Тестовый файл для проверки антивируса

Тестовый файл для проверки антивируса

Владимир Молочков (В. Новгород)

Подобно тому, как автомобили разгоняют и врезают в стену (краш-тест), так и антивирусы проверяют тестовыми вирусами. Там проверяют насколько хорош автомобиль, здесь — насколько хорош антивирус…

Какой антивирус лучше? На этот вопрос трудно дать однозначный ответ. Тем не менее, вы можете проверить, насколько хорош выбранный вами домашний антивирус, использовав для такой проверки тестовые вирусы. Давайте посмотрим, как это делается. Будем проверять очень популярный антивирус ESET и сравнивать его работу с Антивирусом Касперского. Для нашего эксперимента создадим три файла с тестовыми вирусами: eicar.com, cure-eicar.com и susp-eicar.com.

Создаем тестовый вирус eicar.com

EICAR (European Institute for Computer Antivirus Research) — файл, применяемый для проверки работы антивирусных программ. Он реальным вирусом НЕ ЯВЛЯЕТСЯ, а всего лишь выводит текстовое сообщение и возвращает управление операционной системе. Поэтому любой пользователь может убедиться в работоспособности своего антивируса, набрав в текстовом редакторе (например, в Блокноте) тестовую строку длиной 68 байт и сохранив ее с расширением .EXE или .COM. Итак, запустите текстовый редактор Блокнот, воспользовавшись системным меню Пуск > Программы > Стандартные > Блокнот и наберите строку:

Создаем тестовый вирус cure-eicar.com

Суть вируса EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить — то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса — обнаружение. Поэтому для тестирования антивирусов хорошо использовать модифицированный тестовый вирус, а именно: CURE-EICAR Обнаружив такой файл, антивирус должен его «вылечить», сократив его размер до 4 байт (символы «CURE»). Поэтому модифицируйте EICAR, добавив к нему в блокноте приставку «CURE-«.

Сохраните получившийся файл под именем cure-eicar.com. Этот тестовый вирус так же, как и предыдущий, хорошо известен в лаборатории Касперского, и антивирус Касперского его однозначно обнаруживает, но вылечить не может.

Создаем тестовый вирус SUSP-EICAR

Описанным выше способом можно создать множество вирусов. Так, DELE-EICAR Антивирус Касперского определяет как неизлечимый вирус или троянскую программу и удаляет. Следовательно, по результатам проверки DELE-EICAR должен быть обнаружен только в резервном хранилище. CORR-EICAR предназначен для диагностики работы Антивируса Касперского в случае обнаружения файла с поврежденной структурой, вследствие чего проверить его на наличие вирусов невозможно. Такой файл признается условно чистым. Вирус WARN-EICAR признается подозрительным. Это приводит к предложению поместить его на карантин или удалить. Все эти имитаторы вирусов создаются по одному принципу — 68-символьная строка с начала дополняется пятью символами, в зависимости от модификации — приставкой CURE, DELE, CORR, ERRO, SUSP или WARN и дефисом. Например, содержимое CURE-EICAR выглядит так:

Мы создадим SUSP-EICAR. Этот файл Антивирус Касперского признает подозрительным, а именно — зараженным неизвестным вирусом. Следовательно, он должен быть помещен на карантин или удален (по умолчанию действие при обнаружении подозрительного объекта запрашивается у пользователя).

Сохраните файл как susp-eicar.com.

Убедитесь, что все три вируса созданы правильно, проверив размер каждого из файлов. Для этого по очереди наведите курсор мыши на каждый из файлов и ознакомьтесь с информацией, представленной во всплывающем окне. Файл eicar.com должен иметь размер 68 байт, а cure-eicar.com и susp-eicar.com — по 73 байта.

Читайте также:  Какая рыба оживает после заморозки

Убедитесь, что при запуске тестовый вирус выводит предупреждающее окно. Для этого наберите Пуск-Выполнить-CMD, а затем наберите eicar и нажмите на Enter.

На рисунке: Вирус вывел текстовое сообщение

Итак, выше мы создали три разных вируса. Антивирус Касперского все их обнаруживает, но в каждом случае поступает по-разному (лечит, помещает в карантин, удаляет). Посмотрим, как на эти тестовые вирусы отреагирует ESET.

Тестирование антивируса ESET с помощью EICAR

Итак, нужно протестировать способность установленного на вашем ПК антивируса ESET (или, например, AVAST, McAfee, Dr_WEB, Avira…) с целью сравнить его с неким эталоном, за который мы взяли антивирус Касперского. Если ESET (или иной домашний антивирус) смогут обнаруживать вирусы на примере модификаций базового тестового вируса EICAR, то они хороши. А если нет — то вы в опасности. Иначе говоря, нужно будет перейти к папке с тестовыми файлами, проверить ее на вирусы.

Антивирус должен найти вирус eicar.com и запросить дальнейшие действия у пользователя. Поскольку EICAR неизлечим, функция лечения недоступна. Такие файлы всегда рекомендуется удалять, что и нужно будет выбрать в этом задании. Однако не все антивирусы ведут себя одинаково.

Как видим из этого окна, при настройках по умолчанию антивирус ESET удалил eicar.com без всяких сообщений для пользователя как в распакованном виде, так и в виде архива — eicar.zip. В то время как вирус susp-eicar.com обнаружен не был.

Отсюда можно сделать вывод, что антивирус ESET хуже, чем антивирус Касперского работает с тестовыми вирусами. Что касается других антивирусов, то эксперимент проведите сами. Это недолго, несложно, но весьма полезно.

Врага надо знать в лицо

Признаки появления вирусов

  • прекращение работы или неправильная работа ранее успешно функционировавших программ
  • медленная работа компьютера
  • невозможность загрузки операционной системы
  • исчезновение файлов и каталогов или искажение их содержимого
  • изменение даты и времени модификации файлов
  • изменение размеров файлов
  • неожиданное значительное увеличение количества файлов на диске
  • существенное уменьшение размера свободной оперативной памяти
  • вывод на экран непредусмотренных сообщений или изображений
  • подача непредусмотренных звуковых сигналов
  • частые зависания и сбои в работе компьютера

Основные типы компьютерных вирусов

Программные. Это блоки программного кода, внедренные внутрь других прикладных программ. Вирусный код запускается при запуске программы.

Загрузочные. Поражают системные области магнитных носителей (гибких и жестких дисков). Заражение происходит при загрузке ПК с зараженного носителя.

Макровирусы. Поражают документы, выполненные в некоторых прикладных программах (например, Word). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд (макросов).

Этапы действия вируса

Размножение — вирусный код может воспроизводить себя в теле других программ.

Вирусная атака — после создания достаточного числа копий программный вирус начинает осуществлять разрушение: нарушение работы программ и ОС, удаление информации на жестком диске, самые разрушительные вирусы вызывают форматирование жесткого диска. Некоторые вирусы могут уничтожать данные, в этом случае требуется замена микросхемы (хотя считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение ПК).

Защита от компьютерных вирусов

Существуют три рубежа защиты:

  • предотвращение поступления вирусов;
  • предотвращение вирусной атаки, если вирус поступил на ПК;
  • предотвращение разрушительных последствий, если атака произошла.
Читайте также:  Доступ к spaces ru

Методы реализации защиты — программные, аппаратные и организационные.

Средства антивирусной защиты

Основное средство — резервное копирование ценных данных, вспомогательные — антивирусные программы и аппаратные средства.

Аппаратное средство: отключение перемычки на материнской плате не позволит осуществить стирание микросхемы BIOS ни вирусу, ни злоумышленнику, ни неаккуратному пользователю.

Действия пользователя в различных антивирусных программах

При работе с антивирусом пользователю могут быть предложены следующие варианты действий с зараженным файлом:

  • Лечить (рекомендуется) — после нажатия кнопки OK будет предпринята попытка вылечить зараженный файл. Если эта попытка будет неудачной, то будет выдано сообщение.
  • Удалить — зараженный файл будет удален без возможности восстановления.
  • Пропустить (игнорировать) — с зараженным файлом не будет выполнено ни каких действий. Факт его обнаружения будет зафиксирован в отчете о работе антивируса. Следующая попытка обратиться к зараженному файлу вновь приведет к выводу на экран сообщения об обнаружении вируса.
  • Поместить в карантин (Переместить в резервное хранилище). Карантин — это папка, куда антивирус в ходе проверки компьютера перемещает подозрительные объекты, заражение которых он не смог однозначно определить. После каждого обновления баз объекты, хранящиеся на карантине, подвергаются проверке. Ели объект определяется как зараженный, то он должен быть либо вылечен, либо удален. Если после обновления баз объект однозначно определен как здоровый, то он может быть восстановлен в том месте, откуда он был помещен в карантин.

Описание добавлено: 2006-01-31

  • 3395856ce81f2b7382dee72602f798b642f14140

EICAR Test File не является вредоносной программой – это специальный текстовый файл, предназначенный для тестирования работоспособности антивирусов. Все антивирусные программы при обнаружении такого файла должны реагировать на него в точности таким же образом, как в случае выявления какой-либо реальной компьютерной угрозы. Файл EICAR позволяет пользователю посмотреть, как его антивирус будет сигнализировать в случае обнаружения вируса, не подвергая при этом свой компьютер опасности реального заражения.

Стандартный файл EICAR Test File представляет собой текстовый файл в формате ASCII, содержащий следующую строку:

Если такой файл с расширением .COM запустить в 32-разрядной операционной системе как приложение, он выведет в командную строку следующее сообщение:

после чего вернет управление ОС. В 64-разрядных версиях ОС Windows такой COM-файл не запустится.

Компьютерные вирусы — тема, которая никогда не перестанет быть актуальной. А если говорить конкретнее, то борьба с ними и какие программы защищают ваш компьютер лучше всего.

Безусловно, некоторые пользователи, которые прочитают эту статью уверены в том, что их система надежна и защищена на все сто процентов. Это те пользователи, которые считают, что лучшим антивирусом являются "прямые " руки и ставят защитные утилиты лишь для того, чтобы проверять изменения автозагрузок, реестра и прочего. Именно для таких пользователей в большей мере и написана данная статья.

Вы никогда не задавали себе вопрос, откуда вообще берется источник спроса на антивирусные программы. Ведь все вы слышали про тесты, в ходе которых определяется, что один антивирус лучше другого по таким-то и таким-то характеристикам.

О антивирусах я рассказывал в этом видео:

Какой антивирус лучше?

Как же формируются все эти тесты? В идеале картинка такая: в компании специалисты написали разные вирусы, которые пытаются заразить разные версии операционных систем, на которых стоят разные антивирусы и условия при этом тоже разные. После такого вот масштабного тестирования подводятся итоги и пишутся отчеты. Согласитесь, все логично. И у каждого специалиста результаты тестирования могут быть тоже разными, так как у них совершенно другие условия тестирования антивирусной программы.

Читайте также:  Из чего состоит динамик колонки

Сейчас в интернете есть такие сайты, на которых можно скачать вирус, чтобы проверить собственную систему на поиск вышесказанных. Уверен, вы понимаете к чему это может привести.

Сразу давайте внесем ясность. Все вы мыслите здраво и сами хозяева для своих ПК. Поэтому, если после скачивания такого вируса с предложенного мною сайта, у вас полетит вся система, фото, видео, пароли и прочее, не стоит в этом винить меня. Вы качаете вирус лишь на СВОЙ страх и риск. Используйте полученную информация правильно. Не давайте ссылку на скачивание друзьям, детям, беременным женщинам и животным ))). Не стоит полностью быть уверенным в своей системе, ведь вы даже понятия не имеете, что кроется в этих вирусах. И вообще, данная статья задумана лишь для ознакомительных целей, а не для применения полученных знаний на практике.

Уже в далеком для нас 2013 году, "Касперский " создал свой первый тестовый вирус "Eicar " . Его основной задачей было взять контроль над системой, вывести на экран нужное сообщение, и снова отдать всю власть системе. Скачать его можно по этой ссылке. Здесь вы найдете вирусы для проверки вашего ПК, там есть вирусы на любой цвет и вкус. Ссылки для их скачивания находятся в столбце "Domain " нужно просто открыть ссылку в новом окне . Вот еще один адрес с вирусами, ссылка на которые в столбце "Source”.

Для скачивания вирусов с этого сервиса, может потребоваться регистрация. Если ссылка выделены зеленым цветом, значит там вирус имеется. Желтый цвет означает, что практически все вирусы из архива удалили. Как вы уже поняли, ссылки, окрашенные в красный цвет — без вирусов.

http://www.virusign.com — еще один сервис, который полностью на русском языке.

Пройдя по этой ссылке http://openmalware.org вам заведомо нужно знать название вируса, чтобы найти его в базе данных. На сайте загрузки нужна обязательная регистрация для скачивания.

Ну и напоследок архив с 20000 вирусами — скачать тут — пароль 111. Да там есть очень злобные твари и не все антивирусы от них спасают!

Думаю, вам хватит такого количества вирусных баз. Не стоит недооценивать эти вирусы и считать, что они только способны слегка напрячь ваш антивирус. Скорее всего там есть такие вредоносные программы, которые антивирус может даже не заметить. Поэтому, повторюсь, сперва трижды подумайте, прежде чем устраивать такие проверки своей антивирусной программе. Если ваш компьютер накроется, то ответственность несете только вы! Все вирусы на этой странице представлены только в ознакомительных целях!

Если вы все же умудрились подхватить заразу смотрите этот плейлист по удалению вирусов:

Удалить все вирусы с компьютера

Спасибо, что вы с нами и никогда не заражайтесь!

Ссылка на основную публикацию
Adblock detector