EICAR - Test de décompression "on access"
   

EICAR - Test de décompression "on access"
Test d'amplitude d'algorithmes de décompression dans les modules "temps réel"
(test "on access" antivirus - test "on access" anti-spywares)

Nous allons tester les modules temps réel (scanner "on access") de votre antivirus et de votre anti-spywares afin de voir s'ils sont capables de détecter un parasite alors que celui-ci a été préalablement compressé selon divers algorithmes de compression. Normalement ils le font tous, mais voyons s'ils le font sur de nombreux algorithmes ou s'ils se limitent aux plus connus (.zip, .arj...).

Nous vous proposons, pour ce test, plusieurs fichiers déjà compressés.

Remarque 1
La comparaison d'avec le même test en temps différé ("on demand") est interressante et montre que les modules temps-réel font des impasses afin de gagner en vitesse d'exécution. Après tout, en dernier ressort, ils analyseront en temps réel la version décompressée du parasite puiqu'il n'y a qu'elle qui puisse, généralement, s'exécuter, donc l'analyse en temps réel de fichiers qui ne sont pas directement exécutables peut être évitée. Mais, il y a un mais... Certains algorithmes de compression sont auto extractibles et auto-exécutables : ils permettent la montée en mémoire d'un parasite compressé, le décompressent à la volée et en lancent l'exécution. C'est le cas du redoutable algorithme UPX, ultra compact et rapide.

Remarque 2
je n'ai pas tous les compresseurs dans ma collection. Il faudrait utiliser tous les compresseurs existant comme les compresseurs Windows 32 bits ASPack, NeoLite, PEPack, Petite, PkLite32, Shrinker, UPX, WWPack32, WinZip etc. ... les compresseurs DOS Diet, Ice, LzExe, PkLite, WWPack etc. ... Bien entendu en utilisant plusieurs versions de chacun de ces compresseurs. Ici, nous vous proposons de tester 9 algorithmes de compression mais il faudrait le faire pour tous les autres (si des collectionneurs disposent de tout ou partie des autres compresseurs, merci de me les faire parvenir - en particulier toutes les versions de UPX, le plus utilisé dans la compression des parasites).


  • Désactivez votre antivirus et votre anti-spywares (anti-trojans).
  • Téléchargez ces fichiers dans le répertoire Eicar que vous avez prévu à cet effet. Vous en avez peut-être déjà quelques-uns si vous avez déjà effectué d'autres tests Eicar.
    • eicar_zip_01_fois.zip - contient eicar.exe compressé 1 fois au format zip
      Taille : 184 octets (184 octets)
      MD5 : d42c2bc2d4259b45b38dbadf691f4273
      SHA1 : 5667a692c8083d7b9b836ea5d14a9cc7802e544a

    • eicar.arj - compression arj
      Taille : 174 octets (174 octets)
      MD5 : 412cc4f33d03fcd343d81ad3293ac0e0
      SHA1 : 9f15cf13be9657087aa1ebe5a39e3a6d9d100eb6

    • eicar.rar - compression rar
      Taille : 136 octets (136 octets)
      MD5 : ac9bb1670b9a55dfb9693983a6d8a4aa
      SHA1 : 563ea0f60a3dc0fb77ce3eb349fcf6eb182518dc

    • eicar.gz - compression Gnu Zip / Unix Compress
      Taille : 98 octets (98 octets)
      MD5 : 68e56ee97942e5bbb70b7201ee080676
      SHA1 : 85396200a591f259d2a62111867883bdc645d489

    • eicar.lha - compression LHarc
      Taille : 102 octets (102 octets)
      MD5 : 667c8d81d46d2a778b78a143b12c53c7
      SHA1 : 57cda6df8307d7c1cdaad9f768102be7ae9a74df

    • eicar.lzh - compression LZH
      Taille : 102 octets (102 octets)
      MD5 : 667c8d81d46d2a778b78a143b12c53c7
      SHA1 : 57cda6df8307d7c1cdaad9f768102be7ae9a74df

    • eicar.msc - compression MS Compress
      Taille : 91 octets (91 octets)
      MD5 : 7225c451659841b83dbb093dd6338ad0
      SHA1 : 56066e50ad3181311786271cae593b8409a45aa4

    • eicar.tar - compression tar / tz
      Taille : 1,50 Ko (1 536 octets)
      MD5 : 18b9d8ad3f971a9e518374f677d2a196
      SHA1 : e88f7ef11e7e4d3bf9dad19e564941bfc44f453e

    • noisybear.cab - compression cab
      nota : noizybear est une applet Java imbécile qui affiche un ours stupide faisant du bruit. Elle est régulièrement clasée hostile donc se trouve dans toutes les bases de signatures et sert de test, comme Eicar. Ici le test porte sur la compression .Cab, cette dernière rencontrant un problème lors de la compression de Eicar.
      Taille : 1,71 Ko (1 756 octets)
      MD5 : c6a337a251d508f7a0528dd6b6c6c11a
      SHA1 : 7ea7f5ed7a209be2f3f245061733a354a75e50eb

  • Réactivez votre antivirus et conservez votre anti-spywares (anti-trojans) désactivé.
  • Créez un répertoire Eicar_bis
  • Sélectionnez tous les fichiers cités ci-dessus, copiez-les, tentez de les coller dans le répertoire Eicar_bis.
  • Si tout se passe bien, votre antivirus ne s'est pas planté, n'a pas planté le système, a tout détecté et a tout corrigé ou mis en quarantaine, silencieusement ou en hurlant, selon vos paramètres. Si un fichier n'est pas détecté c'est que votre antivirus ne gère pas en temps réel tel type de compression/décompression, ou décompresse mal le fichier dont, de ce fait, le contenu ne sera pas vu et passera au travers de l'antivirus - c'est alors une faille de sécurité. Vérifiez immédiatement la configuration de votre logiciel antivirus ou changez-en ! Vous trouverez, sur le site http://assiste.com, pour chaque antivirus, des conseils de réglages maximums des antivirus, le choix d'un antivirus gratuit et le choix d'un antivirus commercial.
  • Désactivez votre antivirus, votre anti-spywares (anti-trojans) étant toujours désactivé.
  • Re-téléchargez tous les fichiers qu'il vous manque (que votre antivirus a détruit).
  • Réactivez votre anti-spywares (anti-trojans) et conservez votre antivirus désactivé.
  • Re-sélectionnez tous les fichiers ci-dessus, copiez-les, tentez de les coller dans le répertoire Eicar_bis.
  • Si tout se passe bien, votre anti-spywares (anti-trojans) ne s'est pas planté, n'a pas planté le système, a tout détecté et a tout corrigé ou mis en quarantaine, silencieusement ou en hurlant, selon vos paramètres. Si un fichier n'est pas détecté c'est que votre anti-spywares (anti-trojans) ne gère pas en temps réel tel type de compression/décompression, ou décompresse mal le fichier dont, de ce fait, le contenu ne sera pas vu et passera au travers de l'anti-spywares (anti-trojans) - c'est alors une faille de sécurité. Vérifiez immédiatement la configuration de votre logiciel anti-spywares (anti-trojans) ou changez-en ! Vous trouverez, sur le site http://assiste.com, le choix d'un anti-spywares (anti-trojans) gratuit et le choix d'un anti-spywares (anti-trojans) commercial.
  • Assurez-vous de réactiver votre antivirus et votre anti-spywares (anti-trojans).



Révision - 10.03.05
Rédigé en écoutant