¿Cuál es el propósito de EICAR?

3

Durante el tiempo que podemos recordar, EICAR se ha utilizado para probar la presencia de sistemas antivirus en el correo electrónico, el sistema de archivos u otros lugares.

A veces, la solución AV está tan desactualizada que su eficacia es básicamente cero.

  

Eso me lleva a preguntarme por qué tengo soporte para EICAR. ¿Esta prueba es obsoleta y debería eliminarse?

A mí me parece lógico extender esa línea de preguntas con esto:

  

¿Sería beneficioso para EICAR probar también la actualización de los archivos de actualización de AV?
  Quizás diciendo efectivamente "¿Solo se activan alertas AV si las firmas son más nuevas que la fecha x / x / x"?

    
pregunta random65537 06.11.2011 - 18:53
fuente

4 respuestas

6

Creo que, en primer lugar, la principal motivación para crear Eicar fue esta: detener a los proveedores aleatorios que piden muestras de virus para obtener muestras de virus con el pretexto de probar su propia instalación del antivirus. / p>

Una nueva prueba que asegura que las firmas están actualizadas, suena interesante. Sin embargo, sugiero no usar el archivo original de Eicar para eso, sino algo diferente. De esta manera, puede estar seguro de que se implementa el algoritmo de caducidad, a menos que el proveedor cometa falta. El uso de archivos diarios / semanales puede ser incluso mejor, pero esto causa muchos costos adicionales.

    
respondido por el Hendrik Brummermann 06.11.2011 - 19:33
fuente
15

El propósito de EICAR es proporcionar un archivo de proveedor cruzado que se detectará como un virus. ¿Por qué? Bueno, imagine que está creando una aplicación web que le permite al usuario cargar contenido, por ejemplo. En esta solución, debido a que está preocupado por la seguridad, es posible que desee escanear los archivos cargados y eliminar los archivos maliciosos antes de distribuirlos a otros usuarios en su base de usuarios. Muchos proveedores de antivirus proporcionan ejecutables de línea de comandos y soluciones que pueden hacer esto; lo que luego necesita, como ingeniero de software, es algo para probar esta construcción, ya sea automáticamente como parte de la unidad / funcionalidad / pruebas de UI o simplemente pruebas de "funcionó".

Ingrese el archivo de prueba EICAR: un archivo que todos los proveedores de virus han acordado que producirá una respuesta positiva. Como la página de uso previsto lo pone:

  

Utilizar virus reales para realizar pruebas en el mundo real es como encender fuego en el basurero de su oficina para ver si el detector de humo está funcionando. Dicha prueba dará resultados significativos, pero con riesgos poco atractivos e inaceptables.

     

Ya que es inaceptable enviar virus reales con fines de prueba o demostración, necesita un archivo que pueda transmitirse de forma segura y que obviamente no sea viral, pero a la que su software antivirus reaccionará como si era un virus.

Tengo entendido que no utiliza el archivo de prueba EICAR para auditar el estado de sus productos antivirus y cuán actualizados están; los usa para probar, en escenarios de integración, un caso donde existe malware sin usar malware real y real.

    
respondido por el user2213 06.11.2011 - 19:32
fuente
6

El propósito de EICAR no es probar qué tan bien está la solución AV en la detección de virus, ya que es un estándar de larga data, asumimos que todo lo que se considere AV lo detectará. El propósito es probar qué hace la solución de AV cuando determina una coincidencia positiva contra un virus.

Puede configurar una solución para que envíe un correo electrónico cada vez que detecte algo, pero tal vez haya ingresado la puerta de enlace de correo incorrecta o tal vez nadie haya agregado la dirección de soluciones AV a la lista blanca de envío de SMTP. ¿Cómo sabrás si tu alerta funciona? Solo haciendo pruebas, y como señaló Ninefingers, es mucho menos problemático probar con algo que a) sabes que "golpeará" yb) que sabes que no explotará en tu cara.

    
respondido por el gowenfawr 07.11.2011 - 01:50
fuente
4

Es solo una luz indicadora de encendido / apagado, como el LED que indica que su computadora está encendida. Pero nadie espera que sea un buen indicador, al igual que el LED no puede saber si su computadora se ha bloqueado.

Tiene una gran variedad de usos. Por ejemplo, lo envía a través de su puerta de enlace de correo electrónico para ver si está bloqueado. Luego lo guardas, para ver si está bloqueado. Luego vuelve a comprimir el archivo ZIP, 100 veces seguidas, para detectar si aún está bloqueado. Está probando una función, como n-level-deep-zip, no la calidad de la detección de virus.

    
respondido por el Robert David Graham 07.11.2011 - 01:39
fuente

Lea otras preguntas en las etiquetas