lunes, 23 de enero de 2012

Eicar - fichero de pruebas de antivirus

Siento decir que no me voy a posicionar en los acontecimientos de estos días. Es... Mientras escribía esto me estaba posicionando. Aiiiinnnsss... Bueno. Que no se cómo expresar lo que pienso y es mejor que lo deje para otros foros y para otro momento. Aún así, si no habéis tenido tiempo de leerlo, he participado en el blog de un amigo explicando un poco las contramedidas para paliar un DoS. Por favor, si hubiese algún comentario al respecto, supongo que será mejor ponerlo en dicho(s) post(s). ¿No? :)

Hace tiempo que quería hablar de este fichero. Pero... ¡Se me han adelantado! No será la primera vez que alguien hable de este fichero. Ni mucho menos. A lo mejor el problema que veo es que está muy reciente el post de Chema y que me dará la sensación de que me ha dado por hablar de este sistema porque él ya lo hizo hace unos días.

Después de un tiempo rumiándolo, creo que voy a postear un poco sobre cómo es este (¿estos?) fichero, y otros ejemplos de aplicación.

Primero. ¿De qué trata Eicar? Eicar es está compuesto de fichero DOS (y no de texto, como me parecía recordar) que se pretende que todos los antivirus lo detecten como si de un virus se tratase. El resultado de ejecutarlo es que devuelve uan cadena de "68 bytes ASCII imprimibles":

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


También se puede ampliar la longitud de la cadena hasta los 128 caracteres "en blanco" que tienen que ser  " 'espacio en blanco', tab, LF, CR y CTRL-Z".

La descarga se presenta de la siguiente manera:

Presentación de los distintos tipos de descargas

Estos son los distintos formatos en los que te puedes encontrar el fichero. De hecho, nada más intentar descargarlo, mi antivirus me ha preguntado qué hacer y al poco tiempo, me ha redirigido a una página suya. ¡Mi antivirus funciona!

Haciendo memoria, cada una de las presentaciones tenía un propósito. Ver si se detecta el eicar.com directamente. Ver si añadiendo una extensión más el sistema también lo reconoce (¿era para esto el añadir la segunda extensión?). Ver si se es capaz de detectar un virus dentro de un fichero comprimido. Ver si el anidamiento de ficheros comprimidos es capaz de detectarlo también...

La pregunta es: ¿qué interés puede tener probar todo esto? Ya lo decía Chema, probar que la detección de virus es efectiva. ¿Pero no lo es siempre? Una veces sí y otras...

Por poner un ejemplo, que es con el que descubrí este fichero años ha. Quieres que cuando te descargues un fichero, antes de que llegue a tu ordenador, se sepa si es un virus potencial o no. Eso se puede hacer con un proxy. Si ese el servicio de proxy pasa por el antivirus todos los ficheros que te descargas antes de enviártelo, habrá más seguridad de que no sea una amenaza. Y dado que sabemos que los bichos se pueden presentar de muchas formas, es conveniente probarlas. 

Si a la hora de probar alguna de estas amenazas no obtenemos un resultado como "infectado" es que algo está mal configurado o que el antivirus es una chusta. 

Antes de que se me olvide (que ha estado a punto de pasar), esta es la página con la explicación oficial sobre el fichero. A la izquierda podréis acceder a las descargas. Si os dais cuenta, hay cosas que he puesto entrecomilladas porque vienen tal cual en el sitio. 

Ya sabéis que como siempre, podéis comentar lo que creáis conveniente de este artículo. 

No hay comentarios:

Publicar un comentario