Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

EICAR

Antywirus zainstalowany na komputerze z systemem Windows jest tak samo często spotykany jak powłoka [URL=http://pl.wikipedia.org/wiki/Bash]Bash[/URL] w Linuksie. Ja nie wyobrażam sobie Linuksa bez linii poleceń tak samo jak posiadanie Windowsa bez antywirusa. I czasem zaczynam się zastanawiać, czy to oprogramowanie antywirusowe rzeczywiście działa.

W 1990 roku takie samo pytanie zadał sobie [URL=http://www.eicar.org/]Europejski Instytut Badań Wirusów Komputerowych[/URL] (ang. European Institute for Computer Antivirus Research, EICAR). Głównym celem instytutu było opracowywanie metod, które powodowały zwiększenie skuteczności oprogramowania antywirusowego.

Jednym z ciekawych pomysłów tego projektu było stworzenie testowego wirusa, a raczej pliku, który wzbudzał alarmy w systemach antywirusowych. Plik taki składa się ze znaków ASCII. Plik taki wygląda następująco:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Wystarczy teraz ten ciąg znaków zapisać do pliku z rozszerzeniem .com i uruchomić lub przeskanować programem antywirusowym. W przypadku jego prawidłowego działania powinna pojawić się informacja o wykryciu zagrożenia w utworzonym pliku. Sam program jest niegroźny. Powoduje wyświetlenie na ekranie ciągu znaków

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Szczegółowa analiza pliku znajduje się na stronie [URL=http://mirror.href.com/thestarman/asm/eicar/eicarcom.html]mirror.href.com[/URL]. Program można pobrać również ze strony [URL=http://www.eicar.org/download/eicar.com]eicar.org[/URL]. 

Komentarze

0 nowych
Dimatheus   22 #1 02.03.2010 14:00

@ paszczak000 - "Wystarczy teraz ten ciąg znaków zapisać do pliku z rozszerzeniem .com i uruchomić lub przeskanować programem antywirusowym."
Bardziej czułe programy nie powinny w ogóle pozwolić na zapisanie pliku z taką zawartością - nie ważne czy w rozszerzeniu *.com czy nawet *.txt. Tak jest na przykład z Norton'em 2009. Ale oczywiście taki test jest najszybszą metodą do sprawdzenia, czy program antywirusowy w ogóle działa.

Pozdrawiam,
Dimatheus

Jim1961   7 #2 02.03.2010 20:22

mi avast 5 home momentalnie przeniósł plik do kwarantanny przy zmianie rozszerzenia na com, czyli chyba działa

MantisGhost   4 #3 02.03.2010 21:33

Powiedzmy sobie szczerz większość wirusów i syfów jest pisana na zlecenie firm tworzących programy antywirusowe i pochodne bo to wielki biznes jest :). A naprawdę nieliczna ilość syfów jest pisana przez jakąś kanalie rządną władzy i mamony. Tylko o tym się głośno nie mówi prawda ? Bo to temat tabu przecież jest. CO do wierszu poleceń to nie ma systemu który by go nie posiadał, a przynajmniej ja się nie spotkałem z takowym.

paszczak000   6 #4 02.03.2010 22:51

MenuetOS bodajże nie ma comandline ;-)

Extraordinarykid   6 #5 03.03.2010 03:23

Zacznijmy od tego, że przedstawiony przez Ciebie sposób wykrywanie poprawnego działania antywirusów w żaden sposób nie jest w stanie naprawdę pokazać, czy tak jest.
Tylko " podłe antywirusy " nie mają jeszcze zaimplementowanej funkcji rozpoznawania takiego testu.
Jeżeli Avast to ma, to już chyba każdy antywirus na tej ziemi.

Dla nieobeznanych jest to niezła ciekawostka i teraz będą wszystko testować : )

Olbi   10 #6 03.03.2010 08:09

W sumie Kamil pokazał, że antywirusy są tworzone na odwal się :) Paszczak pokazał to na Avast, ktoś inny na Norton.
Sprawdziłem u siebie skanując go AVG, nie wykrył zagrożenia. Co ciekawe, pliku nie mogłem uruchomić pod systemem 64 bitowym :)

Kranken   2 #7 03.03.2010 09:58

Proszę: http://www.virustotal.com/pl/analisis/275a021bbfb6489e54d471899f7db9d1663fc695ec...

Wynik dla 42 antyvirusów.
Wynika z tego, że radzą sobie chłopaki;)

paszczak000   6 #8 03.03.2010 11:56

@Kranken, fajny link. Nawet ClamAv się znalazł :)

Kranken   2 #9 03.03.2010 13:36

Byłem wręcz zaskoczony ilością AV. Mam nadzieję, że się Wam to jeszcze przyda... Np - sprawdźcie unlockera ;)

tatus_se   3 #10 03.03.2010 16:21

MantisGhost producenci antywirusow nie potrzebuja zlecac tworzenia virusow itp. jest duzo osob/grup ktore probuja zyskac materialnie na tej nielegalnej dzialalnosci po przez np wykradanie nr kont czy loginow do bankow
do tego dorzuc cala mase dzieciakow grajacych w MMO i nie tylko ktore kombinuja uzywajac znanych trojanow/keyloggerow itd by namieszac a do tego jak komus bardzo zalezy i ma kase i umie googlowac to placi za takie oprogramowanie byle by miec jakis itemek omg
na prawde firmy tworzace antywirusy nie musza sobie dokladac roboty

msnet   19 #11 03.03.2010 18:42

"W przypadku jego prawidłowego działania powinna pojawić się informacja o wykryciu zagrożenia w utworzonym pliku."

A mi się wydaje, że skoro ten ciąg znaków jest nieszkodliwy, nie powinien wzbudzić alarmu w programie antywirusowym...

paszczak000   6 #12 04.03.2010 08:29

@msnet, jak przeczytasz http://mirror.href.com/thestarman/asm/eicar/eicarcom.html to zrozumiesz, czemu wzbudza alarm.

  #13 17.02.2012 18:24

mam obawy czy ten system antywirusowy jest skuteczny i na ile.

  #14 26.11.2015 19:41

tylko kasperski jest skuteczny - unixowy namiastkowy ClamAV to dowcip

  #15 24.12.2015 19:33

nie wiem co znaczy skrót EICAR

  #16 28.08.2016 17:29

EICAR znaczy European Institute for Computer Anti-Virus Research.