О возможностях Eicar

Кухня

добавить в избранное

О возможностях Eicar

Прочитали: 13394 Комментариев: 59 Рейтинг: 74

27 февраля 2019

Всем известен файл Eicar – с его помощью легко можно проверить, работает ли файловый монитор антивируса и предотвращает ли антивирус загрузку вредоносных файлов из сети. Но на самом деле возможностей у него еще больше.

Предположим, нас интересует, обнаруживает ли наш антивирус сайты с вредоносными скриптами. И поможет нам в этом один известный ресурс.

Довольно примитивная страничка, содержащая всего несколько строк:

<HTML> <meta http-equiv=”Content-Type” content=”text/html”>
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>
</BODY>
</HTML>

При включенной проверке трафика антивирус Dr.Web отрабатывает корректно:

Думаете, это примитивный тест, и все браузеры должны его проходить?

Ниже – несколько отзывов.

Один антивирус:

На странице есть тест с использованием EICAR, при загрузке файлов защита сработала, при проверке ссылки срабатывания не было.

Второй:

Чет у мя ... не блокировал єту страницу с тестовым вирем.

Третий:

..., провалил банальный тест веб защиты через хром последней версии.

Скопируем содержимое в файл eicar.html

Пробуем загрузить файл из браузера:

Странно – файл загрузился как текстовый. Смотрим в адресную строку браузера внимательно и видим: мы загрузили файл eicar.html.txt, а не eicar.html! Почему?

Дело в том, что ОС Windows по умолчанию не показывает расширения, и на самом деле мы создали не eicar.html, а eicar.html.txt, но не видим его настоящего расширения. Кстати, это прием, которым активно пользуются злоумышленники.

Исправим ситуацию. Откроем Панель управления, а в ней – Параметры проводника:

Вкладка Вид → Дополнительные параметры → Скрывать расширения... Снимаем галочку:

Переименовываем файл в eicar.html, пробуем запустить. Система просит нас указать приложение, которое будет обрабатывать данный тип файла. Указываем нужный браузер:

Internet Explorer:

Mozilla Firefox:

Что за беда? Дело в том, что если мы запускаем файл, а не загружаем ресурс по сети, то он будет проверен файловым монитором SpIDer Guard. Так как мы тестируем проверку трафика, отключаем его!

И опять не видим угрозу – браузер показывает пустую текстовую страницу!

Наша ошибка – в том, что мы загрузили файл в браузер с диска. А проверка трафика работает до загрузки ресурсов в браузер. Исправляем ситуацию – выкладываем файл на внешний ресурс и запускаем его.

Что мы доказали этим тестом? Система проверки трафика обнаруживает вредоносные скрипты до того, как они будут загружены в браузер. Это очень важно, так как файлы могут скачиваться совершенно разными системами – и далеко не только браузерами. И система защиты найдет угрозу до того, как она будет загружена и попытается исполниться.

Раз мы поняли принцип работы, можно поэкспериментировать.

Все же VBScript гораздо менее распространен, чем JavaScript. Изменим страничку:

<HTML>
<meta http-equiv="Content-Type" content="text/html">
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT type="text/javascript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT> 
</BODY>
</HTML>

SpIDer Gate поймает и это вариант.

#браузер #скрипт #проверка_трафика #тесты_антивирусов

Антивирусная правДА! рекомендует

Попробуйте самостоятельно модернизировать предложенный скрипт – и убедитесь в возможностях антивируса Dr.Web!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Slava90
17:00:56 2020-03-23

Спасибо за статью информация полезная.

achemolganskiy
09:06:02 2019-02-28

Доктор учит, что да как, а то мозг сносят ему. И вообще любого можно достать своей к. безграмотностью.

Korney
23:44:04 2019-02-27

Дельная статья! И таки советую эту галочку и не включать вообще, - у меня винда постоянно расширения показывает - очень удобно (сразу видно что за файл). Только при переименовании надо быть аккуратным и не переименовать само расширение.

Rider
23:11:45 2019-02-27

Экспериментами займусь на досуге.

razgen Собкор
22:30:53 2019-02-27

Интересен тест системы проверки трафика по обнаружению вредоносных скриптов. Сохраню в библиотеку.

Andromeda
22:19:58 2019-02-27

Я тоже не сторонница экспериментов. Думаю, что паучок не подведёт.

Родриго
22:14:43 2019-02-27

Эх, да иногда очень хочется зайти на сайт, но.. блок.

orw_mikle
22:12:54 2019-02-27

Я думаю самостоятельно модернизировать не требуется – антивирус Dr.Web и так сработает.

stavkafon
22:12:24 2019-02-27

Это интересно! Надо попробовать!

voyaka
21:58:35 2019-02-27

Попробовал, интересно, но стрёмно. Хотя потом уверенности добавилось.

Альфа
21:47:58 2019-02-27

Что-то у меня нет пока желания экспериментировать. Может быть потом как-нибудь.

Lenba
21:40:40 2019-02-27

Злоумышленники обманывают как хотят. Мы защищаемся как можем

Toma
21:37:21 2019-02-27

Экспериментировать не хочу, меня полностью устраивает Dr.Web!

Dvakota
21:16:56 2019-02-27

Прямо детективная история.

I46
21:13:47 2019-02-27

Почаще проверяй и лучше Доктором Веб

Zserg
21:01:20 2019-02-27

Доверяй, но проверяй - это не про DrВеб

I23
20:58:21 2019-02-27

Безоговорочно доверяю Вебу, без всякой учебной тревоги

Шалтай Александр Болтай Собкор
20:14:59 2019-02-27

— Рабинович, у вас есть возможность откладывать деньги? — Возможность есть, денег нет.

eaglebuk
20:10:09 2019-02-27

Доверяю Вебу, хотя иногда хочется попасть на какой-нибудь заблокированный сайт. Но имеющаяся информация дороже той, что могу получить, поэтому здесь без вариантов.

anatol
19:43:56 2019-02-27

Довольно познавательно, но экспериментировать просто нет времени. Пускай занимается Dr.Web.

Татьяна
18:45:45 2019-02-27

Очень интересный выпуск о возможностях Eicar! Буду пробовать.

maestro431
16:44:31 2019-02-27

Это интересно! Надо попробовать!

Masha
16:43:21 2019-02-27

Эксперименты со скриптами для меня сложноваты. Мне достаточно защиты Dr.Web!

Вячeслaв Собкор
16:27:08 2019-02-27

@kozinka.ru, проверить надо, так не проверял. займусь после командировки

kozinka.ru Собкор
16:20:07 2019-02-27

@Вячeслaв, поясню условия теста:
- страница загружалась из интернета, а не с компьютера
- антивирус на тестируемом компьютере отсутствует напрочь
Ожидалось увидеть на странице браузера следующий текст: "Антивирус не блокирует опасные сценарии на посещаемых страницах!"
Однако, ожидания не оправдались... Поэтому и просил разъяснений.

Вячeслaв Собкор
16:12:34 2019-02-27

@kozinka.ru, выпуск - пересказ ходьбы по граблям. пустые окна браузеров означают, что попытка ламера протестить антивирус была некорректной. ниже всегда идут объяснения ошибок

robot
15:27:03 2019-02-27

Скрипты, самая опасная разновидность угроз. Не все антивирусы умеют блокировать такой вредоносный код.

Геральт Собкор
15:25:43 2019-02-27

Интересный выпуск, побольше бы таких.

kozinka.ru Собкор
15:24:26 2019-02-27

@admin, хотелось прояснить: о чём говорит ЧИСТАЯ загруженная страница?

Любитель пляжного футбола Собкор
14:37:12 2019-02-27

Хорошо, что напомнили насчёт галочки, недавно у родителей переустанавливал виндоуз, а галочку снять забыл. Запишу это себе в перечень необходимых действий после переустановки ОС.
А поэкспериментировать со скриптом, увы, не смогу. "Мы таким делам вовсе не обучены, Кроме мордобития никаких чудес..." :)

SGES Собкор
14:06:26 2019-02-27

На охочего рабочего дело найдется.

Неуёмный Обыватель Собкор
14:02:37 2019-02-27

@zitkss, интересный жизненный путь. Наверно, такое и вправду бывало.

Неуёмный Обыватель Собкор
14:01:06 2019-02-27

Познавательные эксперименты. Спасибо!

Денисенко Павел Андреевич
13:12:08 2019-02-27

Когда нибудь попробую модернизировать предложенный скрипт. Спасибо.

Oleg
13:06:58 2019-02-27

Возьму на заметку эту рекомендацию.

Shogun
12:27:20 2019-02-27

Блин, при включенном докторе файл сразу перезжает в карантин :)))))

Dmur
12:25:26 2019-02-27

Полезный и интересный выпуск. Добавил в избранное.

Shogun
12:24:05 2019-02-27

мой доктор веб отработал, а вот у знакомого с авастом - просто отобразилась пустая страница и всё

vinnetou
11:59:03 2019-02-27

Интересный выпуск,спасибо!!! Проверил "Вкладка Вид → Дополнительные параметры → Скрывать расширения"-галочка снята!Значит уже настраивал,но повторение не повредит.

B0RIS
11:51:08 2019-02-27

И в очередной раз спасибо за защиту, Dr.Web!

kozinka.ru Собкор
11:23:36 2019-02-27

Выпуск для экспериментаторов. Таких у нас много.
Что ж, пусть балуются... :))

sanek-xf
11:15:37 2019-02-27

Вечером, если получится, попробую.

Natalya_2017
11:07:28 2019-02-27

Интересный выпуск, можно на досуге попробовать.

marisha-san Собкор
10:23:52 2019-02-27

Полностью согласны. Многолетний опыт показал, что в в возможностях Dr.Web сомневаться не приходится.
Будет время - можно будет поэкспериментировать со скриптами.

EvgenyZ
09:39:37 2019-02-27

Принцип работы понятен, можно поэкспериментировать.

vkor
09:15:15 2019-02-27

Многолетний опыт показал, что в в возможностях Dr.Web сомневаться не приходится.
Будет время - можно будет поэкспериментировать со скриптами.

Alexander Собкор
09:00:54 2019-02-27

Выпуск читал на смартфоне с установленным Dr.Web Security Space 12.3.1(2). Сразу "активной разведкой" попробовал лукавые сайт и файлы на их стойкость... Они не захотели со мной общаться... Компания моя им, видите ли, не понравилась... Пообещали наведаться снова, когда я буду один без Dr.Web... Ну, так долго же им ждать придётся... это когда ж рак на горе свиснет... Позже поэкспериментировал на ноутбуке с Dr.Web Security Space 12.0, - результат аналогичный! Спасибо.

@zitkss, да, и так бывает... А вот если к "пытливому уму" приделать "умелые ручки" (не путать с очумелыми), - то разнообразие негативных вариантов исхода экспериментов уменьшится... :))

dyadya_Sasha Собкор
08:56:09 2019-02-27

Будет время, побалуемся.

Vlad X
08:43:22 2019-02-27

Экспериментировать не стану,надеюсь на защиту антивируса.

tigra Собкор
07:44:52 2019-02-27

На виртуалке надо попробовать отработать))резать по живому чего то ссыкотно))

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

О возможностях Eicar

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей