🦠 Co to jest plik Eicar?
Co to jest plik Eicar?
Plik Eicar to nieszkodliwy program typu .com dla systemu MS-DOS. Służy do testów działania oprogramowania antywirusowego. Skrót EICAR oznacza European Institute for Computer Anti-Virus Research. Instytut ten to organizacja pracująca nad rozwojem technik wykrywania i zwalczania nie tylko wirusów komputerowych, ale ogólnie pojętego złośliwego oprogramowania (ang. malware). To właśnie w tym instytucie zrodził się pomysł stworzenia pliku, który będzie rozpoznawany jako wirus komputerowy, ale nie będzie wykonywał żadnych szkodliwych działań. Uznano, że plik tego rodzaju będzie bardzo pomocny przy testowaniu oprogramowania antywirusowego. Za pomocą tego małego pliku każdy użytkownik może sprawdzić działanie zainstalowanego antywirusa. Metody przeprowadzenia testu mogą być różne. Można spróbować pobrać ten plik z internetu, aby sprawdzić czy gdzieś na łączu jest oprogramowanie antywirusowe. Pobieranie można spróbować wykonać standardowo oraz przez ruch szyfrowany (np. HTTPS). Warto też sprawdzić czy antywirus wykrywa plik w czasie rzeczywistym (próbie dostępu). Kolejny pomysł to weryfikacja czy plik testowy Eicar spakowany w archiwum ZIP również zostanie wykryty czy też nie.
Budowa pliku Eicar
Plik Eicar jest programem typu .com dla systemu MS-DOS. Jego rozmiar to 68 bajtów.
W celu zmniejszenia możliwości użycia tego pliku w złośliwym celu wprowadzono limit ograniczający
ilość bajtów do maksymalnie 128. Jego działanie to wyświetlenie napisu na ekranie o treści:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
Zawartość pliku Eicar została opracowana tak, aby zawierała jedynie drukowalne znaki ASCII bez spacji i innych nietypowych znaków.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Mając powyższy ciąg znaków bardzo łatwo można utworzyć plik do testów. Wystarczy wkleić ten ciąg znaków np. do programu Notatnik w systemie Windows i zapisać z rozszerzeniem .com.
Warto zaznaczyć, że na stronie https://www.eicar.org/?page_id=3950 dostępne są gotowe pliki testowe typu Eicar do pobrania.
Analiza kodu pliku Eicar.com
Nowsze systemy Windows nie wspierają uruchamiania 16-bitowych aplikacji dla podsystemu MS-DOS. Zatem w celu analizy próbki Eicar można użyć emulatora DOSBox. Na rysunku poniżej przedstawiono plik eicar.com otwarty w narzędziu Turbo Debugger. Kolejny rysunek poniżej prezentuje listing w języku Asembler uzyskany poprzez deasemblację pliku .com. Umieszczone zostały w nim komentarze, aby lepiej zrozumieć działanie osobom zainteresowanym. Należy tutaj zaznaczyć, że program Eicar korzysta z techniki modyfikowania własnego kodu (ang. self-modifying code).
Pozostałe sygnatury
Plik testowy EICAR-Test-File może mieć różne sygnatury zależnie od używanego programu antywirusowego.
🦠 EICAR-Test-File (not A Virus) 🦠 Virus/EICAR_Test_File 🦠 Misc.Eicar-Test-File 🦠 EICAR Anti-Virus Test File 🦠 EICAR Test-NOT Virus!!! 🦠 Win32.Test.Eicar.a 🦠 EICAR.TestFile 🦠 Eicar.test.file 🦠 EICAR_Test_File 🦠 Test.eicar.aa 🦠 Virus.COM.Eicar.TestFile 🦠 Marker.Dos.EICAR-Test-File.dyb 🦠 Qex.eicar.gen.gen 🦠 NotAThreat.EICAR[TestFile] 🦠 ALG:EICAR Test String 🦠 EICAR.TEST.NOT-A-VIRUS 🦠 Test.File.EICAR.y 🦠 Trojan:MacOS/eicar.com 🦠 TestFile/Win32.EICAR 🦠 DOS.EiracA.Trojan 🦠 Win.Test.EICAR_HDB-1 🦠 Virus:DOS/EICAR_Test_File 🦠 EICAR-AV-TEST-FILE 🦠 EICAR-AV-Test 🦠 W32.Eicar.Testvirus.Gen 🦠 EICAR.Test.File-NoVirus.250