Hoy en el trabajo me pidieron que probara nuestro software antivirus en nuestros servidores Linux. Intenté crear un archivo de texto que contenía la firma de prueba de virus EICAR . El archivo se eliminó al instante, lo que indica que el análisis de virus en tiempo real estaba funcionando. Sin embargo, esto me hizo pensar ... ya que se trata de una cadena relativamente corta de caracteres imprimibles en ASCII, esto podría insertarse fácilmente en muchas formas de entrada por parte del usuario. Por lo tanto, dependiendo de cómo maneje esto el software antivirus, es posible que pueda usarlo para forzar la eliminación de un archivo si puede adjuntarlo. Por ejemplo, supongamos que un servidor web registra todas las solicitudes que le envía, inserta esta firma de virus EICAR en una solicitud y se registra en un archivo, y luego el archivo se elimina. Intenté buscar en Google el uso malicioso de la prueba de virus EICAR, pero no pude encontrar ningún ejemplo de mal uso de este en la naturaleza. Alguien sabe si esto se ha hecho antes? Es una idea interesante que un software antivirus, irónicamente, podría ser una amenaza para lo que de otra manera no sería una amenaza. ¿Pensamientos?
[EDITAR]
En conclusión, si se implementa correctamente en el software AV, la prueba EICAR adjunta a un archivo de registro no se detectará (lo que es bueno). Sin embargo, descubrí que esto no siempre se implementa correctamente. Por lo tanto, algunos programas antivirus pueden actuar de forma errónea si se añadieran a un archivo de registro. Ver mi análisis hecho a continuación:
Software antivirus que detecta con precisión la firma de la prueba EICAR en un archivo: enlace
El software antivirus que detecta la firma de prueba EICAR incluso si se ha adjuntado a un archivo (esto infringe la regla de prueba EICAR y, por lo tanto, no se implementó en el software AV según el Protocolo):
[/ EDIT]