Tester les capacités de fonctionnement

Le test EICAR (European Institute for Computer Anti-Virus Research) permet de tester les performances des programmes antivirus utilisant la méthode de détection par signatures. Ce test a été spécialement conçu pour que les utilisateurs puissent tester les capacités de détection des outils antivirus nouvellement installés sans compromettre la sécurité de leur ordinateur.

Bien que EICAR ne soit pas malveillant, il est traité par la plupart des antivirus comme un virus. Au moment de la détection de ce « virus », les produits antivirus Dr.Web affichent l’information suivante : EICAR Test File (NOT a Virus!). D’autres outils antivirus alertent les utilisateurs de la même façon. Le fichier test EICAR est un fichier COM de 68 octets pour MS DOS/MS Windows. Une fois exécuté, il affiche sur l’écran du terminal ou dans l’émulateur de la console le message suivant :

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Le test contient la chaîne de caractères suivante seulement :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Pour créer votre propre fichier test avec le « virus », vous devez créer un nouveau fichier contenant la ligne susmentionnée.

Si Dr.Web pour Linux fonctionne correctement, le fichier test EICAR est détecté durant le scan du système de fichiers quel que soit le mode de scan, et l’utilisateur est prévenu que la menace EICAR Test File (NOT a Virus!) a été détectée.

Exemple de la commande pour tester les performances de Dr.Web pour Linux avec le programme de test EICAR depuis la ligne de commande :

$ tail /opt/drweb.com/share/doc/drweb-se/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

Cette commande trouve dans le fichier /opt/drweb.com/share/doc/drweb-se/readme.eicar (fourni avec le produit) la ligne qui représente le corps du programme de test EICAR et l’enregistre dans le fichier testfile dans le répertoire actuel. Ensuite elle analyse le fichier reçu et supprime le fichier créé.

Pour réussir ce test, vous devez avoir les droits d’enregistrement dans le répertoire actuel. De plus, assurez-vous que dans ce répertoire il n’y a pas de fichier avec le nom testfile (si nécessaire, modifiez le nom du fichier dans la commande).

En cas de détection réussie du virus de test, le message suivant s’affiche sur l’écran :

<chemin vers le répertoire actuel>/testfile - infected with EICAR Test File (NOT a Virus!)

Si lors de l’analyse, vous recevez un message d’erreur, consultez la description des erreurs connues.

Si le moniteur du système de fichiers SpIDer Guard fonctionne dans le système, le fichier peut être supprimé tout de suite ou déplacé en quarantaine en cas de détection d’une menace (en fonction de la configuration du composant). Dans ce cas, juste après le message sur la détection d’une menace, la commande rm notifie l’absence du fichier. Cette situation n’est pas une erreur, elle signale le fonctionnement correct du moniteur.