EICAR test file, test antimalware senza danni collaterali

28 Luglio 2008 · Archiviato in Guide & Recensioni, Sicurezza 

Guide & Recensioni - Guide accessibili e complete all'utilizzo del software, recensioni attente ai dettagli che contano. All'insegna del motto: Niente Panico! Nel desolante panorama dell’assoluta mancanza di convenzioni generalmente riconosciute tra i produttori di software antivirus e antimalware, almeno uno standard esiste. Un punto fermo che prende il nome ufficiale di EICAR Standard Anti-Virus Test File e si prefigge lo scopo, come è facile dedurre, di fornire uno strumento universalmente valido per valutare il corretto funzionamento di un qualsivoglia tool di protezione dal software malevolo.

Teoria…

Distribuito dallo European Institute for Computer Antivirus Research (EICAR), l’EICAR test file è uno strumento messo a punto dai ricercatori dell’organizzazione Computer AntiVirus Researcher’s Organization (CARO) per rispondere alle caratteristiche che dovrebbe avere un test standard di un software antivirus.

Un pezzo di storia, considerando che è in circolazione da 10 anni, ma che nondimeno continua ad avere una sua ragion d’essere anche oggi che il malware è diventato un business e i malware writer vengono foraggiati dalle mafie internazionali per distribuire on-line rootkit e torrenti di spam senza fine. Un test ancora valido perché risponde a tre pre-requisiti qualificanti, vale a dire:

  • E’ assolutamente innocuo, e può essere fatto circolare in rete come altrove senza rischi per la sicurezza di dati e software dell’utente;
  • Viene riconosciuto dagli antivirus come un malware vero e proprio e quindi trattato come se fosse una minaccia reale;
  • Il codice di cui è composto produce risultati sensibili una volta mandato in esecuzione.

3D malware

Non di rado capita di leggere richieste sul genere “dove trovare i virus su Internet”, con motivazione la volontà di mettere alla prova il software antivirale. Sebbene in questo non vi sia nulla di eccepibile per quanto riguarda il principio, è la pratica che difetta di senso: chi si occupa di sicurezza informatica a un livello almeno superiore al newbie non ha alcuna necessità di leggere sui forum dove scaricare malware.

E riguardo l’uso di sample virali “autentici” per verificare il funzionamento di tool di sicurezza sarebbe come “scatenare un fuoco nel cestino dell’ufficio“, suggerisce la pagina web di EICAR, “per stare a vedere se il sensore di fumo funziona“. Un esperimento dal risultato assicurato, certo, ma anche “con rischi inaccettabili o poco attraenti“. Consigliare in tal senso fonti di download di malware è, ad essere gentili, proprio di chi una buona profilassi informatica non sa nemmeno dove stia di casa.

Per chi non amasse correre rischi inutili ma fosse comunque curioso di provare quel che succede quando si incappa in un malware, l’EICAR test file è una buona occasione di far scattare allarmi e mettere in subbuglio l’antivirus. Allarmi falsi, ma anche molto realistici.

…E pratica

Fatte le dovute considerazioni introduttive, si può ora passare al lato pratico della faccenda. L’EICAR test file è in sostanza composto da una stringa alfanumerica dei 68 caratteri riportati qui di seguito:

  • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Una volta copiata e incollata la stringa all’interno di un file su sistemi operativi Windows e non solo, questo potrà essere adoperato per testare la capacità di individuazione delle minacce da parte dell’antivirus. L’eventuale presenza, all’interno del file, di caratteri invisibili alla stampa come il carriage return non riduce la sua funzionalità, fermo restando che la lunghezza totale non ecceda i 128 caratteri/byte.

Salvando il file con estensione “.com” (tradizionalmente riservata ai programmi eseguibili dall’MS-DOS in poi) ed eseguendolo, si ottiene l’effetto concreto segnalato all’inizio nella forma di un messaggio testuale stampato nella console dei comandi. E’ naturalmente possibile comprimere il fake-sample all’interno di un archivio per rendere più arduo il compito all’antivirus, adottando magari una strategia di doppia o ennesima compressione successiva a mimare una tecnica oggigiorno particolarmente gettonata tra i malware writer, adusi a camuffare il proprio operato con decine di compressioni diverse del codice eseguibile.

EICAR test at Prompt

Di seguito allego le quattro diverse versioni dell’EICAR test file già disponibili sulla homepage del tool, più una versione creata ad-hoc compattando in successione il file eseguibile originale con 7 diversi formati di archivio: se un antivirus o un antimalware è in grado di riconoscere il falso malware all’interno dell’archivio “nidificato”, certamente da’ una chiara dimostrazione del fatto che sta facendo la guardia nel migliore dei modi.

In realtà molto dipende dalle impostazioni del software, e dal livello di allerta specificato dall’utente o da chi amministra il PC: in condizioni di protezione ideali, clickare su uno dei link indicati (i primi due in particolare) dovrebbe essere sufficiente a far scattare il falso allarme, ma alcuni antivirus lasciano che il file .com venga scaricato in locale per attivarsi solo al momento dell’esecuzione del suddetto.

Qualunque sia il caso è assolutamente tassativo che il software di protezione, sia esso antivirus o antimalware, segnali la presenza del file. Si tratta, è bene ricordarlo ancora una volta, di un test riconosciuto come standard industriale e il suo fallimento implica una sola conseguenza: la mediocrità intrinseca della protezione millantata dal software, che andrebbe cestinato all’istante e sostituito con una soluzione meno indecente.

Galleria di falsi allarmi

Dopo la teoria e la pratica si passa… agli screenshot. Di seguito è possibile dare un’occhiata a come si comporta un campione di software antivirale sufficientemente rappresentativo quando entra in contatto - con le impostazioni standard - con il file di test EICAR.

Avast! 4.8 Professional Edition

Avast! 4.8 Professional Edition

AVG Anti-Virus Professional Edition 8.0

AVG Anti-Virus Professional Edition 8.0

Avira AntiVir Premium 8.1

Avira AntiVir Premium 8.1

ESET NOD32 Antivirus 3.0

ESET NOD32 Antivirus 3.0

Kaspersky Internet Security 2009

Kaspersky Internet Security 2009

McAfee VirusScan 2007

McAfee VirusScan 2007

Norton AntiVirus 2008

Norton AntiVirus 2008

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Una Risposta a “EICAR test file, test antimalware senza danni collaterali”

  1. grazie il 13 Febbraio 2010 15:52

    molto interessante.
    saluti


    Browser Firefox 3.5.7 Firefox 3.5.7 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7

Lascia una risposta