Het EICAR-testvirus en variaties ervan

Dit testvirus is speciaal ontwikkeld door EICAR (The European Institute for Computer Antivirus Research) om antivirusproducten te testen.

Het testvirus IS GEEN echt virus omdat het geen code bevat die schadelijk is voor uw computer. De meeste antivirusprogramma’s identificeren EICAR echter als een virus.

Gebruik nooit echte virussen om de functionaliteit van een antivirusprogramma te testen.

U kunt dit testvirus downloaden van de officiële EICAR-website: http://www.eicar.org/anti_virus_test_file.htm.

Voordat u het bestand downloadt, moet u de antivirusbescherming van de computer pauzeren omdat het programma anders het gedownloade “testvirus” vanaf de webpagina anti_virus_test_file.htm zou identificeren en verwerken als een geïnfecteerd object dat werd verstuurd via HTTP.

Een bestand dat van de EICAR-website is gedownload, wordt geïdentificeerd als geïnfecteerd object met een virus dat niet kan worden gedesinfecteerd, waarna de actie worden uitgevoerd die voor een dergelijk object is geselecteerd.

U kunt het standaardtestvirus ook wijzigen om de werking van het programma te controleren. Om het “virus” te wijzigen, verandert u de inhoud van het “testvirus” door een van de voorvoegsels toe te voegen (raadpleeg de onderstaande tabel). U kunt het testvirus wijzigen met behulp van een willekeurige tekst- of hyperteksteditor, zoals Microsoft Kladblok of UltraEdit32.

Eerste kolom van de tabel (zie hieronder) bevat de voorvoegsels die aan het begin van het standaard “testvirus” moeten worden toegevoegd om de aanpassingen te maken. De tweede kolom vermeldt alle mogelijke statussen toegewezen aan het object, op basis van de resultaten van de scan door het programma. In de derde kolom wordt toegelicht hoe objecten met de desbetreffende status door het programma worden verwerkt. Let wel dat de acties uitgevoerd op de objecten zijn bepaald door de instellingen van het programma.

Zodra u een voorvoegsel hebt toegevoegd aan het “testvirus”, slaat u het resulterende bestand op onder een naam die de “virusaanpassing” weerspiegelt zoals eicar_dele.com na de toevoeging van het voorvoegsel DELE.

Zorg ervoor dat u de antivirusbescherming hervat na het downloaden van het “testvirus” en het aanbrengen van de aanpassingen.

Variaties van het testvirus

 

Voorvoegsel

Objectstatus

Informatie over objectverwerking

Geen voorvoegsel, standaardtestvirus

Geïnfecteerd.

Object bevat programmacode van een bekend virus. Desinfecteren onmogelijk.

Het object wordt door het programma aangemerkt als niet-desinfecteerbaar.

Pogingen om het object te desinfecteren, resulteren in een foutmelding. De actie die voor niet-desinfecteerbare objecten is ingesteld, wordt toegepast.

CORR–

Beschadigd.

Het object is toegankelijk maar kan niet door het programma worden gescand, omdat het beschadigd is (de bestandsstructuur is bijvoorbeeld beschadigd of de bestandsindeling is ongeldig). In het rapport over de programmawerking kunt u informatie vinden dat het object is verwerkt.

WARN–

Verdacht.

Het object bevat code van een onbekend virus. Desinfecteren onmogelijk.

Het object wordt als verdacht beschouwd. Op het ogenblik van de detectie bevatten de programmadatabases geen omschrijving van de procedure voor de desinfectie van dit object. Wanneer een object van dit type wordt gedetecteerd, wordt u hiervan op de hoogte gesteld.

SUSP–

Verdacht.

Het object bevat gewijzigde code van een bekend virus. Desinfecteren onmogelijk.

Het programma heeft gedetecteerd dat een sectie van de programmacode van het object overeenkomt met een sectie van de programmacode van een bekend virus. Op het ogenblik van de detectie bevatten de programmadatabases geen omschrijving van de procedure voor de desinfectie van dit object. Wanneer een object van dit type wordt gedetecteerd, wordt u hiervan op de hoogte gesteld.

ERRO–

Scanfout.

Er is een fout opgetreden tijdens het scannen van een object. Het programma kon het object niet oproepen omdat de integriteit van het object is aangetast (bijvoorbeeld geen einde bij een archief met meerdere volumes), of als er geen verbinding met het object is (als het object op een netwerkbron wordt gescand). In het rapport over de programmawerking kunt u informatie vinden dat het object is verwerkt.

CURE–

Geïnfecteerd.

Object bevat programmacode van een bekend virus. Desinfecteerbaar.

Het object bevat een virus dat onschadelijk kan worden gemaakt. Het programma desinfecteert het object; de tekst van de virusnaam is vervangen door het woord CURE. Wanneer een object van dit type wordt gedetecteerd, wordt u hiervan op de hoogte gesteld.

DELE–

Geïnfecteerd.

Object bevat programmacode van een bekend virus. Desinfecteren onmogelijk.

Het object wordt door het programma aangemerkt als niet-desinfecteerbaar.

Pogingen om het object te desinfecteren, resulteren in een foutmelding. De actie die voor niet-desinfecteerbare objecten is ingesteld, wordt toegepast.

Wanneer een object van dit type wordt gedetecteerd, wordt u hiervan op de hoogte gesteld.

 

Het EICAR-testvirus en variaties ervan