Este é o arquivo de texto para teste de antivírus EICAR, o qual é detectado como um vírus pela maioria dos fornecedores de programas antivírus (AV).
Funciona assim, crie um novo arquivo com o Bloco de Notas (Notepad), digite (copie e cole) os seguintes caracteres, exatamente como estão:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Salve o arquivo como .com com qualquer nome (eicar.com, por exemplo).
No momento que você tentar gravar ou ao tentar executar o arquivo, se o seu antivírus estiver ativo e residente na memória, ele já deveria apontar o arquivo como um vírus.
Esse é um arquivo de texto desenvolvido pelo European Institute for Computer Antivirus Research (EICAR) para que fosse criada uma assinatura padrão inofensiva para que o próprio usuário possa testar sua proteção contra vírus sem a necessidade de expor o sistema a um vírus real.
O arquivo gerado é um executável do Windows (arquivo de comando) que apenas mostra a mensagem EICAR STANDARD ANTIVIRUS TEST FILE na tela e possui alguns comandos em linguagem de máquina para constituir uma assinatura única para o teste.
Um problema que você poderá se defrontar é que o arquivo poderá ficar inacessível para ser apagado (dependendo de como o seu programa AV trata as possíveis ameaças).
Isso está previsto no site da EICAR que diz que ela não dá suporte para os usuários de antivírus.
Porém, normalmente, o seu antivírus oferece a opção de colocar o arquivo em quarentena e muda a extensão dele. Ou o coloca em um banco de dados interno do AV (o que apaga o arquivo do local original) com a opção de apagar o arquivo do banco posteriormente.
O programa não mostrará a mensagem em sistemas operacionais de 64 bits devido a limitações do ambiente de 16 bits para o qual o teste foi feito. Contudo, isso não impede o AV de apontá-lo como um vírus, caso esteja ativo
A seguir, a listagem do código assembly do arquivo de teste EICAR. Uma explicação mais detalhada pode ser vista aqui (em inglês).
xxxx:0100 58 POP AX
xxxx:0101 354F21 XOR AX,214F
xxxx:0104 50 PUSH AX
xxxx:0105 254041 AND AX,4140
xxxx:0108 50 PUSH AX
xxxx:0109 5B POP BX ;--> Coloca 0140 em BX
xxxx:010A 345C XOR AL,5C
xxxx:010C 50 PUSH AX
xxxx:010D 5A POP DX ;--> Coloca 011C em DX
xxxx:010E 58 POP AX
xxxx:010F 353428 XOR AX,2834
xxxx:0112 50 PUSH AX
xxxx:0113 5E POP SI
xxxx:0114 2937 SUB [BX],SI ;--> Muda bytes em 140-141
xxxx:0116 43 INC BX
xxxx:0117 43 INC BX
xxxx:0118 2937 SUB [BX],SI ;--> Muda bytes em 142-143
xxxx:011A 7D24 JGE 0140 ;--> Pula os dados da mensagem para
; suas suas última instruções
xxxx:011C 45 49 43 41 52 2D 53 54 41 EICAR-STA
xxxx:0125 4E 44 41 52 44 2D 41 4E 54 NDARD-ANT Dados de texto
xxxx:012E 49 56 49 52 55 53 2D 54 45 IVIRUS-TE Dados da mensagem exibida
xxxx:0137 53 54 2D 46 49 4C 45 21 24 ST-FILE!$ pelo programa.
xxxx:0140 CD21 INT 21 ;--> Função do DOS 09h:
; Exibe o texto.
xxxx:0142 CD20 INT 20 ;--> Função que finaliza o programa.
O arquivo pode ser comprimido (zipado) para testar se o seu antivírus conseguiria detectá-lo mesmo sob outras condições. Você pode também fazer um backup (o que mudaria o atributo Archive), criptografá-lo etc. Contudo, tenha em mente que esse teste é apenas para verificar, com segurança, se a sua proteção está ativa. E não é uma prova para estressar seu antivírus levando seu algoritmo de detecção de ameaças ao limite.
Até próxima dica!
Nenhum comentário :
Postar um comentário