Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

О возможностях Eicar

Прочитали: 2802 Комментариев: 59 Рейтинг: 73

Всем известен файл Eicar – с его помощью легко можно проверить, работает ли файловый монитор антивируса и предотвращает ли антивирус загрузку вредоносных файлов из сети. Но на самом деле возможностей у него еще больше.

Предположим, нас интересует, обнаруживает ли наш антивирус сайты с вредоносными скриптами. И поможет нам в этом один известный ресурс.

Довольно примитивная страничка, содержащая всего несколько строк:

<HTML> <meta http-equiv=”Content-Type” content=”text/html”>
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>
</BODY>
</HTML>

При включенной проверке трафика антивирус Dr.Web отрабатывает корректно:

#drweb

Думаете, это примитивный тест, и все браузеры должны его проходить?

Ниже – несколько отзывов.

Один антивирус:

На странице есть тест с использованием EICAR, при загрузке файлов защита сработала, при проверке ссылки срабатывания не было.

Второй:

Чет у мя ... не блокировал єту страницу с тестовым вирем.

Третий:

..., провалил банальный тест веб защиты через хром последней версии.

Скопируем содержимое в файл eicar.html

#drweb

Пробуем загрузить файл из браузера:

#drweb

Странно – файл загрузился как текстовый. Смотрим в адресную строку браузера внимательно и видим: мы загрузили файл eicar.html.txt, а не eicar.html! Почему?

Дело в том, что ОС Windows по умолчанию не показывает расширения, и на самом деле мы создали не eicar.html, а eicar.html.txt, но не видим его настоящего расширения. Кстати, это прием, которым активно пользуются злоумышленники.

Исправим ситуацию. Откроем Панель управления, а в ней – Параметры проводника:

#drweb

Вкладка ВидДополнительные параметрыСкрывать расширения... Снимаем галочку:

#drweb

Переименовываем файл в eicar.html, пробуем запустить. Система просит нас указать приложение, которое будет обрабатывать данный тип файла. Указываем нужный браузер:

#drweb

Internet Explorer:

#drweb

#drweb

Mozilla Firefox:

#drweb

Что за беда? Дело в том, что если мы запускаем файл, а не загружаем ресурс по сети, то он будет проверен файловым монитором SpIDer Guard. Так как мы тестируем проверку трафика, отключаем его!

#drweb

И опять не видим угрозу – браузер показывает пустую текстовую страницу!

Наша ошибка – в том, что мы загрузили файл в браузер с диска. А проверка трафика работает до загрузки ресурсов в браузер. Исправляем ситуацию – выкладываем файл на внешний ресурс и запускаем его.

#drweb

Что мы доказали этим тестом? Система проверки трафика обнаруживает вредоносные скрипты до того, как они будут загружены в браузер. Это очень важно, так как файлы могут скачиваться совершенно разными системами – и далеко не только браузерами. И система защиты найдет угрозу до того, как она будет загружена и попытается исполниться.

Раз мы поняли принцип работы, можно поэкспериментировать.

Все же VBScript гораздо менее распространен, чем JavaScript. Изменим страничку:

<HTML>
<meta http-equiv="Content-Type" content="text/html">
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT type="text/javascript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT> 
</BODY>
</HTML>
	

SpIDer Gate поймает и это вариант.

#браузер #скрипт #проверка_трафика #тесты_антивирусов

Dr.Web рекомендует

Попробуйте самостоятельно модернизировать предложенный скрипт – и убедитесь в возможностях антивируса Dr.Web!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: