Тестовый "вирус" EICAR и его модификации

Тестовый "вирус" был специально разработан организацией (The European Institute for Computer Antivirus Research) для проверки работы антивирусных продуктов.

Тестовый "вирус" НЕ ЯВЛЯЕТСЯ ВИРУСОМ и не содержит программного кода, который может нанести вред вашему компьютеру, однако при этом большинство продуктов антивирусных компаний-производителей идентифицируют его как вирус.

Никогда не используйте в качестве проверки работоспособности антивирусного продукта настоящие вирусы!

Загрузить тестовый "вирус" можно с официального сайта организации EICAR: http://www.eicar.org/anti_virus_test_file.htm.

Перед загрузкой необходимо отключить антивирусную защиту, поскольку файл anti_virus_test_file.htm будет идентифицирован и обработан программой как зараженный объект, перемещаемый по HTTP-протоколу. Не забудьте включить антивирусную защиту сразу после загрузки тестового "вируса".

Программа идентифицирует файл, загруженный с сайта компании EICAR как зараженный объект, содержащий не подлежащий лечению вирус, и выполняет действие, установленное для такого объекта.

Вы также можете использовать модификации стандартного тестового "вируса" для проверки работы программы. Для этого следует изменить содержание стандартного "вируса", добавив к нему один из префиксов (см. таблицу далее). Для создания модификаций тестового "вируса" может использоваться любой текстовый или гипертекстовый редактор, например, Microsoft Блокнот, UltraEdit32, и т.д.

Вы можете проверять корректность работы антивирусной программы с помощью модифицированного "вируса" EICAR только при наличии антивирусных баз, датированных не ранее 24.10.2003 (кумулятивное обновление – Октябрь, 2003).

В первой графе приведены префиксы, которые следует добавить в начало строки стандартного тестового "вируса". Во второй графе перечислены все возможные значения статуса, присваиваемого Антивирусом объекту по результатам проверки. Третья графа содержит информацию об обработке программой объектов с указанным статусом. Обращаем ваше внимание, что действия над объектами определяются значениями параметров программы.

После добавления префикса к тестовому "вирусу" сохраните полученный файл, например, под именем: eicar_dele.com. Дайте аналогичные названия всем модифицированным "вирусам".

Модификации тестового "вируса"

Префикс	Статус объекта	Информация об обработке объекта
Префикс отсутствует, стандартный тестовый "вирус".	Зараженный. Объект содержит код известного вируса. Лечение невозможно.	Программа идентифицирует данный объект как вирус, не подлежащий лечению. При попытке лечения объекта возникает ошибка; применяется действие, установленное для неизлечимых объектов.
CORR-	Поврежденный.	Программа получила доступ к объекту, но не смогла проверить его, поскольку объект поврежден (например, нарушена структура объекта, неверный формат файла). Информацию о том, что объект был обработан, вы можете найти в отчете о работе программы.
WARN-	Подозрительный. Объект содержит код неизвестного вируса. Лечение невозможно.	Объект признан подозрительным с использованием эвристического анализатора. На момент обнаружения базы Антивируса не содержат описания процедуры лечения данного объекта. Вы получите уведомление при обнаружении такого объекта.
SUSP-	Подозрительный. Объект содержит модифицированный код известного вируса. Лечение невозможно.	Программа обнаружила частичное совпадение участка кода объекта с участком кода известного вируса. На момент обнаружения базы Антивируса не содержат описания процедуры лечения данного объекта. Вы получите уведомление при обнаружении такого объекта.
ERRO-	Ошибка проверки.	При проверке объекта возникла ошибка. Программа не смогла получить доступ к объекту: нарушена целостность объекта (например, нет конца многотомного архива) либо отсутствует связь с ним (если проверяется объект на сетевом ресурсе). Информацию о том, что объект был обработан, вы можете найти в отчете о работе программы.
CURE-	Зараженный. Объект содержит код известного вируса. Излечим.	Объект содержит вирус, который может быть вылечен. Программа выполняет лечение объекта, при этом текст тела "вируса" изменяется на CURE. Вы получите уведомление при обнаружении такого объекта.
DELE-	Зараженный. Объект содержит код известного вируса. Лечение невозможно.	Программа идентифицирует данный объект как вирус, не подлежащий лечению. При попытке лечения объекта возникает ошибка; применяется действие, установленное для неизлечимых объектов. Вы получите уведомление при обнаружении такого объекта.

В начало