web analytics

EICAR – anti-malware testbestand

Print Friendly, PDF & Email

Iedereen, of toch de meerderheid van de computergebruikers, hebben één of ander anti-virusprogramma op hun systeem draaien en gaan er van uit dat, eens geïnstalleerd, het ding zijn werk doet.
Maar hoe kan je nu testen of je anti-virusprogramma actief is en daadwerkelijk zal ingrijpen mocht er een virus je systeem bereiken en je anti-virusprogramma niet door één of andere reden blind en doof is, want dan heb je er helemaal niks aan.

Wat is EICAR

The European Institute for Computer Anti-Virus Research (EICAR) has been founded in 1991 and is representing an independent and impartial platform for IT-Security experts in the field of science, research, development, implementation and management.
The institute would like to inspire information exchange on a global basis as well as synergy building to enhance computer-, network- and telecommunication-security.
The members are all key players in the focused topic. The goal is to develop best practice scenarios and guidelines with the efforts of a bundled Know-how-pool.
The EICAR is supporting all kinds of initiatives in terms of technical solutions or preventive measures against writing and proliferation of malicious code like computer viruses or Trojan Horses, and against computer crime, fraud and the misuse of computers or networks, inclusive malicious exploitation of personal data.
The institute is dealing with all kinds of technical, organisational, legal and psychological aspects in the context of IT-Security. EICAR is bundling expert know-how from leading scientists and academics as well as recognized researchers, official institutions and global players of the industry.

Een anti-malware testbestand

Een anti-malware testbestand wordt aangeleverd door EICAR onder de naam “EICAR Standard Anti-Virus Test File”, en voldoet aan specifieke eisen die door anti-virus bedrijven zijn opgesteld. Het bestand is 100% veilig daar het zelf geen virus is noch bevat het onderdelen van virale code. De meeste anti-virusprogramma’s reageren er op alsof het een virus betreft (en zullen het rapporteren met een typische naam zoals “EICAR-AV-Test”).

Het bestand is een werkend DOS programma en als je het draait zal het de tekst “EICAR-STANDARD-ANTIVIRUS-TEST-FILE!” vertonen.

Het is simpel en kort, bestaat volledig uit afdrukbare ASCII tekens, zodat het gemakkelijk via een teksteditor kan aangemaakt worden. Ieder anti-virusprogramma dat het EICAR testbestand ondersteund moet het detecteren in ieder bestand dat begint met de volgende 68 tekens:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

 

Optioneel kunnen er combinaties van de volgende karakters aan toegevoegd worden. De eerste 68 tekens moeten bovenstaande string zijn eventueel gvolgd door een spatie, tab, LF, CR of CTRL-Z zonder de totale lengte van 128 tekens te overschrijden. Om de zaken simpel te houden gebruikt de string enkel hoofdletter, cijfer en leestekens, maar geen spaties. Het enige dat je moet in acht nemen is dat het derde teken de letter O is en niet het cijfer 0.

Waar downloaden en hoe gebruiken.

Het testbestand kan je downloaden vanaf http://www.eicar.org/85-0-Download.html

Er worden vier versies aangeboden:

  1. eicar.com bevat de string hierboven vertoond
  2. eicar.com.txt is identiek aan eicar.com, maar doordat bepaalde systemen problemen hebben met het downloaden van een .com bestand is er gewoonweg .txt achter bijgezet. Om het te gebruiken gewoon hernoemen naar eicar.com
  3. eicar_com.zip is de gezipte vorm van het eicar.com bestand. Dat kun je gebruiken om na te gaan of je anti-virus ook in zip-bestanden naar malware zoekt.
  4. eicarcom2.zip bevat het bestand eicar.com.txt in gezipte vorm, zodat je kan nagaan of je anti-virusprogramma meer dan één niveau diep scant in zip-bestanden

selectie_056

Als je onder Linux geen anti-virusprogramma draaiende hebt, vertoont het dubbelklikken op het bestand gewoon de inhoud van het bestand, terwijl het onder Windows gewoon de tekst “EICAR-STANDARD-ANTIVIRUS-TEST-FILE!” zal vertonen (m.a.w Windows voert domweg het bestand uit, terwijl Linux kijkt wat er in het bestand is en daar gewoon tekst in ziet en dus de tekst vertoont …)

selectie_058

Heb je wel een anti-virus geïnstalleerd die actief is dan wordt er een virus melding getoond.

Detection

393 totaal aantal vertoningen, 2 aantal vertoningen vandaag

Beoordeling

Geef een reactie

%d bloggers liken dit: