A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Teste antimalware do European Institute for Computer Anti-Virus Research (EICAR) arquivo
Resumo
A EICAR desenvolveu a tecnologia de teste antimalware EICAR arquivo. O teste do EICAR arquivo é um programa DOS legítimo que é detectado como malware pelo software antivírus. Quando o teste arquivo executado com êxito (se não for detectado e bloqueado), ele imprime a mensagem "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
Há duas maneiras de obter a versão de teste EICAR arquivo:
Faça download do arquivo diretamente do site da EICAR.
Use um editor de texto para criar o arquivo:
Abra um editor de texto, como o bloco de notas.
Copie a seguinte cadeia de caracteres para a nova arquivo:
OBSERVAÇÃO:: O terceiro caractere é a letra maiúscula 'O', e não o dígito zero.
Salvar o arquivo comoeicar.com.
Há várias maneiras de usar a guia de teste EICAR arquivo para verificar se o software de segurança está funcionando corretamente.
NOTAS:
Se você usar um teste arquivo EICAR, é importante observar que, embora você possa detectar e bloquear ou colocar o arquivo em quarentena, não poderá limpá-lo . O motivo é que a conta EICAR arquivo não contém nenhum código viral "real". O arquivo de teste EICAR foi desenvolvido para fazer com que a maioria dos produtos antivírus reaja a ele como se fosse um vírus real. No entanto, qualquer tentativa de limpar a conta EICAR arquivo falha. Esse comportamento é o esperado.
A cadeia de caracteres de teste EICAR é detectada em qualquer arquivo começa com os 68 caracteres mencionados acima e tem exatamente 68 bytes. A modificação ou a adição de cadeias de caracteres/texto pode fazer com que a arquivo teste não seja detectada.
Conteúdo
Clique para expandir as seção que deseja exibir:
Para verificar se o seu mecanismo de varredura ao acessar está funcionando, desative a varredura ao acessar. Em seguida, copie o arquivo de teste EICAR arquivo para o sistema e tente executar o teste.
Desative a varredura ao acessar.
OBSERVAÇÃO:: Esse procedimento varia, dependendo sistema operacional e do produto. Consulte o guia de produto apropriado para o seu software.
Salvar ou criar uma cópia da guia de teste EICAR arquivo.
Ative a varredura ao acessar.
Tente iniciar a conta EICAR arquivo.
Se o sistema ao mecanismo de varredura estiver funcionando corretamente, ele será detectado como malware.
Para verificar se a sua conta por solicitação mecanismo de varredura está funcionando, copie a guia de teste EICAR arquivo para o seu sistema. Em seguida, execute uma varredura com o botão direito do mouse.
Salvar ou criar uma cópia da guia de teste EICAR arquivo.
Ativar varredura por solicitação.
Clique com o botão direito do mouse no arquivo EICAR e selecione Varrer ameaças no menu pop-up segurança.
Se o sistema por mecanismo de varredura estiver funcionando corretamente, ele será detectado como malware.
Para verificar se o mecanismo de varredura de e-mail ao entregar está funcionando, use um utilitário Telnet. Use Telnet para enviar a cadeia de caracteres de teste EICAR para um destinatário conhecido. Se você tentar enviar um e-mail que contenha a cadeia de caracteres de teste EICAR do cliente de e-mail local, o software antivírus detectará a cadeia de caracteres de teste e a bloqueará.
Pressione Windows+R, digite cmde pressione Enter.
Digite telnet25 (onde está o nome do servidor SMTP (saída) de seu servidor de e-mail ou provedor) e pressione Enter.
Digite HELO ou "EHLO" e pressione Enter.
Digite MAIL FROM:you@server.come pressione Enter. Você receberá a resposta: 250 ok
Digite RCPT TO:yourname@yourserver.com e pressione Enter. Você receberá a resposta:250 ok
Digite DATA e pressione Enter para gravar a mensagem.
Na primeira linha, digite e pressione SUBJECT:yoursubjectEnter duas vezes.
Digite sua mensagem (neste caso, a cadeia de caracteres do teste EICAR) e pressione Enter:
Digite um único ponto final (.) em uma linha sozinho e pressione ENTER para enviar sua mensagem. Você receberá uma resposta semelhante a um dos exemplos a seguir:
Message accepted for delivery
250 OK id=`a long id`
Para sair do Telnet, digite QUIT e pressione Enter.
Se o Mecanismo de varredura de e-mail ao entregar estiver funcionando corretamente, ele será detectado como malware.
Desativar a regra de proteção de acesso para impedir que nossos serviços da da tenham sido interrompidos:
Clique em Iniciar, Programas, McAfee, Console do VirusScan.
Clique com o botão direito do mouse em Proteção de acesso e selecione Propriedades.
Clique na guia Proteção de acesso.
No canto inferior esquerdo, desmarque Impedir que os serviços da McAfee sejam interrompidos.
Clique em Aplicar e em OK.
Interrompa o serviço do McShield:
Pressione Windows+R, digite services.msce clique em OK.
Clique com o botão direito do mouse em McAfee McShield e selecione Parar.
Salvar uma cópia do EICAR.COM para o disco rígido local.
Copie EICAR.COM para cada pasta excluída que você deseja testar.
Inicie o serviço McShield:
Pressione Windows+R, digite services.msce clique em OK.
Clique com o botão direita McAfee McShield eescolha Iniciar.
Feche a janela Serviços.
EICAR.COMExecutar:
Navegue até cada pasta para a qual EICAR.COM o é copiado.
Clique duas vezes EICAR.COM em cada pasta excluída. Se as exclusões estão configuradas corretamente, o EICAR.COM é executado sem ser detectado. Você pode verificar esse resultado executando o arquivo em um local não excluído para verificar se a amostra EICAR que você está usando foi detectada. O VSE detecta EICAR.COM como um vírus e impede sua execução.
Reative a regra de proteção de acesso para impedir que nossos serviços da da tenham sido interrompidos:
Clique em Iniciar, Programas, McAfee, Console do VirusScan.
Clique com o botão direito do mouse em Proteção de acesso e selecione Propriedades.
Clique na guia Proteção de acesso.
No canto inferior esquerdo, marque Impedir que os serviços da McAfee sejam interrompidos.
Clique em Aplicar e em OK.
Feche o console do VirusScan.
Para testar se o software antispyware está funcionando corretamente, crie um teste EICAR-PUO arquivo. O EICAR-PUO teste arquivo funciona da mesma forma que a cadeia de caracteres de teste EICAR padrão. No entanto, o antispyware o detecta como um programa indesejado em vez de um vírus.
Para criar a guia EICAR-PUO de arquivo:
Abra um editor de texto, como o bloco de notas.
Copie a seguinte cadeia de caracteres para a nova arquivo:
Para tornar a arquivo facilmente reconhecível, o Suporte técnico recomenda que você salve a arquivo como EICAR-PUO.COM. O tamanho arquivo arquivo salvo é de 68 a 70 bytes.
Todos os recursos da detecção EICAR padrão permanecem verdadeiros por EICAR-PUO.
O EICAR-PUO nível arquivo teste é identificado na categoria de teste da mesma forma que a classificação de teste EICAR arquivo.
EICAR-PUO é um teste antispyware arquivo. Portanto, você deve ativar a detecção de programas potencialmente indesejados para ter êxito.
Para verificar se a varredura amSI está funcionando corretamente, ative o AMSI na política do ENS e execute um comando EICAR PowerShell no sistema.
OBSERVAÇÃO:: O AMSI funciona apenas com um sistema operacional compatível (por exemplo, Windows 10 e Windows Server 2016).
Crie uma exclusão na política varredura ao acessar para eicar.jso . Se a exclusão não for criada, o varredura ao acessar detectará EICAR em vez de ScriptScan.
Abra um editor de texto, como o Bloco de notas.
Crie um arquivo eicar.js em C:\temp. Adicione o conteúdo abaixo no arquivo.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Abra Internet Explorer e abra C:\temp\eicar.html. Clique em Experimentar.
Verifique se é exibida pop-up mensagem de e-mail. A mensagem informa que "Internet Explorer acesso restrito a esta página da Web contra a execução de scripts ou controles ActiveX".
Verifique se uma detecção é disparada para a ameaça: JC/Eicar
Informações relacionadas
OBSERVAÇÃO:: Este artigo combina o conteúdo originalmente publicado nos artigos KB55194, KB54228, KB59742 e KB50133.
ID do documento anterior
(Secured)
613376
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.