EICAR-Test-File
Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från
versionen som granskades den 27 juni 2020; kontroller kräver
9 redigeringar .
EICAR (eller EICAR -Test-File - från European I nstitute for Computer Antivirus R esearch ) är en standardfil som används för att kontrollera om ett antivirusprogram fungerar . I själva verket är det inte ett virus; när den körs som en DOS COM -fil , skriver den bara ut ett textmeddelande och återgår till DOS. Programmet körs i miljöer som stöder körning av 16-bitars DOS-programvara, som MS-DOS , OS/2 , Windows 9x och 32-bitars Windows NT . Under 64-bitarsversioner av Windows körs inte filen.
Även om COM-filer i allmänhet är binära , innehåller EICAR endast ASCII-tecken . Därför kan alla användare verifiera att deras antivirus fungerar genom att i en textredigerare (till exempel i Anteckningar ) skriva en teststräng på 68–128 byte lång [1] och spara den med tillägget .EXE eller .COM . CR/LF- tecken som redigeraren kan lägga till i slutet av filen påverkar inte EICAR-funktionen. Vanligtvis, om den inbyggda övervakaren av antiviruset är aktiverat, visas en varning efter att du klickat på knappen "Spara".
Antivirusreaktion
Ett antivirus som upptäcker denna sträng måste agera exakt på samma sätt som när det upptäcker ett riktigt virus. Därför, det faktum att larmet tränar, rapporterar antiviruset vanligtvis i virusets namn:
- EICAR Test-INTE virus!!! ( avast! ),
- EICAR-Test-File ( Kaspersky Anti-Virus ),
- EICAR testfil (inte ett virus!) ( Doctor Web ),
- EICAR-AV-Test ( Sophos ),
- EICAR_Test_File ( RAV ),
- eicar_test_file ( Trend Micro ),
- Eicar-Test-Signatur ( Avira AntiVir ),
- EICAR_Test_File ( FRISK ),
- EICAR_Test (+356) ( Grisoft ),
- Eicar-Test-Signatur ( ClamAV ),
- Eicar.Mod ( Panda Cloud Antivirus ),
- VIRUS:DOS/EICAR_Test_File ( Microsoft Security Essentials , Windows Defender ).
- Eicar testfil ( NOD32 )
- Teststring.Eicar ( Comodo Internet Security , Comodo AntiVirus )
- EICAR_test_file (virus) ( Outpost Security Suite )
Det är extremt sällsynt att hitta antivirus som inte svarar på detta test.
Vad är det för
Naturligtvis kontrollerar inte EICAR hur snabbt utvecklare svarar på virus och hur väl infekterade filer botas - detta kräver ett "zoo" av färska virus. Dess uppgift är annorlunda: att visa antivirussystemets funktionalitet och ange vilka objekt som skannas av antivirusprogrammet och vilka som inte är det. Till exempel:
- Det finns en misstanke om att datorn är infekterad. Är den boende monitorn aktiv eller har viruset lyckats inaktivera den?
- En vanlig e- postmask som VBS.LoveLetter måste gå igenom flera steg för att bli infekterad: anlända till e-postservern via SMTP-protokollet ; starta upp till en dator med POP3 -protokollet ; registrera dig för e-postklientens databas ; på användarens kommando, packa upp till en temporär fil och kör. I vilket skede kommer det att märkas?
- Det finns många sätt att "dra" ett skadligt program förbi "ögonen" på ett antivirus: koda i Base64 , bädda in i ett OLE- objekt Microsoft Word , RAR , JPEG , komprimera med en packare som UPX . Vilket av dessa kommer antivirusprogrammet att packa upp?
- Dessutom är antivirus inte bara lokala, utan också nätverkskontrollerande nätverkstrafik ; i händelse av ett konfigurationsfel kommer de antingen att ladda servern med onödigt arbete, eller omvänt hoppa över skadliga filer.
- Bara för att se antivirusets reaktion: till exempel, i de gamla versionerna av Kaspersky antivirus , när ett virus upptäcktes, hördes det ett högt grisskrik [2] .
För att kontrollera vad antivirusets reaktion kommer att vara kan du naturligtvis också använda ett "live" virus - men det är "som att sätta eld på en brandbehållare för att kontrollera ett brandlarm ". [3] För detta föreslogs en standardiserad fil som inte bär en skadlig belastning.
COM-fil
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FIL!$H+H*
Denna COM -fil skriver ut följande meddelande när den körs:
EICAR-STANDARD-ANTIVIRUS-TEST-FIL!
återgår sedan kontrollen till DOS .
Anteckningar
- ↑ https://www.virusbtn.com/pdf/magazine/2003/200306.pdf
- ↑ Arkiverad kopia (länk ej tillgänglig) . Hämtad 25 juli 2017. Arkiverad från originalet 13 april 2018. (obestämd)
- ↑ EICAR webbplats . Hämtad 30 december 2009. Arkiverad från originalet 7 januari 2010. (obestämd)
Se även