A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Teste antimalware do European Institute for Computer Anti-Virus Research (EICAR) arquivo
Resumo
A EICAR desenvolveu a tecnologia de teste antimalware EICAR arquivo. O teste do EICAR arquivo é um programa DOS legítimo que é detectado como malware pelo software antivírus. Quando o teste arquivo executado com êxito (se não for detectado e bloqueado), ele imprime a mensagem "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
Há duas maneiras de obter a versão de teste EICAR arquivo:
Faça download do arquivo diretamente do site da EICAR.
Use um editor de texto para criar o arquivo:
Abra um editor de texto, como o bloco de notas.
Copie a seguinte cadeia de caracteres para a nova arquivo:
OBSERVAÇÃO:: O terceiro caractere é a letra maiúscula 'O', e não o dígito zero.
Salvar o arquivo comoeicar.com.
Há várias maneiras de usar a guia de teste EICAR arquivo para verificar se o software de segurança está funcionando corretamente.
NOTAS:
Se você usar um teste arquivo EICAR, é importante observar que, embora você possa detectar e bloquear ou colocar o arquivo em quarentena, não poderá limpá-lo . O motivo é que a conta EICAR arquivo não contém nenhum código viral "real". O arquivo de teste EICAR foi desenvolvido para fazer com que a maioria dos produtos antivírus reaja a ele como se fosse um vírus real. No entanto, qualquer tentativa de limpar a conta EICAR arquivo falha. Esse comportamento é o esperado.
A cadeia de caracteres de teste EICAR é detectada em qualquer arquivo começa com os 68 caracteres mencionados acima e tem exatamente 68 bytes. A modificação ou a adição de cadeias de caracteres/texto pode fazer com que a arquivo teste não seja detectada.
Conteúdo
Clique para expandir as seção que deseja exibir:
Para verificar se o seu mecanismo de varredura ao acessar está funcionando, desative a varredura ao acessar. Em seguida, copie o arquivo de teste EICAR arquivo para o sistema e tente executar o teste.
Desative a varredura ao acessar.
OBSERVAÇÃO:: Esse procedimento varia, dependendo sistema operacional e do produto. Consulte o guia de produto apropriado para o seu software.
Salvar ou criar uma cópia da guia de teste EICAR arquivo.
Ative a varredura ao acessar.
Tente iniciar a conta EICAR arquivo.
Se o sistema ao mecanismo de varredura estiver funcionando corretamente, ele será detectado como malware.
Para verificar se a sua conta por solicitação mecanismo de varredura está funcionando, copie a guia de teste EICAR arquivo para o seu sistema. Em seguida, execute uma varredura com o botão direito do mouse.
Salvar ou criar uma cópia da guia de teste EICAR arquivo.
Ativar varredura por solicitação.
Clique com o botão direito do mouse no arquivo EICAR e selecione Varrer ameaças no menu pop-up segurança.
Se o sistema por mecanismo de varredura estiver funcionando corretamente, ele será detectado como malware.
Para verificar se o mecanismo de varredura de e-mail ao entregar está funcionando, use um utilitário Telnet. Use Telnet para enviar a cadeia de caracteres de teste EICAR para um destinatário conhecido. Se você tentar enviar um e-mail que contenha a cadeia de caracteres de teste EICAR do cliente de e-mail local, o software antivírus detectará a cadeia de caracteres de teste e a bloqueará.
Pressione Windows+R, digite cmde pressione Enter.
Digite telnet25 (onde está o nome do servidor SMTP (saída) de seu servidor de e-mail ou provedor) e pressione Enter.
Digite HELO ou "EHLO" e pressione Enter.
Digite MAIL FROM:you@server.come pressione Enter. Você receberá a resposta: 250 ok
Digite RCPT TO:yourname@yourserver.com e pressione Enter. Você receberá a resposta:250 ok
Digite DATA e pressione Enter para gravar a mensagem.
Na primeira linha, digite e pressione SUBJECT:yoursubjectEnter duas vezes.
Digite sua mensagem (neste caso, a cadeia de caracteres do teste EICAR) e pressione Enter:
Digite um único ponto final (.) em uma linha sozinho e pressione ENTER para enviar sua mensagem. Você receberá uma resposta semelhante a um dos exemplos a seguir:
Message accepted for delivery
250 OK id=`a long id`
Para sair do Telnet, digite QUIT e pressione Enter.
Se o Mecanismo de varredura de e-mail ao entregar estiver funcionando corretamente, ele será detectado como malware.
Desativar a regra de proteção de acesso para impedir que nossos serviços da da tenham sido interrompidos:
Clique em Iniciar, Programas, McAfee, Console do VirusScan.
Clique com o botão direito do mouse em Proteção de acesso e selecione Propriedades.
Clique na guia Proteção de acesso.
No canto inferior esquerdo, desmarque Impedir que os serviços da McAfee sejam interrompidos.
Clique em Aplicar e em OK.
Interrompa o serviço do McShield:
Pressione Windows+R, digite services.msce clique em OK.
Clique com o botão direito do mouse em McAfee McShield e selecione Parar.
Salvar uma cópia do EICAR.COM para o disco rígido local.
Copie EICAR.COM para cada pasta excluída que você deseja testar.
Inicie o serviço McShield:
Pressione Windows+R, digite services.msce clique em OK.
Clique com o botão direita McAfee McShield eescolha Iniciar.
Feche a janela Serviços.
EICAR.COMExecutar:
Navegue até cada pasta para a qual EICAR.COM o é copiado.
Clique duas vezes EICAR.COM em cada pasta excluída. Se as exclusões estão configuradas corretamente, o EICAR.COM é executado sem ser detectado. Você pode verificar esse resultado executando o arquivo em um local não excluído para verificar se a amostra EICAR que você está usando foi detectada. O VSE detecta EICAR.COM como um vírus e impede sua execução.
Reative a regra de proteção de acesso para impedir que nossos serviços da da tenham sido interrompidos:
Clique em Iniciar, Programas, McAfee, Console do VirusScan.
Clique com o botão direito do mouse em Proteção de acesso e selecione Propriedades.
Clique na guia Proteção de acesso.
No canto inferior esquerdo, marque Impedir que os serviços da McAfee sejam interrompidos.
Clique em Aplicar e em OK.
Feche o console do VirusScan.
Para testar se o software antispyware está funcionando corretamente, crie um teste EICAR-PUO arquivo. O EICAR-PUO teste arquivo funciona da mesma forma que a cadeia de caracteres de teste EICAR padrão. No entanto, o antispyware o detecta como um programa indesejado em vez de um vírus.
Para criar a guia EICAR-PUO de arquivo:
Abra um editor de texto, como o bloco de notas.
Copie a seguinte cadeia de caracteres para a nova arquivo:
Para tornar a arquivo facilmente reconhecível, o Suporte técnico recomenda que você salve a arquivo como EICAR-PUO.COM. O tamanho arquivo arquivo salvo é de 68 a 70 bytes.
Todos os recursos da detecção EICAR padrão permanecem verdadeiros por EICAR-PUO.
O EICAR-PUO nível arquivo teste é identificado na categoria de teste da mesma forma que a classificação de teste EICAR arquivo.
EICAR-PUO é um teste antispyware arquivo. Portanto, você deve ativar a detecção de programas potencialmente indesejados para ter êxito.
Para verificar se a varredura amSI está funcionando corretamente, ative o AMSI na política do ENS e execute um comando EICAR PowerShell no sistema.
OBSERVAÇÃO:: O AMSI funciona apenas com um sistema operacional compatível (por exemplo, Windows 10 e Windows Server 2016).
Crie uma exclusão na política varredura ao acessar para eicar.jso . Se a exclusão não for criada, o varredura ao acessar detectará EICAR em vez de ScriptScan.
Abra um editor de texto, como o Bloco de notas.
Crie um arquivo eicar.js em C:\temp. Adicione o conteúdo abaixo no arquivo.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Abra Internet Explorer e abra C:\temp\eicar.html. Clique em Experimentar.
Verifique se é exibida pop-up mensagem de e-mail. A mensagem informa que "Internet Explorer acesso restrito a esta página da Web contra a execução de scripts ou controles ActiveX".
Verifique se uma detecção é disparada para a ameaça: JC/Eicar
Informações relacionadas
OBSERVAÇÃO:: Este artigo combina o conteúdo originalmente publicado nos artigos KB55194, KB54228, KB59742 e KB50133.
ID do documento anterior
(Secured)
613376
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.