patch.  <br>
<br>
Onto the preprocessor configuration options:<br>
<br>
turn on clamav by going into snort.conf<br>
<br>
preprocessor clamav<br>
<br>
This turns on the defaults for clamav which are to listen on ports 21 25 80 81 110 119 139 445 143<br>
uses the default database location of /var/lib/clamav unless another dbdir was specified at ./configure<br>
Alerts are written to alert logs.<br>
<br>
options are <br>
<br>
preprocessor clamav:  ports {portlist separated by " "}, {flow can be toclientonly or toserveronly or defaults to both} {action option is disabled unless running snort_inline in which case we can drop or reject the packet},{dbdir}<br>
<br>
so <br>
<br>
preprocessor clamav: ports all !25 !443 !22<br>
<br>
<br>
will turn on clamav and will listen for virus activity on all ports except 25 443 22 and write to the alert file if a virus is detected.<br>
<br>
<br>
preprocessor clamav: ports 139 445 21, toclientonly, dbdir /var/lib2/clamav<br>
<br>
will turn on clamav, will listen for virus activity on ports 129 445 21 will only watch traffic that flows to the client, sets the virus-sig database path to /var/lib2/clamav <br>
<br>
<br>
Will try to put together some better documentation...... but either way here is the patch<br>
<br>
depending on OS some may need to run the following command before running configure otherwise it will not configure properly.<br>
<br>
libtoolize -f && aclocal && autoheader && automake && autoconf<br>
or<br>
autoreconf -f<br>
<br>
Regards,<br>
<br>
William Metcalf<br>
<br>
<i>(See attached file: clamav-snortv-2.2.0.diff)</i></body></html>