EICAR 테스트 파일
EICAR test fileEICAR 안티바이러스 테스트 파일[1] 또는 EICAR 테스트 파일은 유럽 컴퓨터 안티바이러스 연구소(EICAR)와 컴퓨터 안티바이러스 연구 기구(CARO)가 컴퓨터 안티바이러스(AV) 프로그램의 반응을 테스트하기 위해 개발한 컴퓨터 파일이다.[2] 실제 피해를 줄 수 있는 실제 악성코드를 사용하는 대신 실제 컴퓨터 바이러스를 사용하지 않고도 바이러스 백신 소프트웨어를 테스트할 수 있는 테스트 파일이다.[3]
안티바이러스 프로그래머는 EICAR 문자열을 다른 식별된 서명과 유사하게 검증된 바이러스로 설정한다. 준수 바이러스 스캐너는 파일을 탐지할 때 유해 바이러스를 발견한 것과 거의 같은 방식으로 반응한다. 모든 바이러스 스캐너가 규정을 준수하는 것은 아니며, 올바르게 구성된 경우에도 파일을 탐지하지 못할 수 있다. 파일이 탐지되는 방식이나 플래그가 표시된 문구는 표준화되지 않으며, 실제 악성코드가 플래그되는 방식과 다를 수 있지만 유럽 컴퓨터 안티바이러스 연구소가 설정한 엄격한 규격을 만족하는 한 실행되지 않도록 해야 한다.[4]
EICAR 테스트 문자열의 사용은 간단한 탐지보다 더 다용도적일 수 있다: EICAR 테스트 문자열을 포함하는 파일을 압축하거나 보관할 수 있으며, 그런 다음 바이러스 백신 소프트웨어를 실행하여 압축된 파일에서 테스트 문자열을 탐지할 수 있는지 확인할 수 있다. 대부분의 AMTSO 기능 설정 검사는[5] EICAR 테스트 문자열을 기반으로 한다.[5]
디자인
이 파일은 68바이트에서 128바이트[6] 사이의 텍스트 파일로 MS-DOS, 일부 워크앨리어, 그리고 그 후계자 OS/2와 윈도우즈(16비트 제한으로 인한 64비트 제외)에서 실행할 수 있는 합법적인 .com 실행 파일(플레인 x86 머신 코드)이다. 실행되면 EICAR 테스트 파일은 "EICAR-STANDARDARD-ANTIVIRS-TEST-FILE!"을 출력한 후 정지한다. 이 테스트 문자열은 저명한 안티바이러스 연구자 패드젯 피터슨과 폴 덕린에 의해 작성되었으며 표준 컴퓨터 키보드를 사용하여 쉽게 만들어지는 ASCII 사람이 읽을 수 있는 문자로 구성되도록 설계되었다.[7] 이 제약조건이 시험 문자열의 실행에 부과하는 기술적 문제를 해결하기 위해 자체 수정 코드를 사용한다.[8]
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-표준-안티바이러스-테스트-파일!$H+H*
세 번째 문자는 숫자 0이 아니라 대문자 'O'이다.
문자열의 해시 값(후행 뉴라인 문자 없이 68바이트)은 다음과 같다.
| 해시형 | 가치 |
|---|---|
| CRC32 | 6851cf3c |
| MD5 | 44d88612fea8a8a8f36de82e1278abb02f |
| SHA1 | 3395856ce81f2b7382dee72602f798b642ff40 |
| SHA224 | b42ec8b47deb2dc75edebd01132d63f8e8d4cd08e5d26d8bd366bdc5 |
| SHA256 | 275a021 bbfb6489e54d471899f7db9d1663fc695ec2a2c4538aab651fd0f |
| SHA384 | 038ff2e50e50e33dacef50d7e503b45c35fcdbe89a823f9c4417d7e13e8e96addd6d791189cda7253f4455106 |
| SHA512 | cc805d5fd5fd71a4ab352a9c533e65fb2db2d555f4e685e688b8b8x6b85f8x6b8x848f3afad8427d299c9e365dc0dc9a0dc9e09e83277ada3366ab. |
입양
한 안티바이러스 소프트웨어 개발자인 멀웨어바이트(Malwarebytes)는 "EICAR과 같은 가짜 멀웨어와 테스트 파일을 데이터베이스에 추가하면 멀웨어 연구로부터 시간이 걸리고 장기적으로 아무것도 증명하지 못하기 때문에 EICAR 테스트 파일을 데이터베이스에 추가하지 않았다"고 말했다.[11][12]
EICAR의 사양에 따르면, 안티바이러스는 68바이트의 테스트 문자열로 시작하고 길이가 128바이트 이하인 경우에만 테스트 파일을 검출한다. 결과적으로, 항바이러스제는 테스트 문자열을 포함하는 다른 문서에 경보를 발생시키지 않을 것으로 예상된다.[13] 테스트 파일은 다음과 같은 바이러스 백신 소프트웨어의 반응을 이용하여 일부 악의적인 목적으로 사용될 수 있다.
- 심볼링크를 포함하는 경기 조건은 항바이러스제가 자신을 삭제하게 할 수 있다.[14]
- QR로 인코딩된 EICAR 테스트 파일이 일부 CCTV 시스템을 다운시킨다.[15][better source needed]
참고 항목
참조
- ^ "Is Your Antivirus Working?". PCMAG. Retrieved 2017-04-17.
- ^ Hay, Richard (2016-09-12). "How To: Test the SmartScreen Filter and Windows Defender Detection Scenarios". IT Pro Today. Retrieved 2019-07-03.
- ^ Hess, Ken. "360 Total Security Anti-virus first impressions: Refreshingly subtle but thorough ZDNet". ZDNet. Retrieved 2017-04-17.
- ^ "The Use and Misuse of Test Files in Anti-Malware Testing" (PDF). AMTSO. 2012-02-24. Retrieved 2019-07-03.
- ^ a b "AMTSO Security Features Check Tools". AMTSO.
- ^ Willems, Eddy (June 2003). "The Winds of Change: Updates to the EICAR Test File" (PDF). Virus Bulletin.
- ^ Willems, Eddy. "EICAR's Test File History" (PDF). Eicar – European Expert Group for IT–Security. Archived from the original (PDF) on 2015-12-16. Retrieved 9 May 2020.
- ^ "Anatomy of the EICAR Antivirus Test File". NinTechNet's updates and security announcements.
- ^ "EICAR-STANDARD-ANTIVIRUS-TEST-FILE". Retrieved July 21, 2019.
- ^ "Virus Profile: EICAR test file". McAfee. Archived from the original on 2009-02-05. Retrieved 9 May 2020.
{{cite web}}: CS1 maint : 부적합한 URL(링크) - ^ "Malwarebytes can't detect EICAR Test Virus". Malwarebytes Forums.
- ^ "Malwarebytes 3 - Frequently Asked Questions". Malwarebytes Forums.
- ^ "Download Anti Malware Testfile – Eicar" (in German).
- ^ "Exploiting (Almost) Every Antivirus Software – RACK911 Labs".
- ^ "EICAR test QR".
외부 링크
- 공식 웹 사이트(IT-Security용 유럽 전문가 그룹이라고도 함)
- EICAR의 표준 A-V 시험 프로그램 조립 언어 분석
- VirusTotal Antivirus(바이러스 > EICAR 파일 검색) 결과
- "The Use and Misuse of Test Files in Anti-Malware Testing". Anti-Malware Testing Standards Organization. Archived from the original on August 16, 2017.