エンジンの最新性をカバーする新しい EICAR 形式の提案

tag-icon tag-icon anti-virus testing update eicar-test-string
エンジンの最新性をカバーする新しい EICAR 形式の提案

EICAR テストファイルは、ウイルス対策システムの機能テストに使用されました。現在、ほぼすべての AV システムは EICAR を「テスト」ウイルスとしてフラグ付けします。この歴史的なテストウイルスの詳細については、ここをクリックしてください。ここ

現在、エイカーテストファイルは、面前AVソリューションのエンジンファイルやDATファイルをチェックしません最新性言い換えれば、10 年以上前の DAT ファイルが存在する可能性のあるシステムの機能テストをなぜ行うのでしょうか。毎日リリースされるウイルスの量は、時間の経過とともに、EICAR シグネチャのテスト ツールとしての価値を失っていきます。

そうは言っても、AV 管理ソリューションと連携して機能する効果的なテストとなるように、EICAR を更新/修正する必要があると思います。

serverfault の一部の人が、この質問の以前のバージョンに回答しました。

回答者へ:次の点に注目してください:

この改訂された質問は テスト AVシステムの機能性。

管理ソリューションについては回答しないでください。管理ソリューションは、導入済みで現場にあるものをテストしません。管理ソリューションのレポートには、何らかの欠陥がある可能性があります。たとえば、オペレーターのエラーにより、マシンが通常の AV 管理に含まれない場合があります。AV が別の会社またはグループによって管理されている場合もあります。管理に対するスタンスが何であれ、これは導入後の「テスト」にはカウントされません。この質問は、実際のウイルスを使用しない実際のテストに関するものです。これが、元の EICAR の意図です。

私は、条件に応じてウイルス対策エンジンが応答するようにする XML BLOB を付加した新しい EICAR ファイル形式を提案しています。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey>

このサンプルでは、​​ウイルス対策エンジンは、署名またはエンジン ファイルの両方が有効開始日と同じかそれより新しい場合にのみ、EICAR ファイルに対して警告を発します。また、システム管理者による EICAR の使用を保護するパスコードもあります。

ソフトウェアの「テスト駆動設計」TDD のバックグラウンドがあれば、私がやっていることは TDD の原則をインフラストラクチャに適用することだけだと分かるでしょう。

あなたの経験と人脈に基づいて、このアイデアをどのように実現できるでしょうか?

答え1

あなたが求めているもの(あなたの管理下にないシステムの場合)は、AV ソフトウェア自体に新たな脆弱性をもたらすだけなので、実現する可能性は低いでしょう。つまり、最新のウイルスを検出できるかどうかを判断するためにシステムを調べることが可能になります。テストが失敗した場合、ウイルスは不当な疑いを抱かせることなく検出されずに送信される可能性があります。

EICAR テストに関しては、そろそろ廃止すべき時期です。私が見た AV ソフトウェアのほとんどは、これを検出するためにハードコードされているか、またはシグネチャを持っているため、「テスト」はまったく役に立たないものになっています。

答え2

業界が毎月新しい EICAR ファイルを作成するとは思えません。時間とリソースの無駄です。問題の解決策は、Symantec や Sophos などの集中型 AV を購入してレポートを実行し、どのクライアントを更新する必要があるかを確認することです。

答え3

EICAR ファイル自体は、ウイルス対策ソフトの存在をテストするものではありません。単にテスト目的のツールとして使用されます (つまり、実際のウイルスに対してテストするわけではありません)。

エンジンと定義の更新を監視および管理する方法はたくさんあります (DAT という用語を使用しているので、McAfee を使用していると想定しています)

すべてのエンタープライズ ウイルス対策には、中央管理コンソールが用意されています。McAffee の場合は、ePolicy Orchestrator (または現在の SMB ソフトウェアの名称) を確認してください。

答え4

上記の回答は、集中管理コンソールの使用を示唆しています。通常、これが最善の回答です。パッシブ モニタリングに関するご意見は理解できますが、少し的外れだと思います。私が使用した集中管理ソリューションでは、クライアントがアップデートを取得したとは想定していません。クライアントが定義の日付/バージョンとして示す情報を使用して、コンソールの情報を更新します。これは、他の方法でクライアント マシンに問い合わせるのとまったく同じ精度です。実際、起こり得る最悪の事態は、コンソールが故障し、更新された DAT が送信され続けるものの、クライアントからの返信が失われ、クライアントが実際に持っている定義の日付よりも古い日付がコンソールに表示されることです。

ただし、それができない場合 (展開後にマシンが制御下になくなるなど) は、使用している AV ソフトウェアがその情報をどこに保存しているかを調べてみてください。

SAV CE でこれを実行する必要がある場合、クライアント マシンのレジストリを照会して、現在の AV 定義バージョンと日付も検索できます。McAfee DAT ファイルの場合は、DAT が保存されているディレクトリを見つけて、そのディレクトリ内の最新の DAT ファイルの作成日または最終更新日を検索するスクリプトを用意できる可能性があります。

関連情報