File di test antimalware dell'European Institute for Computer antivirus Research (EICAR)
Riepilogo
EICAR ha sviluppato il file di test antimalware EICAR. Il file di test EICAR è un programma DOS legittimo che viene rilevato come malware dal software antivirus. Quando il file di prova viene eseguito correttamente (se non viene rilevato e bloccato), stampa il messaggio "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
Esistono due modi per ottenere il file di test EICAR standard:
Scaricare il file direttamente dal sito web EICAR.
NOTA: Il terzo carattere è la lettera maiuscola 'O', non la cifra zero.
Salvare il file con il nomeeicar.com.
Esistono diversi modi per utilizzare il file di test EICAR per verificare che il software di sicurezza funzioni correttamente.
NOTE:
Se si utilizza un file di test EICAR, è importante notare che, sebbene sia possibile rilevare e bloccare o mettere in quarantena il file, non è possibile pulirlo . Il motivo è che il file EICAR non contiene alcun codice virale "reale". Il file di test EICAR è quello previsto per far reagire la maggior parte dei prodotti antivirus come se fosse un vero virus. Tuttavia, qualsiasi tentativo di pulizia del file EICAR non riesce. Questo comportamento è quello previsto.
La stringa di test EICAR viene rilevata in qualsiasi file che inizia con i 68 caratteri sopra citati ed è esattamente lunga 68 byte. Se si modificano o si aggiungono stringhe o testo, il file di test non viene rilevato.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
Per verificare che il programma di scansione all'accesso funzioni, disattivare la scansione all'accesso. Copiare quindi il file di test EICAR nel sistema e tentare di eseguirlo.
Disattivare la scansione all'accesso.
NOTA: Questa procedura varia a seconda del sistema operativo e del prodotto in uso. Consultare la guida del prodotto appropriata per il software in uso.
Salvare o creare una copia del file di test EICAR.
Attivare la scansione all'accesso.
Provare ad avviare il file EICAR.
Se il programma di scansione all'accesso funziona correttamente, viene rilevato come malware.
Per verificare che il programma di scansione su richiesta funzioni, copiare il file di test EICAR nel sistema. Eseguire quindi una scansione di scelta con il pulsante destro del mouse.
Salvare o creare una copia del file di test EICAR.
Attivare la scansione su richiesta.
Fare clic con il pulsante destro del mouse sul file EICAR e selezionare Ricerca minacce dal menu popup protezione.
Se il programma di scansione su richiesta funziona correttamente, viene rilevato come malware.
Per verificare che il programma di scansione della posta elettronica alla consegna funzioni, utilizzare un'utilità Telnet. Utilizzare Telnet per inviare la stringa di test EICAR a un destinatario noto. Se si tenta di inviare un email contenente la stringa di test EICAR dal client di posta locale, il software antivirus rileva la stringa di test e la blocca.
Premere Windows+R, digitare cmde premere Invio.
Digitare telnet25 (dove è il nome del server SMTP (in uscita) del server email o del provider) e premere Invio.
Digitare HELO o "EHLO" premere Invio.
Digitare MAIL FROM:you@server.come premere Invio. Si riceve la risposta: 250 ok
Digitare RCPT TO:yourname@yourserver.com e premere Invio. Si riceve la risposta:250 ok
Digitare DATA e premere Invio per scrivere il messaggio.
Nella prima riga, digitare e SUBJECT:yoursubjectpremere Invio due volte.
Digitare il messaggio, in questo caso la stringa di test EICAR, quindi premere Invio:
Digitare un unico punto (.) su una riga e premere Invio per inviare il messaggio. Si riceve una risposta simile a uno degli esempi seguenti:
Message accepted for delivery
250 OK id=`a long id`
Per uscire da Telnet, digitare e QUIT premere Invio.
Se il programma di scansione della posta elettronica alla consegna funziona correttamente, viene rilevato come malware.
Per verificare se le esclusioni VSE sono configurate correttamente, copiare il file EICAR in una cartella esclusa e provare a eseguirlo. Per ulteriori informazioni sulle esclusioni in VSE, vedere KB50998 - Come gestire le esclusioni di file e cartelle utilizzando caratteri jolly.
Disattivare la regola di protezione dell'accesso per impedire l'arresto dei servizi:
Fare clic su Start, Programmi, McAfee, VirusScan Console.
Fare clic con il pulsante destro del mouse su Protezione dell'accesso e selezionare Proprietà.
Fare clic sulla scheda Protezione dell'accesso .
Nell'angolo inferiore sinistro deselezionare Impedisci l'McAfee dei servizi.
Fare clic su Applica, quindi su OK.
Arrestare il servizio McShield:
Premere Windows+R, digitare services.msce fare clic su OK.
Fare clic con il McAfee clic su McShield e selezionare Arresta.
Salvare una copia di EICAR.COM sul disco rigido locale.
Copiare EICAR.COM in ciascuna cartella esclusa che si desidera verificare.
Avviare il servizio McShield:
Premere Windows+R, digitare services.msce fare clic su OK.
Fare clic con il McAfee su McShield e scegliere Avvia.
Chiudere la finestra dei servizi.
Esegui EICAR.COM:
Andare a ciascuna cartella in cui EICAR.COM viene copiato.
Fare doppio clic su EICAR.COM ciascuna cartella esclusa. Se le esclusioni sono configurate correttamente, viene EICAR.COM eseguita senza essere rilevata. È possibile verificare questo risultato eseguendo il file anche in un percorso non escluso per verificare che il campione EICAR in uso sia stato rilevato. VSE rileva come virus EICAR.COM e ne impedisce l'esecuzione.
Attivare nuovamente la regola di protezione dell'accesso per impedire l'arresto dei servizi:
Fare clic su Start,Programmi, McAfee, VirusScan Console.
Fai clic con il pulsante destro del mouse su Protezione dell'accesso e scegli Proprietà.
Fare clic sulla scheda Protezione dell'accesso .
Nell'angolo in basso a sinistra, selezionare Impedisci l'arresto McAfee servizi.
Fare clic su Applica, quindi su OK.
Chiudere la VirusScan computer.
Per verificare il corretto funzionamento del software antispyware, creare un EICAR-PUO file di prova. Il EICAR-PUO file di test funziona allo stesso modo della stringa di test EICAR standard. Tuttavia, l'antispyware lo rileva come potenziale programma indesiderato anziché come virus.
Per rendere il file facilmente riconoscibile, Assistenza tecnica si consiglia di salvare il file come EICAR-PUO.COM. Le dimensioni del file salvato sono di circa 68-70 byte.
Tutte le funzionalità del rilevamento EICAR standard rimangono vere per EICAR-PUO.
Il EICAR-PUO file di test viene identificato sotto la categoria test allo stesso modo del file di test EICAR standard.
EICAR-PUO è un file di test antispyware. Pertanto, è necessario attivare il rilevamento programma indesiderato potenzialmente corretto.
Per verificare che la scansione AMSI funzioni correttamente, attivare AMSI nella policy ENS ed eseguire un comando EICAR PowerShell sul sistema.
NOTA: AMSI funziona solo con un sistema operativo che lo supporta (ad esempio, Windows 10 e Windows Server 2016).
Attivare l'integrazione AMSI in ENS.
Avviare PowerShell ed eseguire il comando seguente:
Creare un'esclusione nel scansione all'accesso policy per eicar.js. Se l'esclusione non viene creata, il scansione all'accesso rileva EICAR anziché ScriptScan.
Aprire un editor di testo, ad esempio Blocco note.
Creare un eicar.js file in C:\temp. Aggiungere il contenuto riportato di seguito nel file.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Aprire Internet Explorer e aprire C:\temp\eicar.html. Fare clic su Prova.
Verificare che sia popup visualizzato un messaggio di avviso. Il messaggio indica che Internet Explorer a questa pagina Web l'esecuzione di script o controlli ActiveX è stata limitata.
Verificare che sia attivato un rilevamento per la minaccia: JC/Eicar
Informazioni correlate
NOTA: Questo articolo combina contenuti originariamente pubblicati negli articoli KB55194, KB54228, KB59742 e KB50133.
ID documento precedente
(Secured)
613376
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.