Die EICAR-Testdatei wurde verwendet, um ein Antivirensystem funktionell zu testen. Heutzutage wird EICAR von fast jedem Antivirensystem als „Testvirus“ gekennzeichnet. Weitere Informationen zu diesem historischen Testvirus finden Sie hier:Hier.
Derzeit ist dieEICARDie Testdatei ist nur zum Testen derGegenwarteiner AV-Lösung, prüft jedoch nicht, ob Engine-Dateien oder DAT-Dateien vorhanden sindAktualität. Mit anderen Worten: Warum sollte man einen Funktionstest eines Systems durchführen, das möglicherweise DAT-Dateien enthält, die älter als 10 Jahre sind? Angesichts der Menge an Viren, die täglich veröffentlicht werden, verliert die EICAR-Signatur mit der Zeit als Testtool an Wert.
Dennoch bin ich der Meinung, dass EICAR aktualisiert/modifiziert werden muss, um ein wirksamer Test zu sein, der in Verbindung mit einer AV-Managementlösung funktioniert.
Einige Leute auf Serverfault haben auf eine frühere Überarbeitung dieser Frage geantwortet.
An die Antwortenden:Bitte konzentrieren Sie sich auf den Punkt:
In dieser überarbeiteten Frage geht es um testen die Funktionalität eines AV-Systems.
Bitte antworten Sie nicht mit Managementlösungen, da diese nicht testen, was eingesetzt und im Einsatz ist. Managementlösungen berichten und das kann auf die eine oder andere Weise fehlerhaft sein, zum Beispiel: Manchmal wird eine Maschine aufgrund eines Bedienerfehlers nicht in die routinemäßige AV-Verwaltung einbezogen. Manchmal wird AV von einem anderen Unternehmen oder einer anderen Gruppe verwaltet. Egal, wie Ihre Haltung zum Thema „Management“ ist, dies zählt meiner Meinung nach nicht als „Test“ nach der Bereitstellung. Diese Frage bezieht sich auf Tests in der realen Welt, ohne Verwendung von Live-Viren … was die Absicht des ursprünglichen EICAR ist.
Ich schlage ein neues EICAR-Dateiformat mit einem angehängten XML-Blob vor, das unter bestimmten Bedingungen eine Reaktion der Antivirus-Engine auslöst.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey>
In diesem Beispiel würde die Antiviren-Engine nur dann auf die EICAR-Datei aufmerksam machen, wenn sowohl die Signatur als auch die Engine-Datei dem Gültigkeitsdatum entsprechen oder neuer sind. Außerdem gibt es einen Passcode, der die Verwendung von EICAR für den Systemadministrator schützt.
Wenn Sie über einen Hintergrund im Bereich „Test Driven Design“ (TDD) für Software verfügen, verstehen Sie möglicherweise, dass ich lediglich die Prinzipien von TDD auf meine Infrastruktur anwende.
Wie kann ich diese Idee auf der Grundlage Ihrer Erfahrungen und Kontakte verwirklichen?
Antwort1
Was Sie wollen (im Kontext eines Systems, das nicht unter Ihrer Kontrolle steht), wird wahrscheinlich nie praktikabel sein, einfach weil es eine weitere Schwachstelle in der Antivirus-Software selbst öffnen würde. Es wäre also möglich, ein System zu testen, um festzustellen, ob es den neuesten Virus erkennen kann oder nicht. Wenn der Test fehlschlägt, könnte der Virus unentdeckt durchgereicht werden, ohne dass unnötiger Verdacht erregt wird.
Was den EICAR-Test betrifft, ist es höchste Zeit, ihn aufzugeben. Die meisten Antivirus-Programme, die ich kenne, sind entweder fest programmiert, um ihn zu erkennen, oder haben eine Signatur dafür, was den „Test“ absolut wertlos macht.
Antwort2
Ich bezweifle, dass die Industrie jeden Monat eine neue EICAR-Datei für Sie erstellen wird. Das ist reine Zeit- und Ressourcenverschwendung. Die Lösung für Ihr Problem ist der Kauf eines zentralisierten Antivirus wie Symantec oder Sophos, damit Sie einen Bericht ausführen und sehen können, welche Clients aktualisiert werden müssen.
Antwort3
Die EICAR-Datei selbst testet nicht, ob ein Antivirenprogramm vorhanden ist. Sie wird lediglich als Tool für Testzwecke verwendet (Sie testen also nicht auf Live-Viren).
Es gibt zahlreiche Möglichkeiten, Engine- und Definitionsupdates zu überwachen und zu verwalten (ich gehe davon aus, dass Sie McAfee verwenden, da Sie die DAT-Terminologie verwenden).
Jedes Antivirenprogramm für Unternehmen verfügt über eine zentrale Verwaltungskonsole. Für McAffee sehen Sie sich ePolicy Orchestrator an (oder wie auch immer die aktuelle SMB-Software heißt).
Antwort4
Die obigen Antworten weisen Sie auf eine zentralisierte Verwaltungskonsole hin. Das ist normalerweise die beste Antwort. Ich verstehe Ihren Punkt bezüglich der passiven Überwachung, aber ich denke, Sie liegen etwas daneben. Die zentralen Lösungen, mit denen ich gearbeitet habe, gehen nicht davon aus, dass der Client das Update erhalten hat; sie aktualisieren die Informationen in der Konsole mit dem, was der Client als sein Definitionsdatum/seine Version angibt. Das ist genauso genau, als würden Sie den Client-Rechner selbst auf andere Weise fragen. Tatsächlich ist das Schlimmste, was passieren kann, ein Ausfall der Konsole, bei dem zwar immer noch aktualisierte DATs gesendet werden, aber die Rückmeldung eines Clients verloren geht und in der Konsole ein älteres Definitionsdatum angezeigt wird, als der Client tatsächlich hat.
Wenn dies jedoch nicht möglich ist (Computer bleiben nach der Bereitstellung nicht unter Ihrer Kontrolle usw.), können Sie versuchen herauszufinden, wo die von Ihnen verwendete AV-Software diese Informationen speichert.
Als ich dies für SAV CE tun musste, konnten Sie die Registrierung des Client-Rechners abfragen, um die aktuelle Version der AV-Definition zu finden, und ich glaube auch das Datum. Bei McAfee DAT-Dateien können Sie möglicherweise herausfinden, wo das Verzeichnis liegt, in dem die DATs gespeichert sind, und ein Skript erstellen, das nach dem Erstellungs- oder letzten Änderungsdatum der neuesten DAT-Datei in diesem Verzeichnis sucht.