W serwisie www.virustotal.com można przesłać dowolny plik w celu przeskanowania go online przez ponad 50 programów (silników) antywirusowych pod kątem złośliwego oprogramowania.
Wykorzystując ten serwis stworzyłem prosty test skuteczności różnych programów antywirusowych dla wirusa testowego EICAR, który został stworzony przez Europejski Instytut Badań Wirusów Komputerowych (ang. European Institute for Computer Antivirus Research, EICAR) - www.eicar.org . Testowy wirus nie czyni żadnych szkód, jest to po prostu ciąg znaków, który wykryty przez program antywirusowy spowoduje wyskoczenie okienka z komunikatem o znalezionym wirusie. Kod pliku EICAR wygląda tak:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Powyższy ciąg znaków można zapisać do pliku .com, .bin, .txt lub dowolnego innego i testować skuteczność ochrony antywirusowej. Jeżeli ochrona działa w czasie rzeczywistym, to takiego pliku nie będzie się dało nawet zapisać na dysku. Można taki plik skompresować np. do archiwum .zip i sprawdzić czy antywirus radzi sobie z archiwami.
Test wykrywalności pliku EICAR przez różne antywirusy (VirusTotal):
Ja do swoich testów użyłem 9 różnych wariantów wirusa testowego EICAR. Wyniki testów i zrzuty ekranu z serwisu VirusTotal znajdują się w tabeli poniżej:
| RODZAJ PLIKU TESTOWEGO EICAR | PROCENT ANTYWIRUSÓW, KTÓRE WYKRYŁY ZŁOŚLIWY KOD | WYNIKI (ZRZUTY EKRANU Z VIRUSTOTAL) |
| Czysty kod EICAR (oryginalny plik wirusa testowego EICAR) | 96.4 % | 01_plain.jpg |
| Plik testowego wirusa zakodowany Base64 | 27.3 % | 02_base64.jpg |
| Plik testowego wirusa spakowany Zipem | 87.5 % | 03_zip.jpg |
| Plik podwójnie spakowany Zipem | 82.1 % | 04_zip-zip.jpg |
| Plik pięciokrotnie spakowany Zipem | 75.0 % | 05_zip-zip-zip-zip-zip.jpg |
| Plik spakowany programem 7zip | 71.4 % | 06_7zip.jpg |
| Dodany jeden bajt na początku pliku | 37.5 % | 07_a.jpg |
| Dodane 32 bajty na początku i na końcu pliku | 14.3 % | 08_b.jpg |
| Kod Eicar zaszyty w pliku LibreOffice Writer .odt | 3.6 % | 09_libre_office.jpg |
Jak widać dwa antywirusy w ogóle nie wykrywają pliku testowego EICAR. Natomiast tylko dwa antywirusy znajdują ciąg EICAR zapisany w pliku .odt (LibreOffice / OpenOffice).
Test, który przeprowadziłem mówi nam jakie możliwości ma silnik antywirusowy tzn. czy wykrywa wirusa zakodowanego algorytmem Base64 lub wielokrotnie spakowanego itp. Jeżeli chodzi o ilość wykrywanych wirusów, robaków, trojanów i innych złośliwych tworów, to skuteczność zależy od baz sygnatur wirusów zaimplementowanych w oprogramowaniu antywirusowym.
Test, który przeprowadziłem mówi nam jakie możliwości ma silnik antywirusowy tzn. czy wykrywa wirusa zakodowanego algorytmem Base64 lub wielokrotnie spakowanego itp. Jeżeli chodzi o ilość wykrywanych wirusów, robaków, trojanów i innych złośliwych tworów, to skuteczność zależy od baz sygnatur wirusów zaimplementowanych w oprogramowaniu antywirusowym.
Brak komentarzy:
Prześlij komentarz