haker.info  — Etyczny hacking_
Spreading knowledge like a virus.

EICAR-Test-File — szczeg贸艂y

Nazwa EICAR-Test-File
Made in Poland Nie
Platforma MS-DOS
Rok znalezienia 2003
Rozmiar pliku 68 bajtów
CRC32 6851cf3c
MD5 44d88612fea8a8f36de82e1278abb02f
SHA1 3395856ce81f2b7382dee72602f798b642f14140
SHA256 275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f
SHA512 cc805d5fab1fd71a4ab352a9c533e65fb2d5b885518f4e565e68847223b8e6b85cb48f3afad842726d99239c9e36505c64b0dc9a061d9e507d833277ada336ab
Screenshots

Sygnatury  Tagi
#not-a-virus 

Co to jest plik Eicar?

kr贸t EICAR oznacza European Institute for Computer Anti-Virus Research. Instytut ten to organizacja pracuj膮ca nad rozwojem technik wykrywania i zwalczania nie tylko wirus贸w komputerowych, ale og贸lnie poj臋tego z艂o艣liwego oprogramowania (ang. malware). To w艂a艣nie w tym instytucie zrodzi艂 si臋 pomys艂 stworzenia pliku, kt贸ry b臋dzie rozpoznawany jako wirus komputerowy, ale nie b臋dzie wykonywa艂 偶adnych szkodliwych dzia艂a艅. Uznano, 偶e plik tego rodzaju b臋dzie bardzo pomocny przy testowaniu oprogramowania antywirusowego. Za pomoc膮 tego ma艂ego pliku ka偶dy u偶ytkownik mo偶e sprawdzi膰 dzia艂anie zainstalowanego antywirusa. Metody przeprowadzenia testu mog膮 by膰 r贸偶ne. Mo偶na spr贸bowa膰 pobra膰 ten plik z internetu, aby sprawdzi膰 czy gdzie艣 na 艂膮czu jest oprogramowanie antywirusowe. Pobieranie mo偶na spr贸bowa膰 wykona膰 standardowo oraz przez ruch szyfrowany (np. HTTPS). Warto te偶 sprawdzi膰 czy antywirus wykrywa plik w czasie rzeczywistym (pr贸bie dost臋pu). Kolejny pomys艂 to weryfikacja czy plik testowy Eicar spakowany w archiwum ZIP r贸wnie偶 zostanie wykryty czy te偶 nie.


Budowa pliku Eicar

Plik Eicar jest programem typu .com dla systemu MS-DOS. Jego rozmiar to 68 bajt贸w. W celu zmniejszenia mo偶liwo艣ci u偶ycia tego pliku w z艂o艣liwym celu wprowadzono limit ograniczaj膮cy ilo艣膰 bajt贸w do maksymalnie 128. Jego dzia艂anie to wy艣wietlenie napisu na ekranie o tre艣ci:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Zawarto艣膰 pliku Eicar zosta艂a opracowana tak, aby zawiera艂a jedynie drukowalne znaki ASCII bez spacji i innych nietypowych znak贸w.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Maj膮c powy偶szy ci膮g znak贸w bardzo 艂atwo mo偶na utworzy膰 plik do test贸w. Wystarczy wklei膰 ten ci膮g znak贸w np. do programu Notatnik w systemie Windows i zapisa膰 z rozszerzeniem .com.

Warto zaznaczy膰, 偶e na stronie https://www.eicar.org/?page_id=3950 dost臋pne s膮 gotowe pliki testowe typu Eicar do pobrania.


Analiza kodu pliku Eicar.com

Nowsze systemy Windows nie wspieraj膮 uruchamiania 16-bitowych aplikacji dla podsystemu MS-DOS. Zatem w celu analizy pr贸bki Eicar mo偶na u偶y膰 emulatora DOSBox. Na rysunku poni偶ej przedstawiono plik eicar.com otwarty w narz臋dziu Turbo Debugger. Kolejny rysunek poni偶ej prezentuje listing w j臋zyku Asembler uzyskany poprzez deasemblacj臋 pliku .com. Umieszczone zosta艂y w nim komentarze, aby lepiej zrozumie膰 dzia艂anie osobom zainteresowanym. Nale偶y tutaj zaznaczy膰, 偶e program Eicar korzysta z techniki modyfikowania w艂asnego kodu (ang. self-modifying code).



Pozosta艂e sygnatury

Plik testowy EICAR-Test-File mo偶e mie膰 r贸偶ne sygnatury zale偶nie od u偶ywanego programu antywirusowego.

EICAR-Test-File (not A Virus)   Virus/EICAR_Test_File   Misc.Eicar-Test-File   EICAR Anti-Virus Test File   EICAR Test-NOT Virus!!!   Win32.Test.Eicar.a   EICAR.TestFile   Eicar.test.file   EICAR_Test_File   Test.eicar.aa   Virus.COM.Eicar.TestFile   Marker.Dos.EICAR-Test-File.dyb   Qex.eicar.gen.gen   NotAThreat.EICAR[TestFile]   ALG:EICAR Test String   EICAR.TEST.NOT-A-VIRUS   Test.File.EICAR.y   Trojan:MacOS/eicar.com   TestFile/Win32.EICAR   DOS.EiracA.Trojan   Win.Test.EICAR_HDB-1   Virus:DOS/EICAR_Test_File   EICAR-AV-TEST-FILE   EICAR-AV-Test   W32.Eicar.Testvirus.Gen   EICAR.Test.File-NoVirus.250



Dawid Farbaniec

Wszystkie tre艣ci umieszczone na tej witrynie s膮 chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawarto艣ci tej witryny bez zgody autora. Wszelkie opublikowane tutaj tre艣ci (w tym kody 藕r贸d艂owe i inne) s艂u偶膮 wy艂膮cznie celom informacyjnym oraz edukacyjnym. W艂a艣ciciele tej witryny nie ponosz膮 odpowiedzialno艣ci za ewentualne niezgodne z prawem wykorzystanie zasob贸w dost臋pnych w witrynie. U偶ytkownik tej witryny o艣wiadcza, 偶e z zamieszczonych tutaj danych korzysta na w艂asn膮 odpowiedzialno艣膰. Wszelkie znaki towarowe i nazwy zastrze偶one zosta艂y u偶yte jedynie w celach informacyjnych i nale偶膮 wy艂膮cznie do ich prawnych w艂a艣cicieli. Korzystaj膮c z zasob贸w witryny haker.info o艣wiadczasz, 偶e akceptujesz powy偶sze warunki oraz polityk臋 prywatno艣ci.