Comprobacion de si nuestro Antivirus es eficaz

Lestat · #1 30-ene-2007, 18:27

Comprobacion de si nuestro Antivirus es eficaz

Es un test desarrollado por EICAR (European Institute for Computer Antivirus Research), que permite comprobar la funcionalidad o estado operativo de su software antivirus.

Si usted está realmente protegido, su antivirus no debería tener ningún problema en detectarlo, si bien el que lo detecte no significa necesariamente que su antivirus pueda soportar cualquier código malicioso.

Otro dato a tener en cuenta, es que EICAR comprueba la efectividad de su antivirus, pero no puede detectar el grado de actualización del mismo, por lo que conviene prestar máxima atención a que su antivirus se encuentre siempre actualizado.

EICAR-AV-Test no es un virus (es una simulación), no incluye ningún componente vírico, por lo que puede realizar las pruebas con total seguridad, eso sí, hay que tener mucho cuidado con el lugar desde donde descarga el test, ya que existen virus reales que simulan ser EICAR, por lo que sólo recomiendo hacer las pruebas desde páginas confiables.
(ej.-trucoswindows.net, páginas oficiales de antivirus o su sitio oficial, eicar.org).

¿En qué consiste la prueba de EICAR?

El test consiste en un programa en DOS (MsDos), llamado EICAR.COM que producirá el siguiente mensaje:

"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"

Se trata de 68 caracteres ASCII, aunque se pueden combinar más caracteres en lenguaje de programación Whitespace (espacios en blanco, tabulador y líneas nuevas), sin exceder su longitud total de los 128 caracteres.

Estos son los 68 caracteres, con una longitud exacta de 68 bytes:

Código:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Todas las letras deben estar en mayúscula y sin espacios siendo el tercer carácter la letra mayúscula O (no confundir con el número cero).

Si nuestro programa antivirus está activo y debidamente configurado deberá mostrar un mensaje de alerta ("EICAR-AV-Test", "Eicar Archivo de prueba", etc..) al detectar este archivo de prueba.

Lestat · #2 30-ene-2007, 18:28

Iniciando el Test EICAR:

1ª Prueba – Crear y analizar el archivo de prueba:

Copiar y pegar el siguiente texto en su bloc de notas:

Código:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Guárdelo en su disco duro con extensión .COM (Ej.- EICAR.COM).

Analice el archivo con su antivirus.

2ª Prueba – Adjunto de correo electrónico:

Envíe ese fichero de prueba por e-mail como archivo adjunto.

Nota: Si lo detecta anteriormente el AntiVirus nos sera imposible realizar este paso, ya que lo normal es que lo ponga en cuarentena en el momento de detectarlo

3ª Prueba – Descarga usando el Protocolo Standard http:

Descargue los siguientes archivos:

Eicar.com
Eicar.com.txt
Eicar_com.zip
Eicarcom2.zip

4ª Prueba – Descarga usando el Protocolo Seguro https:

Descargue los siguientes archivos:

Eicar.com
Eicar.com.txt
Eicar_com.zip
Eicarcom2.zip

Aclaraciones sobre las extensiones del archivo de prueba:

○» Eicar.com -> fichero ejecutado bajo MsDos
○» Eicar.com.txt -> con la extensión de texto se visualizará el código en su navegador.
○» Eicar_com.zip -> se trata del archivo comprimido.
○» Eicarcom2.zip -> se trata del archivo doblemente comprimido.

Interpretación de los resultados del Test:

Si su antivirus está activo debería detectar el archivo de prueba al descargarlo, analizarlo, ejecutarlo y/o descomprimirlo (en el caso de los .zip).

Prueba 1ª: su antivirus deberá mostrar mensaje de alerta si analiza, ejecuta o incluso si pide las propiedades de este archivo.

Prueba 2ª: su antivirus le deberá mostrar mensaje de alerta a tratar de adjuntar el archivo de prueba o al intentar descargarlo cuando lo recibe por e-mail.

Prueba 3ª:
a) Eicar.com: su antivirus deberá alertarle al descargar, ejecutar o analizar el archivo.
b) Eicar.com.txt: si su antivirus le protege mientras navega deberá alertarle al descargar o ejecutar el archivo.
c) Eicar_com.zip: su antivirus debería alertarle al descargar, ejecutar, analizar o descomprimir dicho archivo.
d) Eicarcom2.zip: su antivirus debería alertarle al descargar, ejecutar, analizar o descomprimir dicho archivo

Prueba 4ª: los resultados deberían ser similares que para la prueba 3, pero en este caso su identificación al descargarlo es más difícil dado que se descarga a través de protocolo seguro https (utiliza un cifrado basado en las Secure Socket Layers).

Su antivirus como mínimo debería pasar la prueba 1 y 3.a, esto sería lo mínimo que debería exigir a su antivirus.

¿Qué ocurre si mi antivirus no pasa las pruebas mínimas exigibles?

Esto puede deberse a 4 posibles causas:

○»Se equivocó al escribir el código o no le asignó bien la extensión .com
○»Su antivirus no está activado.
○»Tiene más de un antivirus monitoreando, con lo cual han entrado en conflicto. Recuerde que sólo debe tener un antivirus activo.
○»No dispone de software antivirus o no funciona adecuadamente, por lo que piense en adquirir uno o en cambiar de antivirus.

No os preocupeis si vuestro antivirus no es capaz de detener la ejecución de eicar.com, ya que este código no es maligno y no le supone ninguna amenaza, lo único que pasará es que se abrirá una ventana en DOS con el texto:

"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"

Eso sí, preocuparos de solucionar cuanto antes su falta de protección.

NOTA:

1º Si su antivirus es eficaz analizando archivos deberá detectar el fichero eicar.com al analizarlo (prueba 1)

2º Si su antivirus le protege correctamente en tiempo real, deberá detectar iecar.com al ejecutarlo o descargarlo.

3º Si su antivirus ofrece protección para su correo electrónico deberá detectar eicar.com al adjuntarlo o al descargarlo cuando lo recibe por e-mail (prueba 2).

4º Si su antivirus le protege mientras navega deberá detectar la ejecución de eicar.com.txt.

5º Si su antivirus es capaz de detectar virus comprimidos, debería detectar eicar_com.zip y eicarcom2.zip, al descargarlo o al analizarlo.

6º Si su antivirus le protege cuando descarga ficheros de Internet en páginas estándar o no seguras (http) deberá pasar la prueba 3.

7º Si su antivirus le protege cuando descarga ficheros de Internet en páginas seguras (https) deberá pasar la prueba 4.

Espero vuestros Resultados y que seais francos al exponer los mismos

Mi resultado con McAfee, ha sido una completa deteccion en todas la pruebas.

Un Saludo

Keiyiro · #3 30-ene-2007, 19:45

Kaspersky me lo detecto altiro
no hize todas las pruebas, porque no tengo cliente de correo, asi que no puedo hacer la prueba 2
Pero la 1 la paso
La 3 tambien
La 4, al parecer es la misma que la 3, son los mismos links (http)

Bueno Slds. ¡¡
Keiyiro

Lestat · #4 30-ene-2007, 21:50

Cita:

La 4, al parecer es la misma que la 3, son los mismos links (http)

Como podeis ver en la página oficial de eicar (www.eicar.org):

Cita:

Download area using the secure, SSL enabled protocol https is temporary not available!

Pues eso, que el lugar de descarga de la prueba eicar usando el protocolo https, no está disponible temporalmente, así que habrá que esperar.

Un Saludo

TreCool · #5 03-mar-2007, 13:27

Excelente aporte Lestat!!!
se te agradece!!!!!
Lo probare con McAfee y les contare...
saludos!!!

TreCool

templar · #6 15-may-2007, 15:25

el nod32 lo detecto al rayo en el momento que lo estaba salvado no fue necesario ejecutarlo. muy interezante este test

saludos.

rockman1111111 · #7 19-ago-2007, 21:55

bueno amigo en mi caso mi nod no me permite hacer nada de lo dicho mas arriba en el caso del codigo cuando lo pego en el block de notas y lo quiero guardar al toque me lo detecta y elimina.y con los otros pasos no me permite descargar nada de dicha pagina pues en todos los casos los aborta, entiendo que tiene un alto nivel de proteccion este nod dado que como dije antes ni siquiera me deja bajar los archivos.

saludos un abrazo.

Rockman

kaiba · #8 18-sep-2007, 20:09

genial muchas gracias, lo mismo paso con el nod, apenas si guarde el archivo y lo movio a cuarentena.

Luzbelito · #9 25-sep-2007, 15:05

el antivir avira me lo detectó al toque
gracias por este post porq dudaba d i máq por ser lento quizas le haga falta formatear

sebas9010 · #10 06-oct-2007, 12:43

kaspersky el mejor.....