EICAR-Test-File
Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den
version , der blev gennemgået den 27. juni 2020; checks kræver
9 redigeringer .
EICAR (eller EICAR -Test-File - fra European I nstitute for Computer Antivirus R esearch ) er en standardfil, der bruges til at kontrollere, om et antivirus virker . Faktisk er det ikke en virus; når den køres som en DOS COM -fil , udskriver den kun en tekstbesked og vender tilbage til DOS. Programmet kører i miljøer, der understøtter kørsel af 16-bit DOS-software, såsom MS-DOS , OS/2 , Windows 9x og 32-bit Windows NT . Under 64-bit versioner af Windows kører filen ikke.
Selvom COM-filer generelt er binære , indeholder EICAR kun ASCII-tegn . Derfor kan enhver bruger verificere, at deres antivirus virker ved at skrive i en teksteditor (for eksempel i Notesblok ) en teststreng på 68-128 bytes lang [1] og gemme den med .EXE- eller .COM- udvidelsen . CR/LF - tegnene , som editoren kan tilføje til slutningen af filen, påvirker ikke EICAR's funktion. Normalt, hvis den residente overvågning af antivirussen er aktiveret, vises en advarsel efter at have klikket på knappen "Gem".
Antivirus reaktion
Et antivirus, der registrerer denne streng, skal handle nøjagtigt det samme, som når det registrerer en rigtig virus. Derfor, det faktum, at alarmen træner, rapporterer antivirus normalt i virussens navn:
- EICAR Test-IKKE virus!!! ( avast! ),
- EICAR-Test-File ( Kaspersky Anti-Virus ),
- EICAR testfil (ikke en virus!) ( Doctor Web ),
- EICAR-AV-Test ( Sophos ),
- EICAR_Test_File ( RAV ),
- eicar_test_file ( Trend Micro ),
- Eicar-Test-Signatur ( Avira AntiVir ),
- EICAR_Test_File ( FRISK ),
- EICAR_Test (+356) ( Grisoft ),
- Eicar-Test-Signatur ( ClamAV ),
- Eicar.Mod ( Panda Cloud Antivirus ),
- VIRUS:DOS/EICAR_Test_File ( Microsoft Security Essentials , Windows Defender ).
- Eicar testfil ( NOD32 )
- Teststring.Eicar ( Comodo Internet Security , Comodo AntiVirus )
- EICAR_test_file (Virus) ( Outpost Security Suite )
Det er yderst sjældent at finde antivirus, der ikke reagerer på denne test.
Hvad er det til
Selvfølgelig tjekker EICAR ikke, hvor hurtigt udviklere reagerer på vira, og hvor godt inficerede filer kureres - dette kræver en "zoo" af friske vira. Dens opgave er anderledes: at demonstrere antivirussystemets funktionalitet og angive, hvilke objekter der scannes af antivirusprogrammet, og hvilke der ikke er det. For eksempel:
- Der er mistanke om, at computeren er inficeret. Er beboermonitoren aktiv, eller er det lykkedes virussen at deaktivere den?
- En almindelig postorm som VBS.LoveLetter skal igennem flere stadier for at blive inficeret: ankomme til mailserveren via SMTP-protokollen ; boot til en computer ved hjælp af POP3 -protokollen ; tilmeld dig mailklientdatabasen ; på brugerens kommando, udpak i en midlertidig fil og kør. På hvilket tidspunkt vil det blive bemærket?
- Der er mange måder at "trække" et ondsindet program forbi "øjnene" på et antivirus: indkod i Base64 , indlejr i et OLE- objekt Microsoft Word , RAR , JPEG , komprimer med en pakker som UPX . Hvilken af disse vil antivirusprogrammet pakke ud?
- Derudover er antivirus ikke kun lokale, men også netværkstjekende netværkstrafik ; i tilfælde af en konfigurationsfejl, vil de enten indlæse serveren med unødvendigt arbejde, eller omvendt springe ondsindede filer over.
- Bare for at se antivirussens reaktion: for eksempel i de gamle versioner af Kaspersky antivirus , da der blev opdaget en virus, var der et højt svinehvin [2] .
For at tjekke, hvad antivirussens reaktion vil være, kan du selvfølgelig også bruge en "live" virus - men det er "som at sætte ild til en brandspand for at tjekke en brandalarm ". [3] Til dette blev der foreslået en standardiseret fil, der ikke bærer en ondsindet belastning.
COM-fil
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FIL!$H+H*
Denne COM -fil udskriver følgende meddelelse, når den køres:
EICAR-STANDARD-ANTIVIRUS-TEST-FIL!
vender derefter kontrollen tilbage til DOS .
Noter
- ↑ https://www.virusbtn.com/pdf/magazine/2003/200306.pdf
- ↑ Arkiveret kopi (link ikke tilgængeligt) . Hentet 25. juli 2017. Arkiveret fra originalen 13. april 2018. (ubestemt)
- ↑ EICAR hjemmeside . Hentet 30. december 2009. Arkiveret fra originalen 7. januar 2010. (ubestemt)
Se også