El archivo de prueba de antivirus EICAR [1] o archivo de prueba EICAR es un archivo de computadora que fue desarrollado por el Instituto Europeo de Investigación de Antivirus de Computadoras (EICAR) y la Organización de Investigación de Antivirus de Computadoras (CARO), para probar la respuesta de antivirus de computadora (AV ) programas. [2] En lugar de usar malware real, que podría causar daños reales, este archivo de prueba permite a las personas probar software antivirus sin tener que usar un virus informático real . [3]
Los programadores de antivirus establecen la cadena EICAR como un virus verificado, similar a otras firmas identificadas. Un escáner de virus compatible, al detectar el archivo, responderá más o menos de la misma manera que si encontrara un virus dañino. No todos los escáneres de virus son compatibles y es posible que no detecten el archivo incluso si están configurados correctamente. Ni la forma en que se detecta el archivo ni la redacción con la que se marca están estandarizados, y pueden diferir de la forma en que se marca el malware real, pero deben evitar que se ejecute siempre que cumpla con las estrictas especificaciones establecidas por European. Instituto de Investigación de Antivirus Informático . [4]
El uso de la cadena de prueba EICAR puede ser más versátil que la detección sencilla: un archivo que contiene la cadena de prueba EICAR se puede comprimir o archivar , y luego se puede ejecutar el software antivirus para ver si puede detectar la cadena de prueba en el archivo comprimido. Muchas de las comprobaciones de configuración de funciones de AMTSO [5] se basan en la cadena de prueba EICAR. [5]
Diseño
El archivo es un archivo de texto de entre 68 y 128 bytes [6] que es un archivo ejecutable .com legítimo ( código de máquina x86 simple ) que puede ser ejecutado por MS-DOS , algunos work-alikes y sus sucesores OS / 2 y Windows (excepto para 64 bits debido a limitaciones de 16 bits). Cuando se ejecuta, el archivo de prueba EICAR imprimirá "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" y luego se detendrá. La cadena de prueba fue escrita por destacados investigadores antivirus Padgett Peterson y Paul Ducklin y diseñada para consistir en caracteres ASCII legibles por humanos, creados fácilmente usando un teclado de computadora estándar. [7] Hace uso de código auto-modificable para solucionar problemas técnicos que esta restricción impone a la ejecución de la cadena de prueba. [8]
La cadena de prueba EICAR [9] dice: [10]
X5O! P% @ AP [4 \ PZX54 (P ^) 7CC) 7} $ EICAR-STANDARD-ANTIVIRUS-TEST-FILE! $ H + H *
NOTA: El tercer carácter es la letra mayúscula "O", no el dígito cero.
Los valores hash de la cadena (68 bytes sin ningún carácter de nueva línea al final) son los siguientes:
Tipo hash | Valor |
---|---|
CRC32 | 6851cf3c |
MD5 | 44d88612fea8a8f36de82e1278abb02f |
SHA1 | 3395856ce81f2b7382dee72602f798b642f14140 |
SHA224 | b42ec8b47deb2dc75edebd01132d63f8e8d4cd08e5d26d8bd366bdc5 |
SHA256 | 275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f |
SHA384 | 038f2e50e33dacef50d7e503b45c3525fcdbe89a823f9c44 |
SHA512 | cc805d5fab1fd71a4ab352a9c533e65fb2d5b885518f4e565e68847223b8e6b8 |
Adopción
Los desarrolladores de un software antivirus, Malwarebytes , han dicho que no agregaron el archivo de prueba EICAR a su base de datos porque "agregar malware falso y archivos de prueba como EICAR a la base de datos quita tiempo a la investigación de malware y no prueba nada en el largo plazo ". [11] [12]
De acuerdo con la especificación de EICAR, el antivirus detecta el archivo de prueba solo si comienza con la cadena de prueba de 68 bytes y no tiene más de 128 bytes de longitud. Como resultado, no se espera que los antivirus den la alarma en algún otro documento que contenga la cadena de prueba. [13] El archivo de prueba aún se puede usar para algunos propósitos maliciosos, aprovechando la reacción del software antivirus:
- Una condición de carrera que involucre enlaces simbólicos puede hacer que los antivirus se eliminen a sí mismos. [14]
- Un archivo de prueba EICAR con codificación QR bloquea algunos sistemas de CCTV. [15] [se necesita una mejor fuente ]
Ver también
- GTUBE : una prueba similar para correo electrónico masivo no solicitado ( correo no deseado )
Referencias
- ^ "¿Está funcionando su antivirus?" . PCMAG . Consultado el 17 de abril de 2017 .
- ^ Hay, Richard (12 de septiembre de 2016). "Cómo: probar el filtro SmartScreen y los escenarios de detección de Windows Defender" . IT Pro Today . Consultado el 3 de julio de 2019 .
- ^ Hess, Ken. "Primeras impresiones de 360 Total Security Anti-virus: refrescantemente sutil pero completo | ZDNet" . ZDNet . Consultado el 17 de abril de 2017 .
- ^ "El uso y mal uso de los archivos de prueba en las pruebas de Anti-Malware" (PDF) . AMTSO . 2012-02-24 . Consultado el 3 de julio de 2019 .
- ^ a b "Herramientas de verificación de características de seguridad AMTSO" . AMTSO .
- ^ Willems, Eddy (junio de 2003). "Los vientos de cambio: actualizaciones del archivo de prueba EICAR" (PDF) . Boletín de virus .
- ^ Willems, Eddy. "Historial de archivos de prueba de EICAR" (PDF) . Eicar - Grupo europeo de expertos en seguridad informática . Consultado el 9 de mayo de 2020 .
- ^ "Anatomía del archivo de prueba de antivirus EICAR" . Actualizaciones y anuncios de seguridad de NinTechNet .
- ^ "EICAR-STANDARD-ANTIVIRUS-TEST-FILE" . Consultado el 21 de julio de 2019 .
- ^ "Perfil de virus: archivo de prueba EICAR" . McAfee . Archivado desde el original el 5 de febrero de 2009 . Consultado el 9 de mayo de 2020 .CS1 maint: URL no apta ( enlace )
- ^ "Malwarebytes no puede detectar el virus de prueba EICAR" . Foros de Malwarebytes .
- ^ "Malwarebytes 3 - Preguntas frecuentes" . Foros de Malwarebytes .
- ^ "Descargar archivo de prueba de Anti Malware - Eicar" (en alemán).
- ^ "Explotar (casi) todos los software antivirus - RACK911 Labs" .
- ^ "Prueba EICAR QR" .
enlaces externos
- Sitio web oficial (también conocido como European Expert Group for IT-Security)
- Un examen del programa de pruebas estándar AV de EICAR Análisis en lenguaje ensamblador del archivo de prueba EICAR
- VirusTotal Antivirus es el resultado de escanear el archivo EICAR
- "El uso y mal uso de los archivos de prueba en las pruebas de Anti-Malware" . Organización de Estándares de Pruebas Anti-Malware. Archivado desde el original el 16 de agosto de 2017.