Миф об «Эйкаре»
бейсенбі, 7 ақпан 2019 ж.
Интернет не перестает поражать. Иногда думаешь: ну все, меня уже ничем не удивить! И через некоторое время находишь что-то еще более примечательное.
«Касперский» ещё в далёком уже 2013ом году создали тестовый антивирус Eicar. Его предназначение - это просто взять под контроль систему, вывести на экран сообщение и снова отдать власть системе.
Первоисточника мы не знаем, этот текст встречается на многих сайтах. И текст этот, надо сказать, прекрасен:
Как же формируются все эти тесты? В идеале картинка такая: в компании специалисты написали разные вирусы, которые пытаются заразить разные версии операционных систем, на которых стоят разные антивирусы и условия при этом тоже разные. После такого вот масштабного тестирования подводятся итоги и пишутся отчеты. Согласитесь, все логично. И у каждого специалиста результаты тестирования могут быть тоже разными, так как у них совершенно другие условия тестирования антивирусной программы.
Мы думаем, что нашим читателям ересь подобных утверждений очевидна, но, тем не менее, напомним о нескольких моментах.
-
EICAR – это, в общем-то, вообще не вирус. Никаких функций саморазмножения, равно как и вредоносного функционала, в нем нет. И естественно, он никакую систему не захватывает. На данный момент это, по сути, текстовая строка, хотя формально – исполняемый файл формата .com (тип компактного исполняемого файла, широко использовавшийся во времена MS-DOS в качестве системных утилит). Под современными 64-битными версиями OS Windows этот файл уже не запускается.
-
Длина EICAR – менее 100 символов.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Вот это и есть весь Eicar. И, как видно, большая часть его содержимого – текстовая строка
"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
, которую он выводит (выводил) при запуске. Но за видимой простотой скрывается интересный код.Интереснее сразу писать в машинных кодах. Например, EICAR получает код инструкции INT 21h (21CDh) как разницу между 2B48h ('H+') и 097Bh. В свою очередь 097Bh получается как 214Fh ('O!') xor 2834h ('4('). Итого: INT 21h ≡ 'H+' - ('O!' xor '4(')
Весь код:
pop ax ; 'X' ; в стеке лежит двухбайтовое слово, равное 0 ; поэтому теперь ax = 0 xor ax, 214Fh ; '5O!' ; ax = 214Fh push ax ; 'P' and ax, 4140h ; '%@A' ; ax = 0140h push ax ; 'P' pop bx ; '[' ; bx = 0140h xor al, 5Ch ; '4\' ; ax = 011Ch push ax ; 'P' pop dx ; 'Z' ; dx = 011Ch pop ax ; 'X' ; ax = 214Fh xor ax, 2834h ; '54(' ; ax = 097Bh push ax ; 'P' pop si ; '^' ; si = 097Bh sub word ptr [bx], si ; ')7' ; патчим loc_1: было 2B48h, стало 21CDh ; теперь по адресу loc_1: инструкция int 21h inc bx ; 'C' inc bx ; 'C' ; bx = 0142h sub word ptr [bx], si ; ')7' ; патчим следующие два байта после loc_1 ; было 2A48h, стало 20CDh ; теперь по адресу loc_1+2 лежит инструкция int 20h jge short loc_1 ; '}$' ; результат неотрицательный, поэтому будет переход ; пропускаем всё, что между loc_2 и loc_1 loc_2: db 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$' loc_1: db 'H', '+' ; 'H+' ; пропатчено на db 0CDh, 21h ; ah = 09h - вызов функции 9 DOS ; строка берётся из DS:DX, конец строки - '$' ; dx = 011Ch, т. е. PSP + 1Ch = loc_2 db 'H', '*' ; 'H*' ; пропатчено на db 0CDh, 20h ; функция завершения программы
Источник (осторожно, присутствует нецензурная лексика!)
Это вам не на языках высокого уровня писать!
-
Правильно писать EICAR или точнее EICAR-Test-File, так как это сокращение от European Institute for Computer Antivirus Research.
-
Большинство антивирусных продуктов детектируют EICAR, но не все.
Забавно, что определяют его все антивирусы по-разному – единого названия (как и единого наименования для каждой из конкретных вредоносных программ) не существует.
-
«Вирус» есть и на сайте Dr.Web.
Но вообще-то у этого «вируса» есть и собственный официальный сайт, откуда скачать его можно в самых разных вариациях.
Но все это будет, естественно, один и тот же файл. Разница – в расширениях и в том, упакован он или нет.
-
С помощью EICAR не проверяют ни качество лечения, ни качество обнаружения вредоносных программ. Он нужен исключительно для проверки работоспособности антивируса. И на самом деле это очень важный тест. Например, когда у клиента перестали обнаруживаться вирусы или «сыплется» жесткий диск. Антивирусная программа установлена и вроде работает, а эффекта нет. В этих условиях EICAR, не являясь вредоносным файлом, позволяет проверить работоспособность продукта. Его главное достоинство – в том, что пользователь, получив на руки EICAR, не сможет ничего испортить или заразить.
-
Несмотря на свою простоту, EICAR позволяет проверить очень многое. Кликнув по файлу, вы узнаете, работает ли файловый монитор SpIDer Guard. Послав его письмом, проверите, проверяется ли почта модулем SpIDer Mail, а попытавшись его скачать или отправить, выясните, работает ли проверка трафика SpIDer Gate.
-
Как проверить работу антивируса с помощью EICAR, описано здесь.
-
А еще EICAR можно использовать для экспериментов – например, так или так.
Антивирусная правДА! рекомендует
Антивирусные компании не пишут вредоносные программы. Это – уголовно наказуемое деяние, за которое пострадать можно мгновенно, и эффект будет поболее, чем за скачивание секретного троянца с домашнего компьютера. И уж тем более они не создают коллекции вирусов для тестов. Делать им больше нечего!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
22:17:26 2020-12-27
Шалтай Александр Болтай
19:24:03 2019-02-11
achemolganskiy
13:21:23 2019-02-08
robot
10:11:58 2019-02-08
Sasha50
03:44:33 2019-02-08
Геральт
21:45:35 2019-02-07
tigra
21:20:17 2019-02-07
tigra
21:17:06 2019-02-07
tigra
21:13:56 2019-02-07
Шалтай Александр Болтай
21:05:53 2019-02-07
orw_mikle
20:56:53 2019-02-07
Toma
20:53:00 2019-02-07
Dvakota
20:37:45 2019-02-07
znamy
20:09:59 2019-02-07
Lia00
19:59:56 2019-02-07
Andromeda
19:42:28 2019-02-07
anatol
19:37:13 2019-02-07
Roma_93
19:30:41 2019-02-07
Дмитрий
19:20:41 2019-02-07
matt1954
19:11:07 2019-02-07
Альфа
18:59:26 2019-02-07
Спасибо за интересную информацию, раньше не слышал об "Эйкаре".
Rider
17:13:57 2019-02-07
DrKV
16:30:33 2019-02-07
razgen
15:25:32 2019-02-07
c0mpay
14:11:54 2019-02-07
Oleg
13:06:24 2019-02-07
Татьяна
12:46:21 2019-02-07
vinnetou
12:38:01 2019-02-07
Денисенко Павел Андреевич
12:26:12 2019-02-07
Masha
12:24:17 2019-02-07
SGES
11:51:37 2019-02-07
vkor
11:24:00 2019-02-07
sanek-xf
10:44:04 2019-02-07
Natalya_2017
10:41:08 2019-02-07
Dmur
10:41:05 2019-02-07
Anton_S
10:38:56 2019-02-07
Alexander
10:36:19 2019-02-07
P.S. Плановые и внезапные проверки "боеготовности" - это штатные регламентные периодические взаимодействия командиров всех рангов и подчинённых им подразделений. Типа, чтобы карась не жирел и не дремал... Вот и eicar можно попробовать… тем более, что сегодня это предлагают… и, главное, бесплатно!!!
P.P.S. При попытке скачивания файла "eicar.com 68 Bytes" страничка сайта была заблокирована программой Dr.Web Security Space. Файлы "eicar_com.zip 184 Bytes", "eicarcom2.zip 308 Bytes" были скачены на диск компьютера. Один при распаковке был помещён в карантин; второй, при его ручной проверке как одиночного файла, - также был заблокирован.
Так что Dr.Web Security Space "рулит"!!! А что ещё надо обычному интернет-пользователю? Чтоб и по сети полазить, и чтоб ничего не подцепить. И наш любимый Dr.Web Security Space повсюду сопровождает нас как друг, товарищ и личный телохранитель...
Biggurza
10:35:41 2019-02-07
Взлетел над грешною Землёй,
Зловред, заметил без унынья:
«Полёт свободен твой!»
Последний взгляд – и в «паутину»,
Система Stop. Замкнулся круг.
Паук готовит гильотину:
Отец и сын - прощальный круг.
Полёт к свободе – путь первопроходца.
Сейчас другие ходят в небеса,
И яркий луч безжалостного солнца,
Играет в плоскости взведенного ножа.
Вячeслaв
10:32:57 2019-02-07
Вячeслaв
10:32:01 2019-02-07
maestro431
09:36:00 2019-02-07
dyadya_Sasha
09:23:21 2019-02-07
Вирус страшный ваш ЭЙКАР!"
Хватит каркать- это сказки:
Спутали лицо и маски.
Nail
09:21:07 2019-02-07
marisha-san
09:11:03 2019-02-07
Vlad X
09:10:59 2019-02-07
Dr.Web стоит и я ему доверяю.
Lenba
09:05:20 2019-02-07
EvgenyZ
08:58:11 2019-02-07
I23
08:52:56 2019-02-07
Zserg
08:40:49 2019-02-07
eaglebuk
08:13:11 2019-02-07