EICAR(European Institute for Computer Anti-Virus Research)テストを行うと、ウイルスをシグネチャで検出するアンチウイルスプログラムの動作を確認できます。このテストは、新しくインストールしたアンチウイルスツールのウイルス検出の動作を、コンピューターを危険にさらすことなくテストできるように特別に設計されています。
EICARは実際にはウイルスではありませんが、多くのアンチウイルスプログラムによってウイルスとして処理されるようにできています。この「ウイルス」を検出すると、Dr.Webのアンチウイルス製品は「EICAR Test File (NOT a Virus!)」という表示を出します。その他のアンチウイルスツールも同じようにユーザーに警告します。EICARテストファイルはMS DOS/MS Windows向けの68バイトのCOMファイルで、実行すると、ターミナル画面またはコンソールエミュレーターに次のラインを出力します。
EICAR-STANDARD-ANTIVIRUS-TEST-FILE! |
EICARテストファイルは、次の文字列のみを含んでいます。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* |
上記の文字列でファイルを作成すると、「ウイルス」として認識されるテストファイルができあがります。
Dr.Web for UNIX Internet Gatewaysが正常に動作していれば、テストファイルはスキャンの種類に関係なくファイルシステムのスキャン中に検出され、検出された脅威について「EICAR Test File (NOT a Virus!)」と通知されます。
EICARテストを使用したDr.Web for UNIX Internet Gatewaysの動作の確認を、コマンドラインから実行する場合のコマンドの例:
$ tail <opt_dir>/share/doc/drweb-se/readme.eicar | grep X5O > testfile && drweb-ctl rawscan testfile && rm testfile |
このコマンドは、<opt_dir>/share/doc/drweb-se/readme.eicarファイル(Dr.Web for UNIX Internet Gatewaysに付属)からEICARテストファイルの本文を表す文字列を抽出し、それを現在のディレクトリに作成されたtestfileという名前のファイルに書き込みます。その後、このファイルをスキャンしてから削除します。
|
上記のテストを行うには、カレントディレクトリへの書き込みアクセスが必要です。また、ディレクトリにtestfileという名前のファイルが含まれていないことを確認してください(必要に応じて、コマンド内でファイル名を変更してください)。
<opt_dir>、<etc_dir>、<var_dir>の表記規則の詳細は、はじめにを参照してください。 |
テストウイルスが検出されると、以下のメッセージが表示されます。
<path to the current directory>/testfile - infected with EICAR Test File (NOT a Virus!) |
テスト中にエラーが発生した場合は、既知のエラーの説明を参照してください(付録F. 既知のエラーを参照)。
受信HTTPトラフィックにウイルスが含まれているかどうかをテストするには:
Webブラウザ経由
1.ブラウザを開き、プロキシサーバー設定に移動します。
2.ICAPの適切なプロキシサーバー設定を入力します。
3.Webページhttps://www.eicar.org/download/eicar.comにアクセスします。ファイルが感染しているという通知がブラウザウィンドウに表示されます。
コンソール経由
次のリクエストを行います。
curl -x 127.0.0.1:3128 https://www.eicar.org/download/eicar.com |
リクエストしたファイルが感染しているという通知がレスポンスに表示されます。