Archivo de prueba EICAR
La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la
versión revisada el 27 de junio de 2020; las comprobaciones requieren
9 ediciones .
EICAR (o EICAR -Test-File - del Instituto Europeo para la Investigación de Antivirus Informáticos ) es un archivo estándar que se utiliza para comprobar si un antivirus está funcionando . De hecho, no es un virus; cuando se ejecuta como un archivo COM de DOS , solo imprime un mensaje de texto y vuelve a DOS. El programa se ejecuta en entornos que admiten la ejecución de software DOS de 16 bits, como MS-DOS , OS/2 , Windows 9x y Windows NT de 32 bits . En las versiones de Windows de 64 bits , el archivo no se ejecuta.
Aunque los archivos COM son generalmente binarios , EICAR solo contiene caracteres ASCII . Por lo tanto, cualquier usuario puede verificar que su antivirus está funcionando escribiendo en un editor de texto (por ejemplo, en el Bloc de notas ) una cadena de prueba de 68 a 128 bytes [1] y guardándola con la extensión .EXE o .COM . Los caracteres CR/LF que el editor pueda agregar al final del archivo no afectan el funcionamiento de EICAR. Por lo general, si el monitor residente del antivirus está habilitado, se muestra una advertencia después de hacer clic en el botón "Guardar".
Reacción antivirus
Un antivirus que detecta esta cadena debe actuar exactamente igual que cuando detecta un virus real. Por lo tanto, el hecho de que la alarma esté entrenando, el antivirus suele informar en el nombre del virus:
- Prueba EICAR-NO virus!!! ( ¡Avast! ),
- Archivo de prueba EICAR ( Kaspersky Anti-Virus ),
- Archivo de prueba EICAR (¡No es un virus!) ( Doctor Web ),
- Prueba EICAR-AV ( Sophos ),
- Archivo_de_prueba_EICAR ( RAV ),
- eicar_test_file ( Trend Micro ),
- Eicar-Test-Firma ( Avira AntiVir ),
- EICAR_Test_File ( FRISK ),
- Prueba_EICAR (+356) ( Grisoft ),
- Firma de prueba de Eicar ( ClamAV ),
- Eicar.Mod ( Panda Cloud Antivirus ),
- VIRUS:DOS/EICAR_Test_File ( Microsoft Security Essentials , Windows Defender ).
- Archivo de prueba Eicar ( NOD32 )
- Teststring.Eicar ( Comodo Internet Security , Comodo AntiVirus )
- EICAR_test_file (Virus) ( Outpost Security Suite )
Es extremadamente raro encontrar antivirus que no respondan a esta prueba.
Para qué sirve
Por supuesto, EICAR no comprueba la rapidez con la que los desarrolladores responden a los virus y la eficacia con la que se curan los archivos infectados; esto requiere un "zoológico" de virus nuevos. Su tarea es diferente: demostrar la operatividad del sistema antivirus e indicar qué objetos son escaneados por el antivirus y cuáles no. Por ejemplo:
- Existe la sospecha de que la computadora está infectada. ¿Está activo el monitor residente o el virus ha logrado desactivarlo?
- Un gusano de correo ordinario como VBS.LoveLetter debe pasar por varias etapas para ser infectado: llegar al servidor de correo a través del protocolo SMTP ; arranque en una computadora usando el protocolo POP3 ; registrarse en la base de datos del cliente de correo ; a petición del usuario, descomprímalo en un archivo temporal y ejecútelo. ¿En qué etapa se notará?
- Hay muchas maneras de "arrastrar" un programa malicioso más allá de los "ojos" de un antivirus: codificar en Base64 , incrustar en un objeto OLE Microsoft Word , RAR , JPEG , comprimir con un empaquetador como UPX . ¿Cuál de estos desempaquetará el antivirus?
- Además, los antivirus no solo son locales, sino también de red: verifican el tráfico de red ; en caso de un error de configuración, cargarán el servidor con trabajo innecesario o, por el contrario, omitirán archivos maliciosos.
- Basta ver la reacción del antivirus: por ejemplo, en las versiones antiguas del antivirus Kaspersky , cuando se detectaba un virus, se oía un fuerte chillido de cerdo [2] .
Para verificar cuál será la reacción del antivirus, por supuesto, también puede usar un virus "en vivo", pero esto es "como prender fuego a un contenedor de incendios para verificar una alarma de incendio ". [3] Para ello se propuso un archivo estandarizado que no lleve carga maliciosa.
archivo COM
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Este archivo COM imprime el siguiente mensaje cuando se ejecuta:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
luego devuelve el control a DOS .
Notas
- ↑ https://www.virusbtn.com/pdf/magazine/2003/200306.pdf
- ↑ Copia archivada (enlace no disponible) . Consultado el 25 de julio de 2017. Archivado desde el original el 13 de abril de 2018. (indefinido)
- ↑ Sitio web de EICAR . Consultado el 30 de diciembre de 2009. Archivado desde el original el 7 de enero de 2010. (indefinido)
Véase también