EICAR

Aus Wiki.csoft.at

European Institute for Computer Antivirus Research

Inhaltsverzeichnis

Wie kann ich überprüfen, ob Kaspersky Antivirus die Filterung durchführt?

Es wird empfohlen, nach der Installation und Konfiguration von Kaspersky Anti-Virus mittels eines "Test-Virus" und dessen Modifikationen zu überprüfen, ob die Anwendung richtig funktioniert.

Der "Test-Virus" wurde von der Organisation EICAR (The European Institute for Computer Antivirus Research) speziell zum Testen von Antivirenprodukten entworfen.

Der "Test-Virus" IST KEIN VIRUS und enthält keinen Programmcode, der Ihrem Computer schaden könnte. Die meisten Antivirenprodukte der meisten Hersteller identifizieren diese Datei jedoch als Virus.

Verwenden Sie niemals einen echten Virus, um die Funktionsfähigkeit eines Antivirenprodukts zu testen!

Sie können den "Test-Virus" von der offiziellen Webseite der Organisation EICAR unter http://www.eicar.org/anti_virus_test_file.htm downloaden. Falls keine Internetverbindung besteht, können Sie selbst einen "Test-Virus" herstellen. Geben Sie dazu in einen beliebigen Texteditor folgende Zeichenkette ein und speichern Sie die Datei als eicar.com:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H*

Die Datei, die Sie von der EICAR-Webseite heruntergeladen oder wie oben beschrieben hergestellt haben, enthält den Körper des standardmäßigen "Test- Virus". Das Antivirenprogramm entdeckt diese Datei, markiert sie als Infiziert und irreparabel, und wendet die vom Administrator für diesen Objekttyp festgelegte Aktion darauf an.

Um die Reaktion des Antivirenprogramms auf den Fund anderer Objekttypen zu testen, verändern Sie den Inhalt des standardmäßigen "Test-Virus", indem Sie eines der Präfixe aus der folgenden Tabelle hinzufügen.

Präfix Objekttyp
Kein Präfix, standardmäßiger "Test-Virus" Infiziert. Objekt kann nicht desinfiziert werden.
CORR- Unbekannt.
SUSP- Verdächtig (unbekannter Viruscode).
WARN- Verdächtig (veränderter Code eines bekannten Virus).
ERRO- Nicht untersucht wegen Fehler.
CURE- Desinfiziert. Objekt kann desinfiziert werden, wobei der Text des "Virus"-Körpers in CURED geändert wird.
DELE- Objekt wird automatisch gelöscht.

In der ersten Spalte der Tabelle sind die Präfixe aufgeführt, die am Anfang der Zeichenkette des standardmäßigen "Test-Virus" angefügt werden können.

Beispiel

CORR-X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Die zweite Spalte der Tabelle enthält die Typen von Objekten, die nach dem Hinzufügen der Präfixe von einem Antivirenprogramm identifiziert werden. Die Aktionen für jeden Objekttyp sind durch die vom Administrator angepassten Einstellungen des Antivirenprogramms festgelegt.

eicar.sh

#!/bin/bash
if [ "$1" = "" ]; then
  echo "Schickt das Muster EICAR an die angegebene Emailadresse"
  exit 1
fi
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* \
http://www.wiki.csoft.at/index.php/EICAR' | mail -s "EICAR Test" $1


Siehe auch

Weblinks