En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Archivo de prueba antimalware de Europea Institute for Computer Anti-Virus Research (EICAR)
Resumen
EICAR desarrolló el archivo de prueba antimalware EICAR. El archivo de prueba EICAR es un programa de DOS válido que los programas antivirus detectan como malware. Cuando el archivo de prueba se ejecuta correctamente (si no se detecta ni se bloquea), imprime el mensaje "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
Existen dos formas de obtener el archivo de prueba de EICAR estándar:
Nota: El tercer carácter es la letra mayúscula ' O ', y no el dígito cero.
Guarde el archivo como eicar.com .
Existen varias formas de utilizar el archivo de prueba EICAR para verificar que el software de seguridad funciona correctamente.
NOTAS:
Si utiliza un archivo de prueba EICAR, es importante tener en cuenta que, aunque puede detectar y bloquear o poner en cuarentena el archivo, no puede limpiarlo. El motivo es que el archivo EICAR no contiene ningún código viral "real". El archivo de prueba EICAR está diseñado para que la mayoría de los productos antivirus reaccione a él como si se tratara de un virus real. Sin embargo, cualquier intento de limpiar el archivo EICAR falla. Este comportamiento es el esperado.
La cadena de prueba EICAR se detecta en cualquier archivo que empiece por los caracteres anteriores mencionados 68 y que tenga exactamente 68 bytes de longitud. La modificación o adición de cadenas/texto podría provocar que el archivo de prueba no se detectara.
Contenido
Haga clic para expandir la sección que desee ver:
Para verificar que el analizador en tiempo real funciona, desactive el análisis en tiempo real. A continuación, copie el archivo de prueba EICAR en el sistema e intente ejecutarlo.
Desactivar el análisis en tiempo real.
Nota: Este procedimiento varía según el sistema operativo y el producto. Consulte la guía del producto correspondiente a su software.
Guarde o cree una copia del archivo de prueba EICAR.
Active el análisis en tiempo real.
Intente iniciar el archivo EICAR.
Si el analizador en tiempo real funciona correctamente, se detecta como malware.
Para verificar que el analizador bajo demanda funciona, copie el archivo de prueba EICAR en el sistema. A continuación, ejecute un análisis con el botón derecho del ratón.
Guarde o cree una copia del archivo de prueba EICAR.
Active el análisis bajo demanda.
Haga clic con el botón derecho del ratón en el archivo EICAR y seleccione analizar en busca de amenazas en el menú emergente.
Si el analizador bajo demanda funciona correctamente, se detecta como malware.
Para verificar que el analizador de correo electrónico durante la recepción funciona, utilice una utilidad de Telnet. Utilice telnet para enviar la cadena de prueba EICAR a un destinatario conocido. Si intenta enviar un correo electrónico que contenga la cadena de prueba EICAR desde su cliente de correo local, el software antivirus detectará la cadena de prueba y la bloqueará.
Pulse Windows + R, escriba cmd y pulse Intro.
Escriba telnet25 (donde es el nombre del servidor SMTP (saliente) de su servidor de correo o proveedor) y pulse Intro.
Escriba HELO o "EHLO" y pulse Intro.
Escriba MAIL FROM:you@server.com y pulse Intro. Recibirá la respuesta: 250 ok
Escriba RCPT TO:yourname@yourserver.com y pulse Intro. Recibirá la respuesta:250 ok
Escriba DATA y pulse Intro para escribir el mensaje.
En la primera línea, escriba SUBJECT:yoursubject y pulse Intro dos veces.
Escriba su mensaje, en este caso la cadena de prueba EICAR, y pulse Intro:
Escriba una sola parada completa (.) en una línea y pulse Intro para enviar el mensaje. Recibirá una respuesta similar a la de uno de los siguientes ejemplos:
Message accepted for delivery
250 OK id=`a long id`
Para salir de Telnet, escriba QUIT y pulse Intro.
Si el analizador de correo electrónico durante la recepción funciona correctamente, se detecta como malware.
Desactive la regla de protección de acceso para impedir la detención de nuestros servicios:
Haga clic en Inicio, programas, McAfeeVirusScan Console.
Haga clic con el botón derecho en protección de acceso y seleccione propiedades.
Haga clic en la pestaña protección de acceso .
En la esquina inferior izquierda, anule la selección de impedir la detención de McAfee servicios.
Haga clic en Aplicar y, a continuación, en Aceptar.
Detenga el servicio McShield:
Pulse Windows + R, escriba services.msc y haga clic en Aceptar.
Haga clic con el botón derecho en McAfee McShield y seleccione detener.
Guarde una copia de EICAR.COM en el disco duro local.
Cópielo EICAR.COM en cada carpeta excluida que desee probar.
Inicie el servicio McShield:
Pulse Windows + R, escriba services.msc y haga clic en Aceptar.
Haga clic con el botón derecho en McAfee McShield y elija iniciar.
Cierre la ventana servicios.
Ejecutar EICAR.COM :
Busque en cada carpeta donde EICAR.COM se copie.
Haga doble clic EICAR.COM en cada carpeta excluida. Si las exclusiones están bien configuradas, EICAR.COM se ejecutan sin ser detectadas. Puede verificar este resultado si ejecuta también el archivo en una ubicación no excluida para verificar que se detecte la muestra de EICAR que está utilizando. VSE detecta EICAR.COM como virus y evita su ejecución.
Vuelva a activar la regla de protección de acceso para evitar que se detengan nuestros servicios:
Haga clic en Inicio, programas, McAfeeVirusScan Console.
Haga clic con el botón derecho en Protección de acceso y seleccione Propiedades.
Haga clic en la pestaña protección de acceso .
En la esquina inferior izquierda, seleccione impedir la detención de los servicios de McAfee.
Haga clic en Aplicar y, a continuación, en Aceptar.
Cierre la consola de VirusScan.
Para comprobar si el software AntiSpyware funciona correctamente, cree un EICAR-PUO archivo de prueba. El EICAR-PUO archivo de prueba funciona de la misma forma que la cadena de prueba EICAR estándar. No obstante, AntiSpyware lo detecta como un programa potencialmente no deseado en lugar de como un virus.
Escriba el nombre del archivo y haga clic en Guardar.
NOTAS:
Para que el archivo se pueda reconocer fácilmente, Soporte técnico recomienda que guarde el archivo como EICAR-PUO.COM . El tamaño del archivo guardado es de entre 68 y 70 bytes.
Todas las funciones de la detección de EICAR estándar siguen siendo verdaderas para EICAR-PUO .
El EICAR-PUO archivo de prueba se identifica en la categoría prueba de la misma forma que el archivo de prueba EICAR estándar.
EICAR-PUO es un archivo de prueba de AntiSpyware. Por lo tanto, debe activar que la detección de programas potencialmente no deseados sea correcta.
Para verificar que el análisis de AMSI funciona correctamente, activar AMSI en la Directiva de ENS y ejecute un comando de PowerShell EICAR en el sistema.
Nota: AMSI solo funciona con un sistema operativo que lo admita (por ejemplo, Windows 10 y Windows Server 2016).
Cree una exclusión en la Directiva análisis en tiempo real para eicar.js . Si no se crea la exclusión, el análisis en tiempo real detecta EICAR en lugar de ScriptScan.
Abra un editor de texto, como el Bloc de notas.
Cree un eicar.js archivo en C:\temp . Agregue el contenido a continuación en el archivo.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Abra Internet Explorer y Abra C:\temp\eicar.html . Haga clic en probar.
Verifique que se muestre un mensaje emergente. El mensaje indica "Internet Explorer restringido la ejecución de secuencias de comandos o controles ActiveX en esta página web."
Compruebe que se ha activado una detección para la amenaza: JC/Eicar
Información relacionada
Nota: En este artículo se combina contenido publicado originalmente en los artículos KB55194, KB54228, KB59742 y KB50133.
ID de documento anterior
(Secured)
613376
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.