Laden Sie den Magic Quadrant-Bericht herunter, der 19 Anbieter basierend auf ihrer Durchführungskompetenz und der Vollständigkeit ihres Lösungsansatzes beurteilt.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Anti-Malware-Testdatei des European Institute for Computer Anti-Virus Research (EICAR)
Zusammenfassung
Das European Institute for Computer Anti-Virus Research (EICAR) hat die EICAR-Anti-Malware-Testdatei entwickelt. Die EICAR-Testdatei ist ein legitimes DOS-Programm, das von Antiviren-Software als Malware erkannt wird. Wenn die Testdatei erfolgreich ausgeführt wird (wenn Sie nicht erkannt und blockiert wurde), wird diese Meldung ausgegeben: "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".
Es gibt zwei Möglichkeiten, die EICAR-Standard-Testdatei zu erhalten:
HINWEIS: Das dritte Zeichen ist der Großbuchstabe 'O', nicht die Ziffer Null.
Speichern Sie die Datei alseicar.com.
Es gibt verschiedene Möglichkeiten, um mit der EICAR-Testdatei zu überprüfen, ob Ihre Sicherheitssoftware ordnungsgemäß funktioniert.
HINWEIS: Wenn Sie eine EICAR-Testdatei mit Ihrem McAfee Antiviren-Produkt verwenden, sollten Sie beachten, dass Sie zwar die Datei erkennen und blockieren oder isolieren können, Sie aber nicht säubern können. Der Grund dafür ist, dass die EICAR-Datei keinen "echten" viralen Code enthält. Die EICAR-Testdatei ist so konzipiert, dass die meisten Antiviren-Produkte darauf reagieren, als wäre es ein echter Virus. Jeder Versuch, die EICAR-Datei zu säubern, schlägt jedoch fehl. Dieses Verhalten wird erwartet.
Inhalt
Klicken Sie auf diese Option, um den Abschnitt zu erweitern, den Sie anzeigen möchten:
Deaktivieren Sie On-Access-Scans, um zu überprüfen, ob der On-Access-Scanner funktioniert. Kopieren Sie dann die EICAR-Testdatei auf das System, und versuchen Sie, Sie auszuführen.
Deaktivieren Sie On-Access-Scans.
HINWEIS: Diese Vorgehensweise variiert je nach Betriebssystem und Produkt. Weitere Informationen finden Sie im entsprechenden Produkthandbuch für Ihre Software.
Informationen zu Trellix Produktdokumenten finden Sie im Enterprise-Produkt Dokumentationsportal unter https://docs.trellix.com/.
Speichern oder erstellen Sie eine Kopie der EICAR-Testdatei.
Aktivieren Sie On-Access-Scans.
Versuchen Sie, die EICAR-Datei zu starten.
Wenn der On-Access-Scanner ordnungsgemäß funktioniert, wird sie als Malware erkannt.
Um zu überprüfen, ob der On-Demand-Scanner funktioniert, kopieren Sie die EICAR-Testdatei auf das System. Führen Sie dann einen Scan mit der rechten Maustaste aus.
Speichern oder erstellen Sie eine Kopie der EICAR-Testdatei.
Aktivieren Sie On-Demand-Scans.
Klicken Sie mit der rechten Maustaste auf die EICAR-Datei, und wählen Sie Auf Bedrohungen Scannen aus dem Pop-up-Menü.
Wenn der On-Demand-Scanner ordnungsgemäß funktioniert, wird sie als Malware erkannt.
Um zu überprüfen, ob Ihr On-Delivery-E-Mail-Scanner funktioniert, verwenden Sie ein Telnet-Dienstprogramm, um eine Verbindung herzustellen, damit Sie die EICAR-Testzeichenfolge an einen bekannten Empfänger senden können. Wenn Sie versuchen, eine E-Mail mit der EICAR-Testzeichenfolge von Ihrem lokalen E-Mail-Client zu senden, wird die Testzeichenfolge von der Antiviren-Software erkannt und blockiert.
Drücken Sie Windows + R, geben Sie cmd ein, und drücken Sie die Eingabetaste.
Geben Sie telnet25 ein ( steht für den Namen des SMTP-Servers (ausgehend) Ihres E-Mail-Servers oder -Anbieters), und drücken Sie die Eingabetaste.
Geben Sie HELO or "EHLO" ein, und drücken Sie die Eingabetaste.
Geben Sie MAIL FROM:you@server.comein, und drücken Sie die Eingabetaste. Sie erhalten die Antwort: 250 ok
Geben Sie RCPT TO:yourname@yourserver.com ein, und drücken Sie die Eingabetaste. Sie erhalten die Antwort:250 ok
Geben Sie DATA ein, und drücken Sie die Eingabetaste, um die Nachricht zu schreiben.
Geben Sie in der ersten Zeile SUBJECT:yoursubjectein, und drücken Sie zweimal die Eingabetaste.
Geben Sie Ihre Nachricht ein, in diesem Fall die EICAR-Testzeichenfolge, und drücken Sie die Eingabetaste:
Geben Sie einen einzelnen Punkt (.) in einer eigenen Zeile ein, und drücken Sie die Eingabetaste, um Ihre Nachricht zu senden. Sie erhalten eine Antwort ähnlich einem der folgenden Beispiele:
Message accepted for delivery
250 OK id=`a long id`
Geben Sie zum Beenden von Telnet QUIT ein, und drücken Sie die Eingabetaste.
Wenn der On-Delivery-E-Mail-Scanner ordnungsgemäß funktioniert, wird sie als Malware erkannt.
Zum Überprüfen der ordnungsgemäßen Konfiguration von VirusScan Enterprise- (VSE-)Ausschlüssen kopieren Sie die EICAR-Datei in einen ausgeschlossenen Ordner, und versuchen, sie auszuführen. Weitere Informationen zu Ausschlüssen in VSE finden Sie unter KB50998 – Verwalten der Datei- und Ordnerausschlüsse mithilfe von Platzhaltern.
Deaktivieren Sie die Zugriffsschutzregel, um zu verhindern, dass McAfee-Dienste angehalten werden:
Klicken Sie auf Start, Programme, McAfee, VirusScan-Konsole.
Klicken Sie mit der rechten Maustaste auf Zugriffsschutz, und wählen Sie dann Eigenschaften aus.
Klicken Sie auf die Registerkarte Zugriffsschutz.
Deaktivieren Sie in der linken unteren Ecke Verhindern, dass McAfee Dienste angehalten werden.
Klicken Sie auf Anwenden und dann auf OK.
Beenden Sie den McShield-Dienst:
Drücken Sie Windows+R, geben Sie services.msc ein, und klicken Sie auf OK.
Klicken mit der rechten Maustaste auf McAfee McShield, und wählen Sie Stoppen aus.
Speichern Sie eine Kopie von EICAR.COM auf Ihrer lokalen Festplatte.
Kopieren Sie EICAR.COM in jeden ausgeschlossenen Ordner, den Sie testen möchten.
Starten Sie den McShield-Dienst:
Drücken Sie Windows+R, geben Sie services.msc ein und klicken Sie auf OK.
Klicken mit der rechten Maustaste auf McAfee McShield, und wählen Sie Starten aus.
Schließen Sie das Dienstfenster.
Ausführen von EICAR.COM:
Navigieren Sie zu jedem Ordner, in den EICAR.COM kopiert wurde.
Doppelklicken Sie auf EICAR.COM in jedem ausgeschlossenen Ordner. Wenn die Ausschlüsse ordnungsgemäß konfiguriert sind, wird EICAR.COM ausgeführt, ohne erkannt zu werden. Sie können das Ergebnis überprüfen, indem Sie die Datei auch an einem nicht ausgeschlossenen Speicherort ausführen, um zu überprüfen, ob die von Ihnen verwendete EICAR-Probe erkannt wird. VSE erkennt EICAR.COM als Virus und verhindert deren Ausführung.
Aktivieren Sie die Zugriffsschutzregel erneut, um zu verhindern, dass McAfee-Dienste angehalten werden:
Klicken Sie auf Start, Programme, McAfee, VirusScan-Konsole.
Klicken Sie mit der rechten Maustaste auf Zugriffsschutz, und wählen Sie dann Eigenschaften aus.
Klicken Sie auf die Registerkarte Zugriffsschutz.
Wählen Sie in der linken unteren Ecke Verhindern, dass McAfee Dienste angehalten werden.
Klicken Sie auf Anwenden und dann auf OK.
Schließen Sie die VirusScan-Konsole.
Um zu testen, ob Ihre AntiSpyware-Software ordnungsgemäß funktioniert, erstellen Sie eine EICAR-PUO-Testdatei. Die EICAR-PUO-Testdatei funktioniert auf die gleiche Weise wie die standardmäßige EICAR-Testzeichenfolge. AntiSpyware erkennt sie jedoch als potenziell unerwünschtes Programm und nicht als Virus.
So erstellen Sie die EICAR-PUO-Testdatei:
Öffnen Sie einen Text-Editor, z. B. Notepad.
Kopieren Sie die folgende Zeichenfolge in die neue Datei:
Geben Sie den Dateinamen ein, und klicken Sie auf Speichern.
HINWEISE:
Um die Datei leicht erkennbar zu machen, empfiehlt der technische Support, die Datei als EICAR-PUO.COM zu speichern. Die Größe der gespeicherten Datei ist ungefähr 68–70 Bytes.
Alle Funktionen der Standard-EICAR-Erkennung gelten für EICAR-PUO weiterhin
Die EICAR-PUO-Testdatei wird unter der Kategorie test auf die gleiche Weise wie die Standard-EICAR-Testdatei erkannt.
EICAR-PUO ist eine AntiSpyware-Testdatei. Daher müssen Sie die Erkennung potenziell unerwünschter Programme aktivieren, um erfolgreich zu sein.
Um zu überprüfen, ob der AMSI-Scan ordnungsgemäß funktioniert, aktivieren Sie AMSI in der Endpoint Security- (ENS-)Richtlinie und führen auf dem System einen EICAR-PowerShell-Befehl aus.
HINWEIS: AMSI funktioniert nur mit einem Betriebssystem, das es unterstützt (z. B. Windows 10 und Windows Server 2016).
Aktivieren Sie die AMSI-Integration in ENS.
Starten Sie PowerShell, und führen Sie den folgenden Befehl aus:
Vergewissern Sie sich, dass eine Erkennung für die Bedrohung ausgelöst wird: EICAR!ams!XXXXX
Um zu überprüfen, ob der ScriptScan-Scan ordnungsgemäß funktioniert, aktivieren Sie ScriptScan in der Endpoint Security-Richtlinie, und erstellen Sie eine EICAR-HTML-Datei:
Aktivieren Sie ScriptScan in der Endpoint Security-Richtlinie.
Aktivieren Sie das ScriptScan-Plug-in im Browser.
Öffnen Sie einen Text-Editor, z. B. Notepad.
Erstellen Sie eine eicar.html-Datei. Fügen Sie den folgenden Inhalt in die Datei ein:
HINWEIS: Ändern Sie den Quellpfad im HTML-Code, um auf den Speicherort zu verweisen, in dem eicar.html erstellt wurde (C:\temp\eicar.html).
An Eicar Test
Click the button
Erstellen Sie einen Ausschluss in der On-Access-Scan-Richtlinie für eicar.js. Wenn der Ausschluss nicht erstellt wird, erkennt der On-Access-Scan EICAR anstelle von ScriptScan.
Öffnen Sie einen Text-Editor, z. B. Notepad.
Create an eicar.js file in C:\temp. Fügen Sie den unten aufgeführten Inhalt in die Datei ein.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Öffnen Sie Internet Explorer und dann C:\temp\eicar.html. Klicken Sie auf die Schaltfläche Testen.
Vergewissern Sie sich, dass eine Pop-up-Meldung angezeigt wird. Die Meldung besagt "Das Ausführen von Skripts bzw. ActiveX-Steuerelementen wurde für diese Webseite eingeschränkt."
Vergewissern Sie sich, dass eine Erkennung für die Bedrohung ausgelöst wird: JC/Eicar
Themenbezogene Informationen
HINWEIS: In diesem Artikel werden Inhalte kombiniert, die ursprünglich in den Artikeln KB55194, KB54228, KB59742 und KB50133 veröffentlicht wurden.
ID des vorherigen Dokuments
(Secured)
613376
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.