A víruskereső szoftver minden tisztességes kiberbiztonsági stratégia kulcsfontosságú eleme, akár egy nagy szervezet, akár egy személyes eszköz külső támadásokkal szembeni védelmére használják. Több száz víruskereső szoftvermegoldás létezik, és legtöbbjük ugyanazon az alapelven működik: észlelik, karanténba helyezik és eltávolítják a rosszindulatú kódokat.
De van-e mód annak tesztelésére, hogy egy víruskereső program megfelelően működik-e? A válasz igen, és ez magában foglalja az EICAR tesztfájlt.
Mi az EICAR tesztfájl?
Egyszerűen fogalmazva, az EICAR tesztfájl egy számítógépes fájl, amelyet a vírusirtó (malware-ellenes) termékek válaszának tesztelésére fejlesztettek ki. Ez nem egy igazi számítógépes vírus, de utánozza a rosszindulatú programokat, így biztonságos és hatékony tesztelést tesz lehetővé.
Az EICAR tesztfájlt az Európai Számítógépes Antivírus Kutatóintézet (EICAR) és a Computer Antivirus Research Organisation (CARO) fejlesztette ki. Mindkét szervezet az 1990-es évek eleje óta működik, és jelenleg is működik rosszindulatú programok kutatására összpontosított.
A vírusirtó tesztelése az EICAR tesztfájllal
Az EICAR tesztfájl letöltéséhez és annak ellenőrzéséhez, hogy megfelelő-e a víruskereső, látogasson el a következő oldalra eicar.org. Az oldal négy különböző fájlt kínál letöltésre: eicar.com, eicar.com.txt, eicar_com.zip és eicarcom2.zip. Erősen ajánlott mindegyiket letölteni, és hagyni, hogy a víruskereső megtegye, amit kell.
Az első fájl, az eicar.com, 68 bájt hosszú, és a következő ASCII karakterláncot tartalmazza: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H +H*. A második fájl ennek a fájlnak a másolata, más fájlnévvel. A harmadik fájl, az eicar_com.zip, a ZIP archív fájl amelyet ki kell csomagolni a tényleges "vírus" eléréséhez. A negyedik fájl tartalmazza a harmadik fájlt. Tehát az eicarcom2.zip fájlban maga az EICAR tesztfájl két ZIP-fájlréteg alatt van elrejtve.
Ha megpróbálja letölteni a fájlok bármelyikét, és a víruskereső szoftver blokkolja a letöltést, akkor megfelelően végzi a dolgát. Ha azonban valóban tesztelni szeretné, kapcsolja ki egy pillanatra a víruskeresőt, töltse le a negyedik fájlt (amelynek két ZIP rétege van), majd vizsgálja meg. annak ellenőrzésére, hogy az Ön által használt termék képes-e áthatolni ezen a több rétegen, és észlelni a rosszindulatú kódot.
Jó vírusirtó szoftver azonnal észleli, majd karanténba helyezi vagy törli az EICAR tesztfájlt.
Mi a teendő, ha a víruskereső nem észleli az EICAR tesztfájlt?
Ha a víruskereső programcsomag valamilyen okból nem észleli az EICAR tesztfájlt, akkor valószínűleg nem elég jó, nem működik megfelelően, vagy egyszerűen nem frissült már jó ideje. Vannak azonban kivételek. Például a Malwarebytes, amely egy jó és megbízható kártevőirtó termék, nem mindig ismeri fel rosszindulatúnak az EICAR tesztfájlt.
Malwarebytes 2016-ban azt mondta, hogy "az EICAR-húrok észlelése semmit sem jelent a termékek valós hatékonyságának bizonyítása szempontjából. fenyegetések." A cég szerint az EICAR kísérlet csak azt tudja megmutatni, hogy egy víruskereső program képes-e használni a mintaegyeztető aláírást, de még ha képes is rá, ez nem jelenti azt, hogy meg tudja állítani a kifinomultabb rosszindulatú támadásokat, amelyek bizonyos elfedést és aláírás-elkerülést alkalmaznak. technikák.
A rosszindulatú programok elleni szoftver tesztelése
A Malwarebytes kritikájának lehet némi érdeme, de ettől eltekintve az EICAR tesztfájl továbbra is hasznosnak bizonyulhat a víruskereső szoftver lehetséges fenyegetésekre adott válaszának tesztelésében.
Ennek ellenére magától értetődő, hogy kerülje az árnyékos webhelyeket, ne töltsön le semmit ismeretlen forrásból, és soha ne kattintson a gyanús hivatkozásokra vagy e-mail mellékletekre.
És függetlenül attól, hogy melyik kártevőirtó terméket használja, rendszeresen frissítse azt, és tartsa szemmel a kiberbiztonság legújabb trendjeit. Mindezek ellenére számos más módszer is létezik a víruskereső szoftverek tesztelésére anélkül, hogy eszközét és személyes adatait veszélyeztetné.