Online: 0x02D (45)
haker.iиfø  — Etyczny hacking_
Spreading knowledge like a virus.

EICAR-Test-File — szczegóły

Nazwa EICAR-Test-File
Made in Poland Nie
Platforma MS-DOS
Rok znalezienia 2003
Rozmiar pliku 68 bajtów
CRC32 6851cf3c
MD5 44d88612fea8a8f36de82e1278abb02f
SHA1 3395856ce81f2b7382dee72602f798b642f14140
SHA256 275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f
SHA512 cc805d5fab1fd71a4ab352a9c533e65fb2d5b885518f4e565e68847223b8e6b85cb48f3afad842726d99239c9e36505c64b0dc9a061d9e507d833277ada336ab
Screenshots

Sygnatury  Tagi
#not-a-virus 

Co to jest plik Eicar?

krót EICAR oznacza European Institute for Computer Anti-Virus Research. Instytut ten to organizacja pracująca nad rozwojem technik wykrywania i zwalczania nie tylko wirusów komputerowych, ale ogólnie pojętego złośliwego oprogramowania (ang. malware). To właśnie w tym instytucie zrodził się pomysł stworzenia pliku, który będzie rozpoznawany jako wirus komputerowy, ale nie będzie wykonywał żadnych szkodliwych działań. Uznano, że plik tego rodzaju będzie bardzo pomocny przy testowaniu oprogramowania antywirusowego. Za pomocą tego małego pliku każdy użytkownik może sprawdzić działanie zainstalowanego antywirusa. Metody przeprowadzenia testu mogą być różne. Można spróbować pobrać ten plik z internetu, aby sprawdzić czy gdzieś na łączu jest oprogramowanie antywirusowe. Pobieranie można spróbować wykonać standardowo oraz przez ruch szyfrowany (np. HTTPS). Warto też sprawdzić czy antywirus wykrywa plik w czasie rzeczywistym (próbie dostępu). Kolejny pomysł to weryfikacja czy plik testowy Eicar spakowany w archiwum ZIP również zostanie wykryty czy też nie.


Budowa pliku Eicar

Plik Eicar jest programem typu .com dla systemu MS-DOS. Jego rozmiar to 68 bajtów. W celu zmniejszenia możliwości użycia tego pliku w złośliwym celu wprowadzono limit ograniczający ilość bajtów do maksymalnie 128. Jego działanie to wyświetlenie napisu na ekranie o treści:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Zawartość pliku Eicar została opracowana tak, aby zawierała jedynie drukowalne znaki ASCII bez spacji i innych nietypowych znaków.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Mając powyższy ciąg znaków bardzo łatwo można utworzyć plik do testów. Wystarczy wkleić ten ciąg znaków np. do programu Notatnik w systemie Windows i zapisać z rozszerzeniem .com.

Warto zaznaczyć, że na stronie https://www.eicar.org/?page_id=3950 dostępne są gotowe pliki testowe typu Eicar do pobrania.


Analiza kodu pliku Eicar.com

Nowsze systemy Windows nie wspierają uruchamiania 16-bitowych aplikacji dla podsystemu MS-DOS. Zatem w celu analizy próbki Eicar można użyć emulatora DOSBox. Na rysunku poniżej przedstawiono plik eicar.com otwarty w narzędziu Turbo Debugger. Kolejny rysunek poniżej prezentuje listing w języku Asembler uzyskany poprzez deasemblację pliku .com. Umieszczone zostały w nim komentarze, aby lepiej zrozumieć działanie osobom zainteresowanym. Należy tutaj zaznaczyć, że program Eicar korzysta z techniki modyfikowania własnego kodu (ang. self-modifying code).



Pozostałe sygnatury

Plik testowy EICAR-Test-File może mieć różne sygnatury zależnie od używanego programu antywirusowego.

EICAR-Test-File (not A Virus)   Virus/EICAR_Test_File   Misc.Eicar-Test-File   EICAR Anti-Virus Test File   EICAR Test-NOT Virus!!!   Win32.Test.Eicar.a   EICAR.TestFile   Eicar.test.file   EICAR_Test_File   Test.eicar.aa   Virus.COM.Eicar.TestFile   Marker.Dos.EICAR-Test-File.dyb   Qex.eicar.gen.gen   NotAThreat.EICAR[TestFile]   ALG:EICAR Test String   EICAR.TEST.NOT-A-VIRUS   Test.File.EICAR.y   Trojan:MacOS/eicar.com   TestFile/Win32.EICAR   DOS.EiracA.Trojan   Win.Test.EICAR_HDB-1   Virus:DOS/EICAR_Test_File   EICAR-AV-TEST-FILE   EICAR-AV-Test   W32.Eicar.Testvirus.Gen   EICAR.Test.File-NoVirus.250



Dawid Farbaniec

Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Korzystając z zasobów witryny haker.info oświadczasz, że akceptujesz powyższe warunki oraz politykę prywatności.