Для проверки работоспособности антивирусных программ, использующих сигнатурные методы обнаружения угроз, используется тест EICAR (European Institute for Computer Anti-Virus Research), разработанный одноименной организацией. Этот тест разработан для того, чтобы пользователь, не подвергая свой компьютер опасности, мог посмотреть, как установленный антивирус будет сигнализировать об обнаружении вируса.
Программа, используемая для теста EICAR, не является вредоносной, но специально определяется большинством антивирусных программ как вирус. Антивирусные продукты Dr.Web называют этот «вирус» следующим образом: EICAR Test File (NOT a Virus!). Примерно так его называют и другие антивирусные программы. Тестовая программа EICAR представляет собой последовательность из 68 байт, образующую тело исполняемого COM-файла для ОС MS DOS/MS Windows, в результате исполнения которого на консоль выводится текстовое сообщение:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE! |
Тело тестовой программы состоит только из текстовых символов, которые формируют следующую строку:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* |
Если вы создадите файл, содержащий приведенную выше строку, то в результате получится программа, которая и будет описанным «вирусом».
В случае корректной работы Dr.Web для интернет-шлюзов UNIX, этот файл должен обнаруживаться при проверке объектов файловой системы любым доступным способом, с уведомлением об обнаружении угрозы EICAR Test File (NOT a Virus!).
Пример команды для проверки работоспособности Dr.Web для интернет-шлюзов UNIX при помощи тестовой программы EICAR из командной строки:
$ tail <opt_dir>/share/doc/drweb-se/readme.eicar | grep X5O > testfile && drweb-ctl rawscan testfile && rm testfile |
Данная команда выделяет из файла <opt_dir>/share/doc/drweb-se/readme.eicar (поставляется вместе с Dr.Web для интернет-шлюзов UNIX) строку, представляющую собой тело тестовой программы EICAR, записывает ее в файл testfile в текущий каталог, выполняет проверку полученного файла, после чего удаляет созданный файл.
|
Для успешного проведения вышеуказанного теста вы должны иметь права записи в текущий каталог. Кроме того, убедитесь, что в нем отсутствует файл с именем testfile (при необходимости измените имя файла в команде).
Об условных обозначениях путей <opt_dir>, <etc_dir> и <var_dir> см. Введение. |
В случае успешного обнаружения тестового «вируса» на экран будет выдано следующее сообщение:
<путь к текущему каталогу>/testfile - infected with EICAR Test File (NOT a Virus!) |
Если при проверке будет получено сообщение об ошибке, обратитесь к описанию известных ошибок (см. Приложение Е. Описание известных ошибок).
Проверку входящего HTTP-трафика на наличие вирусов можно выполнить двумя способами.
Через браузер
1.Открыть браузер и перейти к настройке прокси-сервера.
2.Ввести соответствующие параметры прокси-сервера для ICAP.
3.Зайти на страницу https://www.eicar.org/download/eicar.com — в окне браузера появится уведомление о зараженном файле.
Через консоль
Выполнить запрос:
curl -x 127.0.0.1:3128 https://www.eicar.org/download/eicar.com |
В ответ на запрос в консоли появится уведомление о блокировке запрошенного ресурса.