EICAR-”Testvirus” und seine Modifikationen
Dieser “Testvirus” wurde vom Institut EICAR (The European Institute for Computer Antivirus Research) speziell zum Überprüfen der Arbeit von Antiviren-Produkten entwickelt.
Der Testvirus IST KEINE Schadsoftware und enthält keinen Programmcode, der Ihrem Computer Schaden zuzufügen könnte. Dennoch wird EICAR von den meisten Produkten der Entwickler von Virenschutzsoftware als Virus erkannt.
Verwenden Sie nie echte Viren, um die Funktionsfähigkeit eines Antiviren-Produkts zu testen!
Der “Testvirus” kann von der offiziellen Internetseite des EICAR-Instituts heruntergeladen werden: http://www.eicar.org/anti_virus_test_file.htm.
Vor dem Download muss der Antiviren-Schutz deaktiviert werden, weil der von der Seite anti_virus_test_file.htm heruntergeladene Testvirus andernfalls als infiziert erkannt und vom Programm als infiziertes, per HTTP-Protokoll übertragenes Objekt behandelt wird.
Die von der Webseite des EICAR-Instituts heruntergeladene Datei wird vom Programm als infiziertes Objekt identifiziert, das einen Virus enthält, der nicht desinfiziert werden kann, und führt die für diesen Objekttyp festgelegte Aktion aus.
Um die Funktion des Programms zu prüfen, können Sie auch Modifikationen des standardmäßigen “Testvirus” verwenden. Dazu wird der Inhalt des standardmäßigen “Testvirus” durch das Hinzufügen eines bestimmten Präfixes geändert (siehe Tabelle unten). Zum Erstellen von Modifikationen des “Testvirus” eignet sich ein beliebiger Text-Editor oder Hypertext-Editor wie beispielsweise Microsoft Editor, UltraEdit32, usw.
Die erste Spalte der Tabelle (s. unten) enthält Präfixe, die dem Standard-Testvirus zur Erzeugung einer Modifikation am Zeilenanfang hinzugefügt werden müssen. Die zweite Spalte zeigt die möglichen Werte für den Status, der einem Objekt aufgrund der Untersuchungsergebnisse zugewiesen werden kann. Die dritte Spalte bietet Informationen darüber, wie Objekte mit dem betreffenden Status vom Programm bearbeitet werden. Beachten Sie, dass die Aktionen für Objekte durch die Werte der Programmparameter bestimmt werden.
Nach Hinzufügen des Präfixes zum Testvirus speichern Sie die so entstandene Datei unter einem Namen, der eine Vorstellung von der Modifikationen des Virus vermittelt: Wenn Sie beispielsweise das Präfix DELE- hinzugefügt haben, bietet es sich an, die entstandene Datei unter dem Namen eicar_dele.com zu speichern.
Vergessen Sie nicht, den Virenschutz nach dem Download des Testvirus und der Herstellung der Modifikationen zu aktualisieren.
Modifikationen des “Testvirus”
|
Status des Objekts |
|
---|---|---|
Kein Präfix, standardmäßiger “Testvirus”. |
. Das Objekt enthält einen bekannten Viruscode. Die Desinfektion ist nicht möglich. |
Das Programm identifiziert dieses Objekt als Virus, der nicht desinfiziert werden kann. Beim Desinfektionsversuch des Objekts tritt ein Fehler auf und die für irreparable Objekte geltende Aktion wird ausgeführt. |
CORR- |
. |
Das Programm hat Zugriff auf das Objekt erhalten, kann es aber aufgrund einer Beschädigung nicht untersuchen (z.B. beschädigte Struktur des Objekts, ungültiges Dateiformat). Informationen darüber, dass das Objekt verarbeitet wurde, können Sie dem Bericht über die Arbeit der Anwendung entnehmen. |
WARN- |
. Das Objekt enthält einen unbekannten Viruscode. Die Desinfektion ist nicht möglich. |
Das Objekt wurde als verdächtig erkannt. Im Augenblick des Funds enthalten die Programm-Datenbanken keine Beschreibung zur Desinfektion dieses Objekts. Beim Fund eines solchen Objekts, erhalten Sie eine Meldung. |
SUSP- |
. Das Objekt enthält den modifizierten Code eines bekannten Virus. Die Desinfektion ist nicht möglich. |
Das Programm hat erkannt, dass der Objektcode teilweise mit dem Code eines bekannten Virus übereinstimmt. Im Augenblick des Funds enthalten die Programm-Datenbanken keine Beschreibung zur Desinfektion dieses Objekts. Beim Fund eines solchen Objekts, erhalten Sie eine Meldung. |
ERRO- |
. |
Bei der Untersuchung des Objekts ist ein Fehler aufgetreten. Die Anwendung erhielt keinen Zugriff auf das Objekt: Die Integrität des Objekts ist beschädigt (z.B. kein Endpunkt in einem Multi-Level-Archiv) oder die Verbindung zu dem Objekt fehlt (wenn ein Objekt in einer Netzwerkressource untersucht wird). Informationen darüber, dass das Objekt verarbeitet wurde, können Sie dem Bericht über die Arbeit der Anwendung entnehmen. |
CURE- |
. Das Objekt enthält einen bekannten Viruscode. Die Desinfektion ist möglich. |
Das Objekt enthält einen Virus, der desinfiziert werden kann. Das Programm führt die Desinfektion des Objekts aus, wobei der Text des Viruskörpers in CURE geändert wird. Beim Fund eines solchen Objekts, erhalten Sie eine Meldung. |
DELE- |
. Das Objekt enthält einen bekannten Viruscode. Die Desinfektion ist nicht möglich. |
Das Programm identifiziert dieses Objekt als Virus, der nicht desinfiziert werden kann. Beim Desinfektionsversuch des Objekts tritt ein Fehler auf und die für irreparable Objekte geltende Akt Beim Fund eines solchen Objekts, erhalten Sie eine Meldung. |