Un mito sobre Eicar
miércoles, 30 de enero de 2019
Internet nos fascina siempre. A veces uno piensa que es difícil sorprenderle. Y enseguida encuentra algo aún más interesante.
Kaspersky aun en el año 2013 creó un antivirus de pruebas Eicar. Su función es simplemente controlar el sistema, visualizar un mensaje en la pantalla y luego otra vez concederle el control al sistema.
La fuente de este texto es desconocida, pero podemos localizarlo en muchos sitios web. Y es maravilloso:
¿Cómo se crean todos estos tests? En principio, el proceso es así: en una empresa los expertos crearon varios virus que intentan infectar varias versiones de sistemas operativos con varios antivirus y las condiciones también son distintas. Después de estos tests importantes se sacan conclusiones y se redactan informes. Todo parece lógico. Y cada experto puede tener distintos resultados de pruebas porque tienen otras condiciones de pruebas del programa antivirus.
Este texto no tiene mucho sentido, pero vamos a recordar varios detalles importantes.
-
EICAR no es un virus. No tiene ninguna función de autopropagación ni de funcionalidad nociva. Y, por supuesto, no controla a ningún sistema. Actualmente es una línea de prueba, aunque desde el punto de vista formal es un archivo ejecutable de formato.com (un tipo ce archivo ejecutable compacto muy popular en la época de MS-DOS como utilidad de sistema). En las versiones modernas de 64 bits del SO Windows este archivo ya no se inicia.
-
La longitud de EICAR – es inferior a100 caracteres.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Es todo Eicar. Como vemos, la mayor parte de su contenido es una línea de texto
"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"
que el mismo visualiza (visualizaba) al iniciarse. Pero no todo es tan fácil, porque hay un código oculto.Es más interesante escribir enseguida el código enseguida. Por ejemplo, EICAR recibe el código de la instrucción INT 21h (21CDh) como diferencia entre 2B48h ('H+') y 097Bh. A su vez, 097Bh resulta como 214Fh ('O!') xor 2834h ('4('). Resultado: INT 21h ≡ 'H+' - ('O!' xor '4(')
Todo el código:
pop ax ; 'X' ; en el stack hay una palabra de 2 bytes igual a 0 ; por lo tanto ahora ax = 0 xor ax, 214Fh ; '5O!' ; ax = 214Fh push ax ; 'P' and ax, 4140h ; '%@A' ; ax = 0140h push ax ; 'P' pop bx ; '[' ; bx = 0140h xor al, 5Ch ; '4\' ; ax = 011Ch push ax ; 'P' pop dx ; 'Z' ; dx = 011Ch pop ax ; 'X' ; ax = 214Fh xor ax, 2834h ; '54(' ; ax = 097Bh push ax ; 'P' pop si ; '^' ; si = 097Bh sub word ptr [bx], si ; ')7' ; vamos a hacer patch loc_1: había 2B48h, ahora es 21CDh ; ahora en la dirección loc_1: la instrucción int 21h inc bx ; 'C' inc bx ; 'C' ; bx = 0142h sub word ptr [bx], si ; ')7' ; vamos a hacer patch de los siguientes 2 bytes enseguida después de loc_1 ; había 2A48h, ahora es 20CDh ; ahora en la dirección loc_1+2 hay una instrucción int 20h jge short loc_1 ; '}$' ; el resultado no es negativo, por lo tanto, habrá un salto ; omitimos todo lo que está entre loc_2 y loc_1 loc_2: db 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$' loc_1: db 'H', '+' ; 'H+' ; patched en db 0CDh, 21h ; ah = 09h – llamar la función 9 DOS ; la línea es de DS:DX, final de la línea - '$' ; dx = 011Ch, т. е. PSP + 1Ch = loc_2 db 'H', '*' ; 'H*' ; patched en db 0CDh, 20h ; función de finalización del programa
No tiene nada que ver con lenguajes de alto nivel.
-
Es correcto escribir EICAR, o, mejor, EICAR-Test-File, porque es una abreviación de European Institute for Computer Antivirus Research.
-
La mayoría de los productos antivirus detectan EICAR, pero no todos.
Es interesante que todos los virus lo detectan de forma distinta, no existe nombre único (tampoco existe un nombre único para cada programa nocivo en concreto).
-
El “virus” también está en el sitio web de Dr.Web.
Pero este virus tiene también su propio sitio web oficial, desde donde varias opciones del mismo pueden ser descargadas.
Pero siempre será el mismo archivo. Solo las extensiones son distintas y a veces puede estar comprimido.
-
Con EICAR no se comprueba la calidad de desinfección ni la calidad de detección de programas nocivos. Sirve solo para comprobar el funcionamiento del antivirus. Y en realidad es un test muy importante. Por ejemplo, cuando los virus ya no se detectan en el equipo del cliente o hay problemas del disco duro. El programa antivirus parece estar instalado y, al parecer, funciona, pero sin resultado. En este caso EICAR, sin ser archivo nocivo, permite comprobar si el producto funciona. Su mejor ventaja es que el usuario, al recibir EICAR, no podrá dañar ni infectar nada.
-
Además de ser una cosa no muy sofisticada, EICAR permite comprobar muchas cosas. Al hacer clic sobre el archivo, Vd. podrá saber si el monitor de archivos SpIDer Guard funciona. Al enviarlo en un mensaje, comprobará si el correo se escanea por el módulo SpIDer Mail, y, al intentar descargarlo o enviarlo, Vd. averiguará si funciona el escaneo del tráfico SpIDer Gate.
-
Sobre cómo comprobar el funcionamiento del antivirus con EICAR, consulte aquí.
-
Y además EICAR puede ser usado para experimentos – por ejemplo, así o así.
El mundo de antivirus recomienda
Las empresas antivirus no crean programas nocivos. Es un delito penal que se castiga enseguida, y el efecto del mismo será mayor que la descarga de un troyano secreto desde un equipo del hogar. Estas empresas tampoco crean colecciones de virus para pruebas.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
Неуёмный Обыватель
13:39:19 2019-01-30