¿Es EICAR una prueba válida para un escáner de virus de correo?

Navega tus respuestas
1

Tenemos una configuración de correo electrónico comercial bastante estándar, utilizamos Outlook y Exchange y tenemos un servicio de terceros muy conocido que proporciona spam y amp; Filtrado de phishing y escaneo de virus y malware.

Hice una prueba utilizando la versión de Kaspersky del archivo estándar EICAR (para aquellos que no lo saben, EICAR es una prueba estándar que se utiliza para desencadenar su respuesta antivirus sin ningún riesgo de infección por el virus; más información aquí Kaspersky EICAR )

El archivo com de EICAR está comprimido en un archivo zip que adjunté a un correo y lo envié a varias personas, todos los usuarios recibieron el correo con el archivo adjunto intacto y sin mensajes de advertencia para el usuario y sin alertas en el correo. registro del escáner, el archivo simplemente pasó por alto el escáner. Al abrir el archivo adjunto, Microsoft Intune respondió inmediatamente y limpió el 'virus'. A modo de comparación, envié el mismo correo electrónico a mi dirección de Gmail que filtró el mensaje.

¿Existen motivos válidos para que un analizador de virus de correo no detecte el archivo EICAR como un virus real y responda en consecuencia?

    
pregunta iainpb 14.06.2017 - 11:01
fuente

2 respuestas

2

El punto de EICAR es que los programas A-V responderán a él como si fuera un virus real, tiene un uso limitado si no lo hacen.

Lo que estás viendo aquí probablemente merece una investigación adicional, como sugiere @schroeder en los comentarios.

Recomiendo primero intentar enviar EICAR sin ponerlo en un archivo. Si se encuentra en ese punto, parece que su escáner no está revisando completamente los archivos dentro de los archivos, si no se encuentra en ese punto, parece que su escáner está defectuoso o no se está activando correctamente en EICAR.

    
respondido por el Rоry McCune 14.06.2017 - 11:17
fuente
0

"¿Hay alguna razón válida para que un escáner de virus de correo no detecte el archivo EICAR como un virus real y responda en consecuencia?"

Si el analizador de correo no tiene la capacidad de descomprimir el archivo del paquete ejecutable, el archivo EICAR se deslizará bajo el radar.

AFAIK, escáner de correo electrónico de todos los principales proveedores de AV (que envían su producto a AVtest) tiene tales capacidades. Sin embargo, no hay garantía de que el desempaquetador funcione todo el tiempo, ya que el vendedor de empacadores se gana la vida vendiendo esas herramientas "para proteger el código de propiedad del cliente".

Además, un correo malicioso / spam también puede jugar un simple truco de ingeniería social. P.ej. archivar el EICAR y proteger con contraseña el archivo; ponga la contraseña en el correo electrónico y dígale al usuario que la ingrese cuando aparezca durante la extracción. Por eso, además del escáner de correo electrónico, necesita un escáner AV típico.

    
respondido por el mootmoot 14.06.2017 - 14:55
fuente

Lea otras preguntas en las etiquetas

¿Es inseguro que mi nombre de usuario de computadora personal sea conocido públicamente? ¿Cómo puedo prevenir XSS en una entrada de $ _POST?