Virenscanner testen mit der EICAR-AV-Datei


    Tags:

    Manchmal ist es erwünscht, die Funktionstüchtigkeit eine neu installierten Antiviren-Software zu überprüfen. Außerdem kann es nützlich sein, die Reaktion eines Virenscanners auf Schadprogramme kennenzulernen. Die Verwendung von echter Malware ist in diesem Fall natürlich nicht ratsam. Daher wurde für diesen Zweck die EICAR Standard Anti-Virus Test-File entwickelt.

    Beim Test der European Expert Group for IT-Security (EICAR) handelt es sich um eine Zeichenkette, die kein Fragment eines Viren-Codes ist, sondern von allen bekannte Antivirus-Herstellern zu Testzwecken als Standardmuster unterstützt wird.

    Der Einsatz der Test-File funktioniert sehr einfach: Man muss nur die auf der Website der EICAR veröffentlichte Zeichenkette in einen Texteditor übernehmen. Speichert man den Inhalt als Datei ab, sollte der Virescanner Alarm schlagen.

    Nach dem Speichern der EICAR-Zeichenkette sollte der Virenscanner Alarm schlagen und das vermeintliche Schadprogramm beseitigen.

    Normalerweise identifiziert die Software als EICAR-Test-File, bietet aber die beim Auftreten von Schadsoftware üblichen Maßnahmen an, also das Löschen der Datei oder sie unter Quarantäne zu stellen.

    2 Kommentare

    Bild von Andreas
    Andreas sagt:
    30. Januar 2012 - 8:21

    Auf der Website der EICAR wird beschrieben, dass man die Datei als HTM oder HTML abspeichern soll. Und tatsächlich schlägt unser Virenscanner erst an, wenn die Endung der Datei HTM oder HTML ist. Ist das ein Zeichen für einen schlechten Virenscanner?

    Bild von Wolfgang Sommergut
    30. Januar 2012 - 11:29

    Nein, über die Fähigkeiten des Virenscanners sagt das nichts aus. Es geht bei der EICAR-File ja nur darum, die Funktionstüchtigkeit der AV-Software zu prüfen, und das hat bei Ihnen funktioniert. Bei der Implementierung des EICAR-Tests haben die Hersteller offenbar Interpretationsspielräume.