Testovací soubor EICAR
Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od
verze recenzované 27. června 2020; kontroly vyžadují
9 úprav .
EICAR (nebo EICAR-Test-File – od Evropského institutu pro výzkum počítačových antivirů ) je standardní soubor používaný ke kontrole funkčnosti antiviru . Ve skutečnosti to není virus; při spuštění jako soubor COM DOS vytiskne pouze textovou zprávu a vrátí se do DOSu. Program běží v prostředích, která podporují spouštění 16bitového softwaru DOS, jako je MS-DOS , OS/2 , Windows 9x a 32bitový Windows NT . V 64bitových verzích systému Windows se soubor nespustí.
Ačkoli jsou soubory COM obecně binární , EICAR obsahuje pouze znaky ASCII . Každý uživatel si tedy může ověřit, že jeho antivirus funguje tak, že v textovém editoru (například v Poznámkovém bloku ) napíše testovací řetězec o délce 68–128 bajtů [1] a uloží jej s příponou .EXE nebo .COM . Znaky CR/LF , které může editor přidat na konec souboru, neovlivňují činnost EICAR. Obvykle, pokud je povolen rezidentní monitor antiviru, se po kliknutí na tlačítko "Uložit" zobrazí varování.
Antivirová reakce
Antivirus, který detekuje tento řetězec, se musí chovat úplně stejně, jako když detekuje skutečný virus. Proto skutečnost, že se alarm trénuje, antivirus obvykle hlásí jménem viru:
- Test EICAR-NE virus!!! ( avast! ),
- EICAR-Test-File ( Kaspersky Anti-Virus ),
- Testovací soubor EICAR (není virus!) ( Doktor Web ),
- EICAR-AV-Test ( Sophos ),
- EICAR_Test_File ( RAV ),
- eicar_test_file ( Trend Micro ),
- Eicar-Test-Signature ( Avira AntiVir ),
- EICAR_Test_File ( FRISK ) ,
- EICAR_Test (+356) ( Grisoft ),
- Eicar-Test-Signature ( ClamAV ),
- Eicar.Mod ( Panda Cloud Antivirus ),
- VIRUS:DOS/EICAR_Test_File ( Microsoft Security Essentials , Windows Defender ).
- Testovací soubor Eicar ( NOD32 )
- Teststring.Eicar ( Comodo Internet Security , Comodo AntiVirus )
- EICAR_test_file (Virus) ( Outpost Security Suite )
Je extrémně vzácné najít antiviry, které na tento test nereagují.
K čemu to je
EICAR samozřejmě nekontroluje, jak rychle vývojáři reagují na viry a jak dobře jsou infikované soubory vyléčeny – to vyžaduje „zoo“ čerstvých virů. Jeho úkol je jiný: demonstrovat funkčnost antivirového systému a označit, které objekty jsou antivirem kontrolovány a které ne. Například:
- Existuje podezření, že počítač je infikován. Je rezidentní monitor aktivní, nebo se ho viru podařilo deaktivovat?
- Běžný poštovní červ jako VBS.LoveLetter musí projít několika fázemi, aby byl infikován: dorazit na poštovní server přes protokol SMTP ; bootování do počítače pomocí protokolu POP3 ; přihlásit se do databáze poštovních klientů ; na příkaz uživatele rozbalte do dočasného souboru a spusťte. V jaké fázi si toho všimnete?
- Existuje mnoho způsobů, jak „přetáhnout“ škodlivý program přes „oči“ antiviru: zakódovat v Base64 , vložit do objektu OLE Microsoft Word , RAR , JPEG , komprimovat pomocí packeru, jako je UPX . Které z toho antivirus rozbalí?
- Kromě toho antiviry nejsou pouze místní, ale také kontrolují síťový provoz ; v případě chyby konfigurace buď zatíží server zbytečnou prací, nebo naopak přeskočí škodlivé soubory.
- Jen abych viděl reakci antiviru: například ve starých verzích Kaspersky antivirus se při detekci viru ozvalo hlasité prasečí pištění [2] .
Abyste si ověřili, jaká bude reakce antiviru, můžete samozřejmě použít i „živý“ virus – ale to je „jako zapálení požárního koše pro kontrolu požárního poplachu “. [3] Za tímto účelem byl navržen standardizovaný soubor, který nenese škodlivé zatížení.
COM soubor
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDNÍ-ANTIVIROVÝ-TESTOVACÍ SOUBOR!$H+H*
Tento soubor COM vytiskne při spuštění následující zprávu:
EICAR-STANDARDNÍ-ANTIVIROVÝ-TESTOVACÍ SOUBOR!
pak vrátí řízení do DOSu .
Poznámky
- ↑ https://www.virusbtn.com/pdf/magazine/2003/200306.pdf
- ↑ Archivovaná kopie (odkaz není dostupný) . Získáno 25. července 2017. Archivováno z originálu 13. dubna 2018. (neurčitý)
- ↑ Web EICAR . Získáno 30. prosince 2009. Archivováno z originálu 7. ledna 2010. (neurčitý)
Viz také