Com uma simples linha de texto, sem riscos para seu computador, você pode atestar se seu antivírus está funcionando. Conheça o teste de anti...
Com uma simples linha de texto, sem riscos para seu computador, você pode atestar se seu antivírus está funcionando. Conheça o teste de antivírus EICAR.
Este é o arquivo de texto para teste de antivírus EICAR, o qual é detectado como um vírus pela maioria dos fornecedores de programas antivírus (AV).
Funciona assim, crie um novo arquivo com o Bloco de Notas (Notepad), digite (copie e cole) os seguintes caracteres, exatamente como estão:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Salve o arquivo como .com com qualquer nome (eicar.com, por exemplo).
No momento que você tentar gravar ou ao tentar executar o arquivo, se o seu antivírus estiver ativo e residente na memória, ele já deveria apontar o arquivo como um vírus.
Esse é um arquivo de texto desenvolvido pelo European Institute for Computer Antivirus Research (EICAR) para que fosse criada uma assinatura padrão inofensiva para que o próprio usuário possa testar sua proteção contra vírus sem a necessidade de expor o sistema a um vírus real.
O arquivo gerado é um executável do Windows (arquivo de comando) que apenas mostra a mensagem EICAR STANDARD ANTIVIRUS TEST FILE na tela e possui alguns comandos em linguagem de máquina para constituir uma assinatura única para o teste.
Um problema que você poderá se defrontar é que o arquivo poderá ficar inacessível para ser apagado (dependendo de como o seu programa AV trata as possíveis ameaças).
Isso está previsto no site da EICAR que diz que ela não dá suporte para os usuários de antivírus (e nem nós :-P ).
Porém, normalmente, o seu antivírus oferece a opção de colocar o arquivo em quarentena e muda a extensão dele. Ou o coloca em um banco de dados interno do AV (o que apaga o arquivo do local original) com a opção de apagar o arquivo do banco posteriormente.
Mas esse é o espírito. Essa pode ser uma ótima oportunidade de você saber como o seu AV vai reagir quando (e se) encontrar uma ameaça real e o que acontecerá com o arquivo. :-D
A seguir, a listagem do código assembly do arquivo de teste EICAR. Uma explicação mais detalhada pode ser vista aqui (em inglês).
O arquivo pode ser comprimido (zipado) para testar se o seu antivírus conseguiria detectá-lo mesmo sob outras condições. Você pode também fazer um backup (o que mudaria o atributo Archive), criptografá-lo etc. Contudo, tenha em mente que esse teste é apenas para verificar, com segurança, se a sua proteção está ativa. E não é uma prova para estressar seu antivírus levando seu algoritmo de detecção de ameaças ao limite.
Contudo, é sempre bom saber se as defesas imunológicas de seu computador estão funcionando. Cuidado e canja de galinha nunca fazem mal.
Você poderá baixar o arquivo de teste e versões compactadas do mesmo clicando AQUI.
Este é o arquivo de texto para teste de antivírus EICAR, o qual é detectado como um vírus pela maioria dos fornecedores de programas antivírus (AV).
Funciona assim, crie um novo arquivo com o Bloco de Notas (Notepad), digite (copie e cole) os seguintes caracteres, exatamente como estão:
Salve o arquivo como .com com qualquer nome (eicar.com, por exemplo).
No momento que você tentar gravar ou ao tentar executar o arquivo, se o seu antivírus estiver ativo e residente na memória, ele já deveria apontar o arquivo como um vírus.
Esse é um arquivo de texto desenvolvido pelo European Institute for Computer Antivirus Research (EICAR) para que fosse criada uma assinatura padrão inofensiva para que o próprio usuário possa testar sua proteção contra vírus sem a necessidade de expor o sistema a um vírus real.
O arquivo gerado é um executável do Windows (arquivo de comando) que apenas mostra a mensagem EICAR STANDARD ANTIVIRUS TEST FILE na tela e possui alguns comandos em linguagem de máquina para constituir uma assinatura única para o teste.
Um problema que você poderá se defrontar é que o arquivo poderá ficar inacessível para ser apagado (dependendo de como o seu programa AV trata as possíveis ameaças).
Isso está previsto no site da EICAR que diz que ela não dá suporte para os usuários de antivírus (e nem nós :-P ).
Porém, normalmente, o seu antivírus oferece a opção de colocar o arquivo em quarentena e muda a extensão dele. Ou o coloca em um banco de dados interno do AV (o que apaga o arquivo do local original) com a opção de apagar o arquivo do banco posteriormente.
O programa não mostrará a mensagem em sistemas operacionais de 64 bits devido a limitações do ambiente de 16 bits para o qual o teste foi feito. Contudo, isso não impede o AV de apontá-lo como um vírus, caso esteja ativo.
Mas esse é o espírito. Essa pode ser uma ótima oportunidade de você saber como o seu AV vai reagir quando (e se) encontrar uma ameaça real e o que acontecerá com o arquivo. :-D
A seguir, a listagem do código assembly do arquivo de teste EICAR. Uma explicação mais detalhada pode ser vista aqui (em inglês).
xxxx:0100 58 POP AX
xxxx:0101 354F21 XOR AX,214F
xxxx:0104 50 PUSH AX
xxxx:0105 254041 AND AX,4140
xxxx:0108 50 PUSH AX
xxxx:0109 5B POP BX ;--> Coloca 0140 em BX
xxxx:010A 345C XOR AL,5C
xxxx:010C 50 PUSH AX
xxxx:010D 5A POP DX ;--> Coloca 011C em DX
xxxx:010E 58 POP AX
xxxx:010F 353428 XOR AX,2834
xxxx:0112 50 PUSH AX
xxxx:0113 5E POP SI
xxxx:0114 2937 SUB [BX],SI ;--> Muda bytes em 140-141
xxxx:0116 43 INC BX
xxxx:0117 43 INC BX
xxxx:0118 2937 SUB [BX],SI ;--> Muda bytes em 142-143
xxxx:011A 7D24 JGE 0140 ;--> Pula os dados da mensagem para
; suas suas última instruções
xxxx:011C 45 49 43 41 52 2D 53 54 41 EICAR-STA
xxxx:0125 4E 44 41 52 44 2D 41 4E 54 NDARD-ANT Dados de texto
xxxx:012E 49 56 49 52 55 53 2D 54 45 IVIRUS-TE Dados da mensagem exibida
xxxx:0137 53 54 2D 46 49 4C 45 21 24 ST-FILE!$ pelo programa.
xxxx:0140 CD21 INT 21 ;--> Função do DOS 09h:
; Exibe o texto.
xxxx:0142 CD20 INT 20 ;--> Função que finaliza o programa.
O arquivo pode ser comprimido (zipado) para testar se o seu antivírus conseguiria detectá-lo mesmo sob outras condições. Você pode também fazer um backup (o que mudaria o atributo Archive), criptografá-lo etc. Contudo, tenha em mente que esse teste é apenas para verificar, com segurança, se a sua proteção está ativa. E não é uma prova para estressar seu antivírus levando seu algoritmo de detecção de ameaças ao limite.
Contudo, é sempre bom saber se as defesas imunológicas de seu computador estão funcionando. Cuidado e canja de galinha nunca fazem mal.
Você poderá baixar o arquivo de teste e versões compactadas do mesmo clicando AQUI.
Muito interessante a dica! :)
ResponderExcluirhttp://www.raqueltrevisi.com.br/blog
Espetacular!!
ResponderExcluirfoi instantaneo. nem precisei renomer , foi colocar a frase dentro e salva o meu anti virus barrou no ato....
ResponderExcluirmuito interessante
@zenjutsu, ocorreu dessa forma no teste que fiz também. Mas porque gravei na Área de Trabalho (Desktop). Quando gravei em um subdiretório no disco C: o AV não acusou nada. Até que eu tentei executá-lo.
ResponderExcluirMuito legal, caso AV esteja funcionando corretamente, somente de colar o arquivo em uma pasta compartilhada ele ja automaticamente avisa e nem permite ser colocado na pasta.
ResponderExcluireu nem uso antivirus...
ResponderExcluir/comofas?
Muito, mas muito legal!!!
ResponderExcluirfez meu pc travar ¬¬
ResponderExcluirO arquivo foi diretamente para quarentena, nem foi salvo. mto bom este teste.
ResponderExcluirMto bom, o arquivo foidireto para quarentena nem foi salvo na pasta destinada.
ResponderExcluirbcn.. meu antivirus travo toda minha area de trabalho e o sistema....
ResponderExcluirBem, @Donovan, isso pode ser um sinal de alguma coisa não vai bem. No mínimo, que seu AV não é adequado para o seu sistema.
ResponderExcluirAfinal, se ele travou com um vírus que praticamente não faz nada. Imagine se for uma ameaça mais complexa. :-P
Mto bom, o arquivo foidireto para quarentena nem foi salvo na pasta destinada²
ResponderExcluirEu fiz tudo que pediu, ai salvei o arquivo na área de trabalho e tal..
ResponderExcluirAi quando eu fui visualizar o arquivo novamente ele não estava mais, ou seja, ele estava sendo excluido automaticamente. É um bom sinal né ?
É sim. Acho... :P Cada sistema de proteção aborda de uma forma diferente as ameaças. Você testou, sem correr riscos, o seu sistema e ele mostrou como agiria se fosse um malware real. Abs.
ResponderExcluir