Eicar-test-file
Содержание:
- EICAR test file and its modifications
- EICAR test file and its modifications
- Реакция антивирусов
- Meaning of EICAR Test file?
- Повторная проверка компьютера на вирусы и зачем она нужна
- EICAR test file and its modifications
- Реакция антивирусов[ | код]
- Значение тестовых файлов Eicar?
- Как проверить брандмауэр (фаерволл)?
- Для чего предназначен
- Какие основные признаки заражения компьютера вирусами
- Сравнение антивирусных пакетов
- Тестовый файл EICAR и его модификации
- EICAR test file and its modifications
- Для чего предназначен
- Как настроить плагины безопасности браузера?
EICAR test file and its modifications
This test file was developed by (The European Institute for Computer Antivirus Research) for the testing of anti-virus products.
The test file IS NOT A VIRUS because it does not contain code that can harm your computer. However, most anti-virus products identify this file as a virus.
Never use real viruses to test the operation of an anti-virus product!
You can download the test file from the official web site of EICAR at http://www.eicar.org/anti_virus_test_file.htm.
Before you download the file you must disable the computer’s anti-virus protection, otherwise the application will identify and process the file anti_virus_test_file.htm as an infected object transferred via the HTTP protocol.
Do not forget to enable the anti-virus protection immediately after you download the test file.
The application identifies the files downloaded from the EICAR site as an infected object containing a virus that cannot be disinfected and performs the actions specified for such an object.
You can also modify the standard test file to verify the operation of Kaspersky Anti-Virus. To do so, change the content of the standard file by adding one of the prefixes to it (see table below). You can use any text or hypertext editor to create modifications of the test file.
You can verify that the anti-virus application works properly using the modified EICAR file only if your anti-virus databases were last updated on or after October 24, 2003 (October, 2003 cumulative updates).
In the table below, the first column contains the prefixes that must be added at the start of the standard test file string. The second column lists the possible status values that Kaspersky Anti-Virus can assign to the object, based on the results of the scan. The third column indicates how the application processes objects with the specified status. Note that actions on objects are defined by the settings in Kaspersky Anti-Virus.
After you have added a prefix to the test file, save the new file under a different name, for example: eicar_dele.com. Assign similar names to all modified test files.
Test file modifications
|
Prefix |
Object status |
Object processing information |
|---|---|---|
|
No prefix, standard test file. |
Cannot be disinfected. Object contains code of a known virus. You cannot disinfect the object. |
Kaspersky Anti-Virus identifies this object as a virus that cannot be disinfected and takes the appropriate action. |
|
CORR- |
Corrupted. |
Kaspersky Anti-Virus was able to access the object, but unable to scan it because the object is corrupted (for example, the file structure is corrupted or file format is invalid). |
|
ERRO- |
Scanning error. An error occurred during a scan of an object. |
Kaspersky Anti-Virus could not gain access to the object: the object is invalid (for example, a multi-volume archive has no end) or no connection can be established with the object. |
|
CURE- |
Disinfectable. Object contains code of a known virus. |
Object contains a virus that can be disinfected. Kaspersky Anti-Virus disinfects the object; the text of the test file body is replaced with the word CURE. |
EICAR test file and its modifications
This test file was developed by (The European Institute for Computer Antivirus Research) for the testing of anti-virus products.
The test file IS NOT A VIRUS because it does not contain code that can harm your computer. However, most anti-virus products identify this file as a virus.
Never use real viruses to test the operation of an anti-virus product!
You can download the test file from the official web site of EICAR at http://www.eicar.org/anti_virus_test_file.htm.
Before you download the file you must disable the computer’s anti-virus protection, otherwise the application will identify and process the file anti_virus_test_file.htm as an infected object transferred via the HTTP protocol.
Do not forget to enable the anti-virus protection immediately after you download the test file.
The application identifies the files downloaded from the EICAR site as an infected object containing a virus that cannot be disinfected and performs the actions specified for such an object.
You can also modify the standard test file to verify the operation of Kaspersky Anti-Virus. To do so, change the content of the standard file by adding one of the prefixes to it (see table below). You can use any text or hypertext editor to create modifications of the test file.
You can verify that the anti-virus application works properly using the modified EICAR file only if your anti-virus databases were last updated on or after October 24, 2003 (October, 2003 cumulative updates).
In the table below, the first column contains the prefixes that must be added at the start of the standard test file string. The second column lists the possible status values that Kaspersky Anti-Virus can assign to the object, based on the results of the scan. The third column indicates how the application processes objects with the specified status. Note that actions on objects are defined by the settings in Kaspersky Anti-Virus.
After you have added a prefix to the test file, save the new file under a different name, for example: eicar_dele.com. Assign similar names to all modified test files.
Test file modifications
|
Prefix |
Object status |
Object processing information |
|---|---|---|
|
No prefix, standard test file. |
Cannot be disinfected. Object contains code of a known virus. You cannot disinfect the object. |
Kaspersky Anti-Virus identifies this object as a virus that cannot be disinfected and takes the appropriate action. |
|
CORR- |
Corrupted. |
Kaspersky Anti-Virus was able to access the object, but unable to scan it because the object is corrupted (for example, the file structure is corrupted or file format is invalid). |
|
ERRO- |
Scanning error. An error occurred during a scan of an object. |
Kaspersky Anti-Virus could not gain access to the object: the object is invalid (for example, a multi-volume archive has no end) or no connection can be established with the object. |
|
CURE- |
Disinfectable. Object contains code of a known virus. |
Object contains a virus that can be disinfected. Kaspersky Anti-Virus disinfects the object; the text of the test file body is replaced with the word CURE. |
Реакция антивирусов
Антивирус, обнаруживший данную строку, должен поступить в точности так же, как и при обнаружении реального вируса. Поэтому о том, что тревога учебная, антивирус обычно сообщает в названии вируса:
- EICAR Test-NOT virus!!! (avast!),
-
Реакция антивируса avast! на EICAR
EICAR-Test-File (Антивирус Касперского), - EICAR Test File (Not a Virus!) (Doctor Web),
- EICAR-AV-Test (Sophos),
- EICAR_Test_File (RAV),
- Eicar_test_file (Trend Micro),
- Eicar-Test-Signature (Avira AntiVir),
- EICAR_Test_File (FRISK),
- EICAR_Test (+356) (Grisoft),
- Eicar-Test-Signature (ClamAV),
- Eicar.Mod (Panda Cloud Antivirus),
- VIRUS:DOS/EICAR_Test_File (Microsoft Security Essentials).
- Eicar тест файл (NOD32)
- Teststring.Eicar (Comodo Internet Security, Comodo AntiVirus)
- EICAR_test_file (Virus) (Outpost Security Suite)
Крайне редко встречаются антивирусы, которые не реагируют на этот тест.
Meaning of EICAR Test file?
Ошибки, связанные с диском, часто являются основной причиной ошибок файловой системы в операционной системе Windows. Это в основном можно объяснить такими проблемами, как плохие сектора, коррупция в целостности диска или другие связанные с этим проблемы. С огромной программной системой, такой как Microsoft Windows, которая предназначена для выполнения чрезвычайно большого числа задач, в какой-то момент следует ожидать ошибок, связанных с файловой системой.
Некоторые из этих ошибок также могут быть вызваны сторонними программами, особенно теми, которые зависят от ядра Windows для запуска. Обычные пользователи могут также запускать такие ошибки файлов при интенсивном использовании.
Повторная проверка компьютера на вирусы и зачем она нужна
Всё дело в том, что любая антивирусная программа (и не важно, платная или бесплатная) защищает компьютер используя свою антивирусную базу. Антивирусная база, это (если простым языком) список вирусов и различных вредоносных программ и их сигнатур (признаков)
Но, вся проблема в том, что эта база собирается с уже известных вирусов. Если вирус новый, то его не так то просто обнаружить, а соответственно и обезвредить. Разные антивирусные программы в своей работе используют разные алгоритмы обнаружения. Поэтому, создатели вирусов редко могут написать программу, которая бы была незаметной для всех применяемых антивирусными программами алгоритмов.
Как правило, вирус пишут под обход конкретного антивируса, или группы антивирусов. Связанно это с тем, что вирусы не пишут просто так, а для выполнения какой то конкретной задачи. Например, атаки определённого сайта или компьютера. Злоумышленники наперёд и точно знают какая там стоит защита, и создают вирус для её обхода. Остальные компьютеры сети страдают «за компанию».
Правда бывают случаи, когда пишут вирусы «массового потребления». Обычно это всякого рода блокировщики-вымогатели, которые блокируют компьютер и требуют за разблокировку денег.
С такими вирусами бороться труднее всего, так как их разработчики стараются обойти как можно больше антивирусов, и тщательно прорабатывают код своего вируса.
В связи с выше сказанным, целесообразно, при малейшем подозрении заражения компьютера, немедленно сделать сканирование системы сканером другого антивируса.
EICAR test file and its modifications
This test file was developed by (The European Institute for Computer Antivirus Research) for the testing of anti-virus products.
The test file IS NOT A VIRUS because it does not contain code that can harm your computer. However, most anti-virus products identify this file as a virus.
Never use real viruses to test the operation of an anti-virus product!
You can download the test file from the official web site of EICAR at http://www.eicar.org/anti_virus_test_file.htm.
Before you download the file you must disable the computer’s anti-virus protection, otherwise the application will identify and process the file anti_virus_test_file.htm as an infected object transferred via the HTTP protocol.
Do not forget to enable the anti-virus protection immediately after you download the test file.
The application identifies the files downloaded from the EICAR site as an infected object containing a virus that cannot be disinfected and performs the actions specified for such an object.
You can also modify the standard test file to verify the operation of Kaspersky Anti-Virus. To do so, change the content of the standard file by adding one of the prefixes to it (see table below). You can use any text or hypertext editor to create modifications of the test file.
You can verify that the anti-virus application works properly using the modified EICAR file only if your anti-virus databases were last updated on or after October 24, 2003 (October, 2003 cumulative updates).
In the table below, the first column contains the prefixes that must be added at the start of the standard test file string. The second column lists the possible status values that Kaspersky Anti-Virus can assign to the object, based on the results of the scan. The third column indicates how the application processes objects with the specified status. Note that actions on objects are defined by the settings in Kaspersky Anti-Virus.
After you have added a prefix to the test file, save the new file under a different name, for example: eicar_dele.com. Assign similar names to all modified test files.
Test file modifications
|
Prefix |
Object status |
Object processing information |
|---|---|---|
|
No prefix, standard test file. |
Cannot be disinfected. Object contains code of a known virus. You cannot disinfect the object. |
Kaspersky Anti-Virus identifies this object as a virus that cannot be disinfected and takes the appropriate action. |
|
CORR- |
Corrupted. |
Kaspersky Anti-Virus was able to access the object, but unable to scan it because the object is corrupted (for example, the file structure is corrupted or file format is invalid). |
|
ERRO- |
Scanning error. An error occurred during a scan of an object. |
Kaspersky Anti-Virus could not gain access to the object: the object is invalid (for example, a multi-volume archive has no end) or no connection can be established with the object. |
|
CURE- |
Disinfectable. Object contains code of a known virus. |
Object contains a virus that can be disinfected. Kaspersky Anti-Virus disinfects the object; the text of the test file body is replaced with the word CURE. |
Реакция антивирусов[ | код]
Антивирус, обнаруживший данную строку, должен поступить в точности так же, как и при обнаружении реального вируса. Поэтому о том, что тревога учебная, антивирус обычно сообщает в названии вируса:
- EICAR Test-NOT virus!!! (avast!),
-
Реакция антивируса avast! на EICAR
EICAR-Test-File (Антивирус Касперского), - EICAR Test File (Not a Virus!) (Doctor Web),
- EICAR-AV-Test (Sophos),
- EICAR_Test_File (RAV),
- Eicar_test_file (Trend Micro),
- Eicar-Test-Signature (Avira AntiVir),
- EICAR_Test_File (FRISK),
- EICAR_Test (+356) (Grisoft),
- Eicar-Test-Signature (ClamAV),
- Eicar.Mod (Panda Cloud Antivirus),
- VIRUS:DOS/EICAR_Test_File (Microsoft Security Essentials).
- Eicar тест файл (NOD32)
- Teststring.Eicar (Comodo Internet Security, Comodo AntiVirus)
- EICAR_test_file (Virus) (Outpost Security Suite)
Крайне редко встречаются антивирусы, которые не реагируют на этот тест.
Значение тестовых файлов Eicar?
Ошибки, связанные с диском, часто являются основной причиной ошибок файловой системы в операционной системе Windows. Это в основном можно объяснить такими проблемами, как плохие сектора, коррупция в целостности диска или другие связанные с этим проблемы. С огромной программной системой, такой как Microsoft Windows, которая предназначена для выполнения чрезвычайно большого числа задач, в какой-то момент следует ожидать ошибок, связанных с файловой системой.
Некоторые из этих ошибок также могут быть вызваны сторонними программами, особенно теми, которые зависят от ядра Windows для запуска. Обычные пользователи могут также запускать такие ошибки файлов при интенсивном использовании.
Как проверить брандмауэр (фаерволл)?
Если вы выходите в сеть через роутер, встроенная трансляция сетевых адресов, он же протокол NAT, сам по себе очень неплохо справляется с функциями фаерволла, защищая от проникновения других компьютеров из сети. А чтобы убедиться в том, что система защищена от посягательств извне – с помощью роутера или установленного брандмауэра – можно воспользоваться следующим тестом под названием the ShieldsUP! Test. Интернет сервис сканирует порты по вашему IP адресу, определяя какие из них открыты в текущем сеансе (то есть потенциально открыты для атаки). Вот этот ресурс:
https://www.grc.com/x/ne.dll?bh0bkyd2
Нажмите на странице с отображаемым вашим IP адресом на любую из двух кнопок Proceed (продолжить), и на следующей странице нажмите на оранжевую кнопку:
По нажатии кнопки страница перезагрузится. Я увидел сообщение об успешном прохождении теста. А вот красные надписи с предупреждениями вас должны насторожить.
Для чего предназначен
Разумеется, EICAR не проверяет, насколько оперативно разработчики реагируют на вирусы и насколько качественно излечиваются заражённые файлы — для этого нужен «зоопарк» свежих вирусов. Его задача другая: продемонстрировать работоспособность антивирусной системы и указать, какие объекты проверяются антивирусом, а какие — нет. Например:
- Есть подозрение, что компьютер заражён. Действует резидентный монитор, или вирус сумел его отключить?
- Обычный почтовый червь наподобие VBS.LoveLetter должен для заражения пройти несколько стадий: прийти на почтовый сервер по протоколу SMTP; загрузиться на компьютер по протоколу POP3; записаться в базу почтового клиента; по команде пользователя распаковаться во временный файл и запуститься. На какой стадии он будет замечен?
- Существует много способов «протащить» вредоносную программу мимо «глаз» антивируса: закодировать в Base64, вложить в OLE-объект Microsoft Word, в RAR, JPEG, сжать упаковщиком наподобие UPX. Что из этого антивирус распакует?
- Кроме того, антивирусы бывают не только локальные, но и сетевые — проверяющие сетевой трафик; при ошибке конфигурирования они будут либо загружать сервер излишней работой, либо, наоборот, пропускать вредоносные файлы.
- Просто чтобы увидеть реакцию антивируса: так, в старых версиях антивируса Касперского при обнаружении вируса был громкий свиной визг.
Для того, чтобы проверить, какова будет реакция антивируса, конечно, можно применить и «живой» вирус — но это «как поджигание урны для проверки пожарной сигнализации». Для этого и был предложен стандартизированный файл, не несущий вредоносной нагрузки.
Какие основные признаки заражения компьютера вирусами
- Медленная (дольше обычного) загрузка компьютера.
- При включении, или перезагрузке не загружаются программы из списка автозагрузки
- Автоматически загружаются программы, которые ранее не загружались (хотя их никто об этом «не просил»)
- Начинает медленнее работать браузер и интернет в целом.
- Замедляется общая работа компьютера.
- Выскакивают в браузере, или на компьютере рекламные баннеры, или непонятные сообщения.
- Компьютер время от времени самовольно выключается, или перезагружается.
- Компьютер сам выходит из «Спящего режима»
- Курсор на рабочем столе самопроизвольно двигается, дёргается.
- Не слушается мышка (теряется управление).
- Отключатся клавиатура.
- Компьютер сам начинает открывать какие то папки или файлы.
- Самопроизвольно запускаются или выключаются программы установленные на компьютере.
Ниже даю список бесплатных сканеров различных антивирусов для проверки компьютера на вирусы. И хотя они выставлена в определенном порядке «топе», на практике это ровным счётом ничего не значит. Нет плохих или хороших сканеров, или антивирусов. Есть вирусы написанные для обхода конкретных антивирусов. Поэтому, рекомендую делать сканирование минимум двумя сканерами. А ещё лучше всеми!
К качественным и достоверным тестированиям антивирусов нужен очень серьезный подход. Специалисты в области компьютерной безопасности используют дорогостоящее оборудование и применяют трудоемкие операции для тестирования эффективности антивирусных продуктов.
Тем не менее, некоторые компании предлагают безопасные решения для пользователей, которые позволяют проверить защиту установленного антивируса. Как правило организации предлагают веб-страницы или загружаемые файлы, которые содержат урезанные, неактивные или имитируемые версии вредоносных приложения. Любой пользователь может использовать данные объекты для поиска уязвимых мест в защите без риска ущерба для системы и данных.
Данные образцы, конечно, не дадут полную картину, но в любом случае окажутся полезны. Например, если вы обновили или изменили основную антивирусную защиту, вы можете провести несколько экспресс-тестов, чтобы проверить активность основных защитных модулей решения.
Обратите внимание, что данные испытания имеет несколько значительных ограничений. Так, например, пользователи не могут убедиться в корректности тестовой процедуры и правильности имитации деятельности вредоносных программ, а также в релевантности методики тестирования по отношению к шаблонам использования и уровню навыков
Согласитесь, что опытные пользователи вряд ли будут нажимать на сомнительные всплывающие окна на сайтах с сообщениями «Обнаружена угроза». Нажмите здесь для очистки. Маловероятно, что они будут открывать вложения из сообщений со спамом, посещать пиратские и порнографические сайты и устанавливать программы из неизвестных источников. Действительно, правила поведения продвинутых пользователей закрывают различные векторы для вредоносной атаки.
С другой стороны, многие пользователи не выработали у себя правильные привычки компьютерной безопасности, а значит они более подвержены риску заражения и компрометации. Этим пользователям нужен более высокий уровень защиты, чем опытным юзерам.
Ни один тест не может учитывать паттерны поведения как продвинутых пользователей, так и новичков. Например, испытания, которые анализируют базовую защиту могут быть достаточными для опытных пользователей, но не полноценными в случае с начинающими пользователями. Следует выбирать тесты, которые соответствуют вашим шаблонам использования и уровню компьютерных знаний.
Вы также должны помнить о потенциальных скрытых действиях, которые могут включать в себя антивирусные приложения. Например, некоторые вендоры могут разрабатывать тесты, которые искусственно подчеркивают сильные стороны продукта.
Сравнение антивирусных пакетов
У тестов антивирусов для настольных систем есть один маленький недостаток: они отражают лишь сиюминутную картину
У обычного пользователя защитное ПО работает в течение многих месяцев, поэтому нам было важно проверить пакеты на протяжении длительного времени. Лаборатория AV-Test занимается таким тестированием уже долгие годы
Таким образом, у этих профессионалов грандиозный опыт. Даже «акулы» антивирусной индустрии перед публикацией своих продуктов обращаются в AV-Test с просьбой протестировать их секретные прототипы. Для нашей цели AV-Test с лупой изучил доступные на сегодняшний день антивирусные решения.
Удобный вид. Утилита от Norton наглядно расскажет, защищен ли ваш компьютер
Поскольку такие масштабные проверки занимают не одну неделю, есть риск, что на момент выхода журнала какая-то из протестированных версий уже будет снята с продажи.
Но не переживайте на этот счет, поскольку с одной стороны CHIP ежемесячно будет информировать вас об актуальном состоянии антивирусных систем, а с другой, как правило, вы покупаете у большинства разработчиков уже не продукт, которым можно пользоваться в течение 12 месяцев, а годовой абонемент, по которому автоматически предоставляется последняя версия программы.
Таким образом, пусть дата, указанная на коробке, не вводит вас в заблуждение — благодаря встроенной функции обновления у вас всегда будет самая свежая версия.
Тестовый файл EICAR и его модификации
Тестовый файл был разработан организацией EICAR (The European Institute for Computer Antivirus Research) для проверки работы антивирусных продуктов.
Тестовый файл EICAR не является вирусом и не содержит программного кода, который может навредить вашему компьютеру, однако большинство продуктов антивирусных компаний-производителей идентифицируют его как вредоносную программу.
Никогда не используйте в качестве проверки работоспособности антивирусного продукта настоящие вирусы!
Загрузить тестовый файл можно с официального сайта организации EICAR: http://www.eicar.org/anti_virus_test_file.htm.
Перед загрузкой необходимо отключить антивирусную программу, установленную на вашем компьютере, поскольку файл anti_virus_test_file.htm будет идентифицирован и обработан программой как зараженный объект, перемещаемый по HTTP-протоколу.
Не забудьте включить антивирусную защиту сразу после загрузки тестового файла.
Программа идентифицирует файл, загруженный с сайта компании EICAR, как зараженный объект, содержащий не поддающийся лечению вирус, и выполняет действие, установленное для такого объекта.
Вы также можете использовать модификации стандартного тестового файла для проверки работы Антивируса Касперского. Для этого нужно изменить содержание стандартного файла, добавив к нему один из префиксов (см. таблицу ниже). Для создания модификаций тестового файла можно использовать любой текстовый или гипертекстовый редактор.
Вы можете проверять правильность работы антивирусной программы с помощью модифицированного файла EICAR только при наличии антивирусных баз, датированных не ранее 24.10.2003 г. (кумулятивное обновление – октябрь 2003 г.).
В первой графе таблицы ниже приведены префиксы, которые нужно добавить в начало строки стандартного тестового файла. Во второй графе перечислены все возможные значения статуса, присваиваемого Антивирусом Касперского объекту по результатам проверки. Третья графа содержит информацию об обработке программой объектов с указанным статусом
Обращаем ваше внимание на то, что действия над объектами определяются значениями параметров Антивируса Касперского
После добавления префикса к тестовому файлу сохраните полученный файл, например, под именем eicar_dele.com. Дайте аналогичные названия всем модифицированным тестовым файлам.
Модификации тестового файла
|
Префикс |
Статус объекта |
Информация об обработке объекта |
|---|---|---|
|
Префикс отсутствует, стандартный тестовый файл. |
Неизлечимый. Объект содержит код известного вируса. Лечение невозможно. |
Антивирус Касперского идентифицирует этот объект как вирус, не поддающийся лечению, и применяет действие, установленное для зараженных объектов. |
|
CORR- |
Поврежденный. |
Антивирус Касперского получил доступ к объекту, но не смог проверить его, поскольку объект поврежден (например, нарушена структура объекта, неверный формат файла). |
|
ERRO- |
Ошибка проверки. При проверке объекта возникла ошибка. |
Антивирус Касперского не смог получить доступ к объекту: нарушена целостность объекта (например, нет конца многотомного архива) либо отсутствует связь с объектом |
|
CURE- |
Излечимый. Объект содержит код известного вируса. |
Объект содержит вирус, который может быть вылечен. Антивирус Касперского выполняет лечение объекта, при этом текст тела тестового файла изменяется на CURE. |
EICAR test file and its modifications
This test file was developed by (The European Institute for Computer Antivirus Research) for the testing of anti-virus products.
The test file IS NOT A VIRUS because it does not contain code that can harm your computer. However, most anti-virus products identify this file as a virus.
Never use real viruses to test the operation of an anti-virus product!
You can download the test file from the official web site of EICAR at http://www.eicar.org/anti_virus_test_file.htm.
Before you download the file you must disable the computer’s anti-virus protection, otherwise the application will identify and process the file anti_virus_test_file.htm as an infected object transferred via the HTTP protocol.
Do not forget to enable the anti-virus protection immediately after you download the test file.
The application identifies the files downloaded from the EICAR site as an infected object containing a virus that cannot be disinfected and performs the actions specified for such an object.
You can also modify the standard test file to verify the operation of Kaspersky Anti-Virus. To do so, change the content of the standard file by adding one of the prefixes to it (see table below). You can use any text or hypertext editor to create modifications of the test file.
You can verify that the anti-virus application works properly using the modified EICAR file only if your anti-virus databases were last updated on or after October 24, 2003 (October, 2003 cumulative updates).
In the table below, the first column contains the prefixes that must be added at the start of the standard test file string. The second column lists the possible status values that Kaspersky Anti-Virus can assign to the object, based on the results of the scan. The third column indicates how the application processes objects with the specified status. Note that actions on objects are defined by the settings in Kaspersky Anti-Virus.
After you have added a prefix to the test file, save the new file under a different name, for example: eicar_dele.com. Assign similar names to all modified test files.
Test file modifications
|
Prefix |
Object status |
Object processing information |
|---|---|---|
|
No prefix, standard test file. |
Cannot be disinfected. Object contains code of a known virus. You cannot disinfect the object. |
Kaspersky Anti-Virus identifies this object as a virus that cannot be disinfected and takes the appropriate action. |
|
CORR- |
Corrupted. |
Kaspersky Anti-Virus was able to access the object, but unable to scan it because the object is corrupted (for example, the file structure is corrupted or file format is invalid). |
|
ERRO- |
Scanning error. An error occurred during a scan of an object. |
Kaspersky Anti-Virus could not gain access to the object: the object is invalid (for example, a multi-volume archive has no end) or no connection can be established with the object. |
|
CURE- |
Disinfectable. Object contains code of a known virus. |
Object contains a virus that can be disinfected. Kaspersky Anti-Virus disinfects the object; the text of the test file body is replaced with the word CURE. |
Для чего предназначен
Разумеется, EICAR не проверяет, насколько оперативно разработчики реагируют на вирусы и насколько качественно излечиваются заражённые файлы — для этого нужен «зоопарк» свежих вирусов. Его задача другая: продемонстрировать работоспособность антивирусной системы и указать, какие объекты проверяются антивирусом, а какие — нет. Например:
- Есть подозрение, что компьютер заражён. Действует резидентный монитор, или вирус сумел его отключить?
- Обычный почтовый червь наподобие VBS.LoveLetter должен для заражения пройти несколько стадий: прийти на почтовый сервер по протоколу SMTP; загрузиться на компьютер по протоколу POP3; записаться в базу почтового клиента; по команде пользователя распаковаться во временный файл и запуститься. На какой стадии он будет замечен?
- Существует много способов «протащить» вредоносную программу мимо «глаз» антивируса: закодировать в Base64, вложить в OLE-объект Microsoft Word, в RAR, JPEG, сжать упаковщиком наподобие UPX. Что из этого антивирус распакует?
- Кроме того, антивирусы бывают не только локальные, но и сетевые — проверяющие сетевой трафик; при ошибке конфигурирования они будут либо загружать сервер излишней работой, либо, наоборот, пропускать вредоносные файлы.
- Просто чтобы увидеть реакцию антивируса: так, в старых версиях антивируса Касперского при обнаружении вируса был громкий свиной визг.
Для того, чтобы проверить, какова будет реакция антивируса, конечно, можно применить и «живой» вирус — но это «как поджигание урны для проверки пожарной сигнализации». Для этого и был предложен стандартизированный файл, не несущий вредоносной нагрузки.
Как настроить плагины безопасности браузера?
Плагины браузера сегодня нередко являются основным объектом нападения вредоносного ПО. Обычно это плагины для воспроизведения Java, Flash и PDF-файлов. Вот эту часть статьи можно пополнять бесконечно. Ваша задача следить, чтобы плагины регулярно обновлялись. Например, сайт проверки плагинов от Mozilla. Он раньше дружил не только с Firefox, но и другими популярными браузерами. Однако в последнее время они заартачились и теперь работают только с «родным» браузером. Вобщем, плагин для проверки плагинов. Что касается расширений для языка Java – то просто избавьтесь от них. В последнее время приложения, написанные на этом языке, не отвечают требованиям элементарной безопасности. Мой вам совет.
Успехов.
