“Wirus” testowy EICAR i jego modyfikacje
Ten wirus testowy został zaprojektowany przez instytut EICAR (The European Institute for Computer Antivirus Research) w celu testowania programów antywirusowych.
“Wirus” testowy NIE JEST prawdziwym wirusem, ponieważ nie zawiera kodu mogącego uszkodzić komputer. Jednak, większość programów antywirusowych wykrywa EICAR jako wirusa.
Nigdy nie używaj prawdziwych wirusów do testowania działania programów antywirusowych!
“Wirusa” testowego możesz pobrać z oficjalnej strony EICAR, dostępnej pod adresem http://www.eicar.org/anti_virus_test_file.htm.
Przez pobraniem pliku należy wstrzymać ochronę antywirusową komputera, w przeciwnym wypadku aplikacja zidentyfikuje i przetworzy plik “wirusa” testowego pobranego ze strony anti_virus_test_file.htm jako zainfekowany obiekt przesyłany przy użyciu protokołu HTTP.
Aplikacja identyfikuje pliki pobrane ze strony EICAR jako zainfekowane obiekty zawierające wirusa, których nie można wyleczyć ani nie można wykonać na nich żadnych działań.
Możesz także użyć modyfikacji standardowego “wirusa” testowego w celu zweryfikowania działania aplikacji. W tym celu należy zmienić zawartość standardowego “wirusa” przez dodanie do niego jednego z przedrostków (poniższa tabela). “Wirusa” testowego możesz zmodyfikować przy użyciu dowolnego programu do edycji tekstu, takiego jak Microsoft Notepad lub UltraEdit32.
Pierwsza kolumna tabeli (patrz poniżej) zawiera prefiksy, które należy dodać na początku standardowego “wirusa” testowego, aby utworzyć jego modyfikacje. Druga kolumna zawiera wszystkie możliwe stany przypisane do obiektu na podstawie wyników skanowania wykonanego przez aplikację. Trzecia kolumna zawiera informacje na temat przetwarzania przez aplikację obiektów z określonym stanem. Pamiętaj, że akcje wykonywane na obiektach są określone przez ustawienia aplikacji.
Po dodaniu prefiksu do “wirusa” testowego zapisz plik pod inną nazwą skojarzoną z dokonaną modyfikacją, na przykład, jeżeli został dodany prefiks DELE, zapisz plik jako eicar_dele.com.
Upewnij się, że po pobraniu “wirusa” testowego i utworzeniu jego modyfikacji ochrona antywirusowa została wznowiona.
Modyfikacje wirusa testowego
|
Stan obiektu |
Informacje dotyczące przetwarzania obiektu |
---|---|---|
Brak przedrostka, standardowy “wirus” testowy. |
. Obiekt zawiera kod znanego wirusa. Leczenie nie jest możliwe. |
Aplikacja identyfikuje obiekt jako wirusa, którego nie można wyleczyć. Wystąpił błąd podczas próby wyleczenia obiektu; zostanie zastosowana akcja analogiczna jak dla obiektów, których nie można wyleczyć. |
CORR- |
. |
Aplikacja ma dostęp do obiektu, ale nie może go przeskanować, ponieważ obiekt jest uszkodzony (na przykład, naruszona struktura pliku, nieprawidłowy format pliku). Informacje o tym, w jaki sposób obiekt został przetworzony możesz znaleźć w raporcie z działania aplikacji. |
WARN- |
. Obiekt zawiera kod nieznanego wirusa. Leczenie nie jest możliwe. |
Obiekt został zidentyfikowany jako podejrzany. W chwili wykrycia bazy danych sygnatur zagrożeń nie zawierały opisu procedury leczenia tego obiektu. Zostaniesz powiadomiony w przypadku wykrycia tego typu obiektu. |
SUSP- |
. Obiekt zawiera zmodyfikowany kod znanego wirusa. Leczenie nie jest możliwe. |
Aplikacja wykryła, że część kodu znajdującego się w obiekcie jest taka sama jak fragment kodu znanego wirusa. W chwili wykrycia bazy danych sygnatur zagrożeń nie zawierały opisu procedury leczenia tego obiektu. Zostaniesz powiadomiony w przypadku wykrycia tego typu obiektu. |
ERRO- |
Błąd skanowania. |
Wystąpił błąd podczas skanowania obiektu. Aplikacja nie mogła uzyskać dostępu do obiektu: naruszona została integralność obiektu (na przykład, fragment wieloczęściowego archiwum jest uszkodzony) lub nie można nawiązać z nim połączenia (jeżeli skanowany obiekt znajduje się w zasobie sieciowym). Informacje o tym, w jaki sposób obiekt został przetworzony możesz znaleźć w raporcie z działania aplikacji. |
CURE- |
. Obiekt zawiera kod znanego wirusa. Istnieje możliwość wyleczenia obiektu. |
Obiekt zawiera wirusa, który może zostać wyleczony. Aplikacja wyleczy obiekt; treść wirusa zostanie zastąpiona słowem CURE. Zostaniesz powiadomiony w przypadku wykrycia tego typu obiektu. |
DELE- |
. Obiekt zawiera kod znanego wirusa. Leczenie nie jest możliwe. |
Aplikacja identyfikuje obiekt jako wirusa, którego nie można wyleczyć. Wystąpił błąd podczas próby wyleczenia obiektu; zostanie zastosowana akcja analogiczna jak dla obiektów, których nie można wyleczyć. Zostaniesz powiadomiony w przypadku wykrycia tego typu obiektu. |