О возможностях Eicar
27 февраля 2019
Всем известен файл Eicar – с его помощью легко можно проверить, работает ли файловый монитор антивируса и предотвращает ли антивирус загрузку вредоносных файлов из сети. Но на самом деле возможностей у него еще больше.
Предположим, нас интересует, обнаруживает ли наш антивирус сайты с вредоносными скриптами. И поможет нам в этом один известный ресурс.
Довольно примитивная страничка, содержащая всего несколько строк:
<HTML> <meta http-equiv=”Content-Type” content=”text/html”>
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>
</BODY>
</HTML>
При включенной проверке трафика антивирус Dr.Web отрабатывает корректно:
Думаете, это примитивный тест, и все браузеры должны его проходить?
Ниже – несколько отзывов.
Один антивирус:
На странице есть тест с использованием EICAR, при загрузке файлов защита сработала, при проверке ссылки срабатывания не было.
Второй:
Чет у мя ... не блокировал єту страницу с тестовым вирем.
Третий:
..., провалил банальный тест веб защиты через хром последней версии.
Скопируем содержимое в файл eicar.html
Пробуем загрузить файл из браузера:
Странно – файл загрузился как текстовый. Смотрим в адресную строку браузера внимательно и видим: мы загрузили файл eicar.html.txt, а не eicar.html! Почему?
Дело в том, что ОС Windows по умолчанию не показывает расширения, и на самом деле мы создали не eicar.html, а eicar.html.txt, но не видим его настоящего расширения. Кстати, это прием, которым активно пользуются злоумышленники.
Исправим ситуацию. Откроем Панель управления, а в ней – Параметры проводника:
Вкладка Вид → Дополнительные параметры → Скрывать расширения... Снимаем галочку:
Переименовываем файл в eicar.html, пробуем запустить. Система просит нас указать приложение, которое будет обрабатывать данный тип файла. Указываем нужный браузер:
Internet Explorer:
Mozilla Firefox:
Что за беда? Дело в том, что если мы запускаем файл, а не загружаем ресурс по сети, то он будет проверен файловым монитором SpIDer Guard. Так как мы тестируем проверку трафика, отключаем его!
И опять не видим угрозу – браузер показывает пустую текстовую страницу!
Наша ошибка – в том, что мы загрузили файл в браузер с диска. А проверка трафика работает до загрузки ресурсов в браузер. Исправляем ситуацию – выкладываем файл на внешний ресурс и запускаем его.
Что мы доказали этим тестом? Система проверки трафика обнаруживает вредоносные скрипты до того, как они будут загружены в браузер. Это очень важно, так как файлы могут скачиваться совершенно разными системами – и далеко не только браузерами. И система защиты найдет угрозу до того, как она будет загружена и попытается исполниться.
Раз мы поняли принцип работы, можно поэкспериментировать.
Все же VBScript гораздо менее распространен, чем JavaScript. Изменим страничку:
<HTML>
<meta http-equiv="Content-Type" content="text/html">
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT type="text/javascript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>
</BODY>
</HTML>
SpIDer Gate поймает и это вариант.
Антивирусная правДА! рекомендует
Попробуйте самостоятельно модернизировать предложенный скрипт – и убедитесь в возможностях антивируса Dr.Web!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
17:00:56 2020-03-23
achemolganskiy
09:06:02 2019-02-28
Korney
23:44:04 2019-02-27
Rider
23:11:45 2019-02-27
razgen
22:30:53 2019-02-27
Andromeda
22:19:58 2019-02-27
Родриго
22:14:43 2019-02-27
orw_mikle
22:12:54 2019-02-27
stavkafon
22:12:24 2019-02-27
voyaka
21:58:35 2019-02-27
Альфа
21:47:58 2019-02-27
Lenba
21:40:40 2019-02-27
Toma
21:37:21 2019-02-27
Dvakota
21:16:56 2019-02-27
I46
21:13:47 2019-02-27
Zserg
21:01:20 2019-02-27
I23
20:58:21 2019-02-27
Шалтай Александр Болтай
20:14:59 2019-02-27
eaglebuk
20:10:09 2019-02-27
anatol
19:43:56 2019-02-27
Татьяна
18:45:45 2019-02-27
maestro431
16:44:31 2019-02-27
Masha
16:43:21 2019-02-27
Вячeслaв
16:27:08 2019-02-27
kozinka.ru
16:20:07 2019-02-27
- страница загружалась из интернета, а не с компьютера
- антивирус на тестируемом компьютере отсутствует напрочь
Ожидалось увидеть на странице браузера следующий текст: "Антивирус не блокирует опасные сценарии на посещаемых страницах!"
Однако, ожидания не оправдались... Поэтому и просил разъяснений.
Вячeслaв
16:12:34 2019-02-27
robot
15:27:03 2019-02-27
Геральт
15:25:43 2019-02-27
kozinka.ru
15:24:26 2019-02-27
Любитель пляжного футбола
14:37:12 2019-02-27
А поэкспериментировать со скриптом, увы, не смогу. "Мы таким делам вовсе не обучены, Кроме мордобития никаких чудес..." :)
SGES
14:06:26 2019-02-27
Неуёмный Обыватель
14:02:37 2019-02-27
Неуёмный Обыватель
14:01:06 2019-02-27
Денисенко Павел Андреевич
13:12:08 2019-02-27
Oleg
13:06:58 2019-02-27
Shogun
12:27:20 2019-02-27
Dmur
12:25:26 2019-02-27
Shogun
12:24:05 2019-02-27
vinnetou
11:59:03 2019-02-27
B0RIS
11:51:08 2019-02-27
kozinka.ru
11:23:36 2019-02-27
Что ж, пусть балуются... :))
sanek-xf
11:15:37 2019-02-27
Natalya_2017
11:07:28 2019-02-27
marisha-san
10:23:52 2019-02-27
Будет время - можно будет поэкспериментировать со скриптами.
EvgenyZ
09:39:37 2019-02-27
vkor
09:15:15 2019-02-27
Будет время - можно будет поэкспериментировать со скриптами.
Alexander
09:00:54 2019-02-27
@zitkss, да, и так бывает... А вот если к "пытливому уму" приделать "умелые ручки" (не путать с очумелыми), - то разнообразие негативных вариантов исхода экспериментов уменьшится... :))
dyadya_Sasha
08:56:09 2019-02-27
Vlad X
08:43:22 2019-02-27
tigra
07:44:52 2019-02-27