Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Comment utiliser le fichier de test EICAR avec nos produits
Articles techniques ID:
KB59742
Date de la dernière modification : 2023-02-22 22:28:34 Etc/GMT
Environnement
Prévention contre les menaces Endpoint Security 10.x (ENS)
VirusScan Enterprise (VSE) 8.8
Fichier de test antimalware de l’Institut européen pour la recherche antivirus (EICAR)
Synthèse
EICAR a développé le fichier de test antimalware EICAR. Le fichier de test EICAR est un programme DOS légitime détecté comme logiciel malveillant par un logiciel antivirus. Lorsque le fichier test s’exécute (s’il n’est ni détecté ni bloqué), il imprime le message "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
Il existe deux manières d’obtenir le fichier de test EICAR standard:
Téléchargez le fichier directement depuis le site web EICAR.
Utilisez un éditeur de texte pour créer le fichier :
Ouvrez un éditeur de texte tel que le bloc-notes.
Copiez la chaîne suivante dans le nouveau fichier:
NOTE: Le troisième caractère est la lettre majuscule O, et non le chiffre zéro.
Enregistrez le fichier souseicar.com.
Il existe plusieurs façons d’utiliser le fichier de test EICAR pour vérifier que votre logiciel de sécurité fonctionne correctement.
REMARQUES :
Si vous utilisez un fichier de test EICAR, il est important de noter que même si vous pouvez détecter et bloquer ou mettre le fichier en quarantaine, vous ne pouvez pas le nettoyer. En effet, le fichier EICAR ne contient aucun code viral 'réel'. Le fichier de test EICAR est conçu pour que la plupart des produits antivirus y réagissent comme s’il s’agissait d’un virus réel. Cependant, toute tentative de nettoyage du fichier EICAR échoue. Ce comportement est tel que prévu.
La chaîne de test EICAR est détectée dans tout fichier commençant par les 68 caractères mentionnés ci-dessus et dont la longueur est exactement de 68 octets. Si vous modifiez ou ajoutez des chaînes ou du texte, le fichier test risque de ne pas être détecté.
Contenu
Cliquez pour développer la section à afficher:
Pour vérifier que votre analyseur à l’accès fonctionne, désactivez l’analyse à l’accès. Ensuite, copiez le fichier de test EICAR sur votre système et essayez de l’exécuter.
Désactivez l’analyse à l’accès.
NOTE: Cette procédure varie en fonction de votre système d’exploitation et de votre produit. Reportez-vous au Guide produit correspondant à votre logiciel.
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Enregistrez ou créez une copie du fichier test EICAR.
Cliquez sur l’analyse à l’accès.
Essayez de démarrer le fichier EICAR.
Si le analyseur à l’accès fonctionne correctement, il est détecté comme logiciel malveillant.
Pour vérifier que votre analyseur à la demande fonctionne, copiez le fichier de test EICAR sur votre système. Exécutez ensuite une analyse contextuelle sur celle-ci.
Enregistrez ou créez une copie du fichier test EICAR.
Cliquez sur l’analyse à la demande.
Cliquez avec le bouton droit de la souris sur le fichier EICAR et sélectionnez Rechercher les menaces dans le menu fenêtre pop-up.
Si le analyseur à la demande fonctionne correctement, il est détecté comme logiciel malveillant.
Pour vérifier que votre analyseur d’e-mails à la réception fonctionne, utilisez un utilitaire Telnet. Utilisez Telnet pour envoyer la chaîne de test EICAR à un destinataire connu. Si vous tentez d’envoyer un e-mail contenant la chaîne de test EICAR à partir de votre client de messagerie local, votre logiciel antivirus détecte la chaîne de test et la bloque.
Appuyez sur Windows+R, saisissez cmd, puis appuyez sur Entrée.
Saisissez telnet25 (où est le nom du serveur SMTP (sortant) de votre serveur de messagerie ou de votre fournisseur) et appuyez sur Entrée.
Saisissez HELO ou "EHLO" appuyez sur Entrée.
Saisissez MAIL FROM:you@server.comet appuyez sur Entrée. Vous recevez la réponse suivante: 250 ok
Saisissez RCPT TO:yourname@yourserver.com et appuyez sur Entrée. Vous recevez la réponse suivante:250 ok
Saisissez DATA et appuyez sur Entrée pour écrire le message.
Sur la première ligne, saisissez SUBJECT:yoursubjectet appuyez deux fois sur Entrée.
Saisissez votre message, dans le cas présent la chaîne de test EICAR, puis appuyez sur Entrée :
Saisissez un point (.) sur une ligne et appuyez sur Entrée pour envoyer votre message. Vous recevez une réponse similaire à l’un des exemples suivants :
Message accepted for delivery
250 OK id=`a long id`
Pour quitter Telnet, saisissez QUIT et appuyez sur Entrée.
Si l’analyseur d’e-mails à la réception fonctionne correctement, il est détecté comme logiciel malveillant.
Désactivez la règle de protection de l’accès pour empêcher l’arrêt de nos services:
Cliquez sur Démarrer, Programmes, McAfee, Console VirusScan.
Cliquez avec le bouton droit de la souris sur Protection de l'accès puis sélectionnez Propriétés.
Cliquez sur l'onglet Protection de l’accès.
Dans le coin inférieur gauche, désélectionnez Empêcher l’arrêt des services McAfee.
Cliquez sur Appliquer, puis sur OK.
Arrêtez le service McShield :
Appuyez sur Windows+R, saisissez services.msc, puis cliquez sur OK.
Cliquez avec le bouton droit sur McAfee McShield et sélectionnez Arrêter.
Enregistrez une copie de sur EICAR.COM votre disque dur local.
Copiez EICAR.COM dans chaque dossier exclu que vous souhaitez tester.
Démarrez le service McShield :
Appuyez sur Windows+R, saisissez services.msc, puis cliquez sur OK.
Cliquez avec le bouton droit de la souris sur McAfee McShield et choisissez Démarrer.
Fermez la fenêtre Services.
Exécuter EICAR.COM:
Accédez à chaque dossier où EICAR.COM est copié.
Double-cliquez EICAR.COM dans chaque dossier exclu. Si les exclusions sont configurées correctement, EICAR.COM s’exécute sans être détectées. Vous pouvez vérifier ce résultat en exécutant également le fichier dans un emplacement non exclu pour vérifier que l’échantillon EICAR que vous utilisez est détecté. VSE détecte EICAR.COM en tant que virus et empêche son exécution.
Réactivez la règle de protection de l’accès pour empêcher l’arrêt de nos services:
Cliquez sur Démarrer, Programmes, McAfee, Console VirusScan.
Cliquez avec le bouton droit de la souris sur Protection de l'accès, puis sélectionnez Propriétés.
Cliquez sur l'onglet Protection de l’accès.
Dans l’angle inférieur gauche, sélectionnez Empêcher l’arrêt des services McAfee.
Cliquez sur Appliquer, puis sur OK.
Fermez la console VirusScan.
Pour vérifier si votre logiciel antispyware fonctionne correctement, créez un EICAR-PUO fichier test. Le EICAR-PUO fichier de test fonctionne de la même manière que la chaîne de test EICAR standard. Toutefois, antispyware le détecte comme un programme potentiellement indésirable et non comme un virus.
Pour créer le EICAR-PUO fichier test:
Ouvrez un éditeur de texte tel que le bloc-notes.
Copiez la chaîne suivante dans le nouveau fichier:
Saisissez le nom du fichier, puis cliquez sur Enregistrer.
REMARQUES :
Pour que le fichier soit facilement identifiable, Support technique vous recommande d’enregistrer le fichier sous EICAR-PUO.COM. La taille du fichier enregistré est d’environ 68 à 70 octets.
Toutes les fonctionnalités de la détection EICAR standard restent vraies pour EICAR-PUO.
Le EICAR-PUO fichier test est identifié dans la catégorie de test de la même manière que le fichier de test EICAR standard.
EICAR-PUO est un fichier de test antispyware. Vous devez donc activer la détection de programmes potentiellement indésirables.
Pour vérifier que l’analyse AMSI fonctionne correctement, activez AMSI dans la stratégie ENS et exécutez une commande PowerShell EICAR sur le système.
NOTE: AMSI fonctionne uniquement avec un système d’exploitation qui le prend en charge (par exemple, Windows 10 et Windows Server 2016).
Cliquez sur l’intégration de AMSI dans ENS.
Démarrez PowerShell et exécutez la commande suivante :
Créez une exclusion dans la stratégie analyse à l'accès pour eicar.js. Si le exclusion n’est pas créé, le analyse à l'accès détecte EICAR au lieu de ScriptScan.
Ouvrez un éditeur de texte, tel que le Bloc-notes.
Créez un eicar.js fichier dans C:\temp. Ajoutez le contenu ci-dessous dans le fichier.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Ouvrez Internet Explorer et ouvrez C:\temp\eicar.html. Cliquez sur Essayer.
Vérifiez qu'un message pop-up s'affiche. Le message indique « Internet Explorer a empêché cette page web d’exécuter des scripts ou des contrôles ActiveX ».
Vérifiez qu’une détection est déclenchée pour la menace : JC/Eicar
Informations connexes
NOTE: Cet article combine le contenu initialement publié dans les articles KB55194, KB54228, KB59742 et KB50133.
ID du document précédent
(Secured)
613376
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.