EICAR-Testdatei
Die EICAR-Testdatei (Eigenbezeichnung: THE ANTI-VIRUS OR ANTI-MALWARE TEST FILE) ist ein vom European Institute for Computer Antivirus Research (EICAR) und der Computer AntiVirus Research Organization entwickeltes Testmuster, mit dessen Hilfe die Funktion von Antivirenprogrammen getestet werden kann.[1]
Bei der Datei handelt es sich um eine Textdatei mit 68 ASCII-Zeichen und einer daraus resultierenden Dateigröße von 68 bis 70 Byte, falls der Wagenrücklauf und/oder Zeilenvorschub am Ende der Datei im Texteditor angefügt wurden. Der Text kann somit in jeden beliebigen Texteditor eingegeben werden. Die Datei ist gutartig und richtet keinerlei Schaden an, sollte jedoch von allen Virenscannern als Virus erkannt und angezeigt werden. Damit lässt sich beispielsweise testen, ob ein Virenscanner ein Archiv korrekt lesen kann.
Die EICAR-Testdatei wurde so entwickelt, dass sie unter MS-DOS und kompatiblem Microsoft Windows eine ausführbare COM-Datei bildet. Wenn sie ausgeführt wird, gibt sie die Meldung EICAR-STANDARD-ANTIVIRUS-TEST-FILE! auf dem Bildschirm aus und beendet sich danach selbst. Jedoch ist sie inkompatibel zu 64-Bit-Microsoft-Windows-Betriebssystemen, weil dort die Kompatibilität zu 16-Bit-Software gestrichen wurde. Trotz dieser Inkompatibilität wird sie jedoch auch von allen gängigen Antivirenprogrammen auf 64-Bit-Systemen erkannt und als EICAR-Testfile identifiziert.
Inhalt der Datei
Die in der ausführbaren Datei verwendeten Maschinensprachen-Befehle sind so ausgewählt, dass lediglich sichtbare Zeichen des 7-Bit-ASCII-Zeichensatzes vorkommen. Dadurch werden Zeichensatzfehler weitgehend ausgeschlossen und die Datei kann mit jedem Texteditor erzeugt werden.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Um die vorzeitige Erkennung und Blockierung der Testdatei durch Antivirenprogramme zu vermeiden, wird sie nicht nur als COM-Datei, sondern auch als lediglich umbenannte Textdatei sowie komprimiertes ZIP-Archiv zum Download angeboten.
- Meldung vom cmd.exe bei der Ausführung der EICAR-Testdatei unter Windows Vista 64-Bit
Aliasse
Virenscanner erkennen die Datei meistens unter folgenden Namen:
- Avast Antivirus: EICAR Test-NOT virus!!
- AVG Antivirus: EICAR_Test
- Avira Antivirus: Eicar-Test-Signature
- Bitdefender: EICAR-Test-File (not a virus)
- ClamAV: Eicar-Test-Signature
- Computer Associates International: the EICAR test string
- Comodo Internet Security: ApplicUnwnt@#2975xfk8s2pq1
- Emsisoft Anti-Malware: EICAR-Test-File (not a virus) (B)
- ESET: Eicar-Testdatei
- F-Secure: EICAR-Test-File
- Fortinet: Eicar.Virus.Test.File
- G Data CyberDefense: EICAR-Test-File (not a virus)
- Ikarus Security Software: EICAR-ANTIVIRUS-TESTFILE
- Kaspersky Anti-Virus: EICAR-Test-File
- Norton: EICAR Test String
- McAfee: EICAR test file
- Microsoft: Virus:DOS/EICAR_Test_File
- ESET NOD32 Antivirus: Eicar Testdatei
- Panda: EICAR-AV-TEST-FILE
- Securepoint Antivirus Pro: EICAR-Test-File
- Sophos: EICAR-AV-Test
- Symantec: EICAR Test String
- Trend Micro: Eicar_test_file
Sonstiges
- Analog zur EICAR-Testdatei wird bei Anti-Spam-Lösungen auch der GTUBE-String verwendet.
- Auf der englischen Website von Microsoft wird die EICAR-Testdatei korrekt als Virus-Dummy beschrieben - Aber widersprüchlicherweise dennoch mit der Warnstufe "severe", zu deutsch "schwerwiegend". In Microsofts Anti-Malware-Programmen, wie z. B. Microsoft Security Essentials oder Windows Defender, wird beim Fund der Testdatei ebenfalls vor einer angeblich schwerwiegenden Infektion gewarnt.
Einzelnachweise
- CARO. caro.org, abgerufen am 6. Februar 2017.
Weblinks
- The Anti-Virus test file (Eicar) (englische Original-Webseite)
- Disassemblierter Sourcecode (Memento vom 12. April 2012 im Internet Archive)
- Die Eicar-Datei auf www.virustotal.com