El archivo de prueba EICAR se utilizó para probar funcionalmente un sistema antivirus. Tal como está hoy, casi todos los sistemas AV marcarán EICAR como un virus de "prueba". Para obtener más información sobre este virus de prueba histórico, haga clic enaquí.
Actualmente elEICAREl archivo de prueba solo sirve para probar elpresenciade una solución AV, pero no busca el archivo del motor o el archivo DATactualidad. En otras palabras, ¿para qué hacer una prueba funcional de un sistema que podría tener archivos DAT con más de 10 años? Con la cantidad de virus que se liberan diariamente, con el tiempo, la firma EICAR pierde valor como herramienta de prueba.
Dicho esto, creo que EICAR necesita actualizarse/modificarse para que sea una prueba eficaz que funcione junto con una solución de gestión AV.
Algunas personas en serverfault respondieron a una revisión anterior de esta pregunta.
A los que responden:Por favor concéntrate en el punto:
Esta pregunta revisada trata sobre pruebas la funcionalidad de un sistema AV.
No responda con soluciones de administración, ya que no prueban lo que está implementado y en el campo. Las soluciones de gestión informan y eso puede tener fallas de una manera u otra por ejemplo: a veces una máquina puede no ser incluida en la administración AV de rutina por error del operador. A veces, los AV están gestionados por una empresa o grupo diferente. No importa cuál sea su postura sobre la "gestión", esto no cuenta en una "prueba" posterior al despliegue, en mi humilde opinión. Esta pregunta trata sobre pruebas en el mundo real, sin utilizar virus vivos... que es la intención del EICAR original.
Estoy proponiendo un nuevo formato de archivo EICAR con el apéndice de un blob XML que hará que el motor antivirus responda de forma condicional.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-EXTENDED-ANTIVIRUS-TEST-FILE!$H+H*
<?xml version="1.0"?>
<engine-valid-from>2010-1-1Z</engine-valid-from>
<signature-valid-from>2010-1-1Z</signature-valid-from>
<authkey>MyTestKeyHere</authkey>
En este ejemplo, el motor antivirus solo alertaría sobre el archivo EICAR si tanto la firma como el archivo del motor son iguales o más recientes que la fecha de inicio de validez. También hay un código de acceso que protegerá el uso de EICAR para el administrador del sistema.
Si tiene experiencia en TDD de "diseño basado en pruebas" para software, es posible que entienda que todo lo que estoy haciendo es aplicar los principios de TDD a mi infraestructura.
Según tu experiencia y contactos ¿cómo puedo hacer realidad esta idea?
Respuesta1
Es poco probable que lo que busca (en el contexto de un sistema que no está bajo su control) llegue a ser viable simplemente porque abriría otra vulnerabilidad más contra el propio software antivirus. es decir, sería posible sondear un sistema para determinar si es capaz o no de detectar el virus más reciente. Si la prueba falla, el virus podría pasar sin ser detectado y sin despertar sospechas indebidas.
En cuanto a la prueba EICAR, ya es hora de abandonarla. La mayoría del software AV que he visto está codificado para detectarlo o tiene una firma, lo que hace que la "prueba" sea absolutamente inútil.
Respuesta2
Dudo que la industria cree un nuevo archivo EICAR mensualmente para usted. Es una pérdida de tiempo y recursos. La solución a su problema es comprar un AV centralizado como Symantec o Sophos para poder ejecutar un informe y ver qué clientes necesitan actualización.
Respuesta3
El archivo EICAR en sí no prueba la presencia de antivirus. Se utiliza simplemente como herramienta con fines de prueba (por lo que no sabe cómo realizar pruebas contra virus vivos).
Hay muchas formas de monitorear y administrar actualizaciones de motores y definiciones (supongo que está usando McAfee ya que está usando la terminología DAT)
Cada antivirus empresarial tiene disponible una consola de administración central. Para McAffee, consulte ePolicy Orchestrator (o como se llame el software SMB actual).
Respuesta4
Las respuestas anteriores le indican una consola de administración centralizada. Esa suele ser la mejor respuesta. Entiendo tu punto sobre el monitoreo pasivo, pero creo que estás un poco equivocado. Las soluciones centrales con las que he trabajado no suponen que el cliente recibió la actualización; actualizan la información en la consola con lo que el cliente dice que es su fecha/versión de definición. Eso es exactamente tan preciso como preguntarle usted mismo a la máquina cliente de alguna otra manera. De hecho, lo peor que puede pasar es una avería en la consola, seguir enviando DAT actualizados pero perder la comunicación de retorno de un cliente y mostrar en la consola una fecha de definición anterior a la que realmente tiene el cliente.
Sin embargo, si no puede hacer eso (las máquinas no permanecerán bajo su control después de la implementación, etc.), puede intentar averiguar dónde guarda esa información el software AV que utiliza.
Cuando tuve que hacer esto para SAV CE, podía consultar el registro de la máquina cliente para encontrar la versión actual de la definición de AV y creo que también la fecha. Para los archivos DAT de McAfee, es posible que pueda averiguar dónde se guardan los DAT y tener una secuencia de comandos que busque la fecha de creación o de última modificación del archivo DAT más reciente en ese directorio.