 |
|
EICAR - Test d'enveloppe "on demand"
|
| |
|
|
|
| EICAR - Test d'enveloppe "on demand" |
Test "on demand" d'enveloppe
(test "on demand" de l'antivirus - test "on demand" de l'anti-spywares)
Ici, nous allons voir si les scanners en temps différé (scanner "on emand") de vos outils de sécurité s'arrêtent aux enveloppes des objets (leur apparence : leur nom, leur suffixe) ou s'ils ouvrent les enveloppes pour voir ce qu'il y a réellement dedans.
De quoi s'agit-il ?
- Certains utilitaires n'analysent que les fichiers succeptibles, en apparence, d'être exécutables ou de contenir un exécutable (une macro...). Ils en décident en fonction du suffixe des noms des objets : les fichiers dont l'extension est, par exemple, .exe ou .com ou .dll ou .doc ou .hta etc. ...
- D'autres tiennent compte du nom de l'objet et décident de rejeter tel objet sous prétexte que son nom est celui d'un parasite, sans du tout regarder le contenu réel de l'objet.
Donc :
- si on change l'extension d'un fichier exécutable pour lui donner l'apparence de quelque chose d'anodin, en .txt (fichier texte) par exemple, est-ce que l'utilitaire va s'en appercevoir ou non ? Si non, c'est qu'il s'arrête à l'enveloppe : c'est une faille de sécurité. Si oui, c'est qu'il a ouvert l'enveloppe et regardé son contenu
- si on change le nom du fichier contenant Eicar pour lui donner un nom d'un fichier habituel d'une autre hostilité connue, va t'il être détecté sous le nom de Eicar ou sous le nom de l'autre hostilité ?
- si on donne le nom d'un fichier habituel d'une hostilité connue à un fichier ne contenant aucune hostilité, va t'il passer le test ou être arrêté ?
Nous allons utiliser la chaîne inerte Eicar dans des fichiers n'utilisant pas les extensions suivantes qui sont celles préférentiellement analysées lorsque les utilitaires considèrent les enveloppes.
| Extensions suspectes (types de fichiers pouvant être piégés) |
| .386 |
.avb |
.class |
.drv |
.hta |
.lnk |
.mpt |
.ocx |
.prc |
.shb |
.tt6 |
.wbk |
.xls |
| .ace |
.ax |
.cmd |
.dvb |
.htlp |
.mch |
.msc |
.oft |
.prf |
.shs |
.url |
.wbt |
.xlt |
| .acm |
.bas |
.cnv |
.dwg |
.htm |
.mda |
.msg |
.ov? |
.pwz |
.shtml |
.vb |
.wIz |
.xml |
| .acv |
.bat |
.com |
.email |
.html |
.mdb |
.msi |
.ovl |
.qpw |
.shw |
.vbe |
.wk? |
.zip |
| .ade |
.bin |
.cpl |
.eml |
.htt |
.mde |
.mso |
.ovr |
.rar |
.smm |
.vbs |
.wml |
|
| .adp |
.boo |
.cpt |
.exe |
.inf |
.mdz |
.msp |
.pcd |
.reg |
.sys |
.vbx |
.wms |
|
| .adt |
.btm |
.crt |
.fon |
.ini |
.mht |
.mst |
.pcI |
.rtf |
.tar |
.vom |
.wpc |
|
| .app |
.cab |
.csc |
.gms |
.ins |
.mhtm |
.nws |
.pgm |
.sbf |
.td0 |
.vs? |
.wpd |
|
| .arc |
.cbt |
.css |
.gvb |
.isp |
.mhtml |
.obd |
.pif |
.scf |
.tgz |
.vwp |
.wsc |
|
| .arj |
.cdr |
.dll |
.gz |
.js |
.mp3 |
.obj |
.pl |
.scr |
.tlb |
.vxd |
.wsf |
|
| .asd |
.chm |
.doc |
.hlp |
.jse |
.mpd |
.obt |
.pot |
.sct |
.tsk |
.vxd |
.wsh |
|
| .asp |
.cla |
.dot |
.hta |
.lib |
.mpp |
.obz |
.ppt |
.sh |
.tsp |
.vxe |
.ww? |
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
- Désactivez votre antivirus et votre anti-spywares (anti-trojans).
- Télécharger ces fichiers dans le répertoire Eicar prévu à cet effet.
- eicar.bin
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar_zip_01_fois.bin
Taille : 184 octets (184 octets)
MD5 : d42c2bc2d4259b45b38dbadf691f4273
SHA1 : 5667a692c8083d7b9b836ea5d14a9cc7802e544a
Doit être identifié en tant que Eicar
- Eicararj.bin : Arj
Taille : 174 octets (174 octets)
MD5 : 412cc4f33d03fcd343d81ad3293ac0e0
SHA1 : 9f15cf13be9657087aa1ebe5a39e3a6d9d100eb6
Doit être identifié en tant que Eicar
- Eicargz1.bin : Gnu Zip/Unix Compress
Taille : 98 octets (98 octets)
MD5 : 68e56ee97942e5bbb70b7201ee080676
SHA1 : 85396200a591f259d2a62111867883bdc645d489
Doit être identifié en tant que Eicar
- Eicarlha1.bin : LHarc
Taille : 102 octets (102 octets)
MD5 : 667c8d81d46d2a778b78a143b12c53c7
SHA1 : 57cda6df8307d7c1cdaad9f768102be7ae9a74df
Doit être identifié en tant que Eicar
- Eicarlzh1.bin : LZH
Taille : 102 octets (102 octets)
MD5 : 667c8d81d46d2a778b78a143b12c53c7
SHA1 : 57cda6df8307d7c1cdaad9f768102be7ae9a74df
Doit être identifié en tant que Eicar
- Eicarmsc1.bin : MS Compress
Taille : 91 octets (91 octets)
MD5 : 7225c451659841b83dbb093dd6338ad0
SHA1 : 56066e50ad3181311786271cae593b8409a45aa4
Doit être identifié en tant que Eicar
- Eicartar.bin : Tar/Tz
Taille : 1,50 Ko (1 536 octets)
MD5 : 18b9d8ad3f971a9e518374f677d2a196
SHA1 : e88f7ef11e7e4d3bf9dad19e564941bfc44f453e
Doit être identifié en tant que Eicar
- NoisybearCab.bin : Cabinet File
Taille : 1,71 Ko (1 756 octets)
MD5 : c6a337a251d508f7a0528dd6b6c6c11a
SHA1 : 7ea7f5ed7a209be2f3f245061733a354a75e50eb
Doit être identifié en tant que NoisyBear
- eicar.txt - Prétendu fichier texte
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar.psd - prétendue image au format PhotoShop
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar.gif - prétendue image au format gif
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar.zlq - prétendue quarantaine par ZoneAlarm de pièces jointes de mail au format d'origine .scr
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar.8ba - prétendu fichier photoshop
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar.ico - prétendue icône
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- i11r54n4.exe - prétendu composant du célèbre virus W32.Beagle.H@mm
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- go154o.exe - prétendu composant du célèbre virus W32.Beagle.H@mm
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- i1i5n1j4.exe - prétendu composant du célèbre virus W32.Beagle.H@mm - en réalité ce fichier contiend un court poème de Jean Tardieu en format texte - vous pouvez l'ouvrir avec Notepad
Taille : 240 octets (240 octets)
MD5 : 424dfc00a2ad12bb2185eedad40adc8c
SHA1 : e33ccc70bc598b6ee77e2a13b8286641205a34f7
Ne doit pas être identifié du tout, ni par l'antivirus, ni par l'anti-spywares
- la_belle_de_cadix.txt - prétendu fichier texte - contiend Eicar
Taille : 68 octets (68 octets)
MD5 : 44d88612fea8a8f36de82e1278abb02f
SHA1 : 3395856ce81f2b7382dee72602f798b642f14140
Doit être identifié en tant que Eicar
- eicar_zip_01_fois.txt
Taille : 184 octets (184 octets)
MD5 : d42c2bc2d4259b45b38dbadf691f4273
SHA1 : 5667a692c8083d7b9b836ea5d14a9cc7802e544a
Doit être identifié en tant que Eicar
- Eicararj.txt : Arj
Taille : 174 octets (174 octets)
MD5 : 412cc4f33d03fcd343d81ad3293ac0e0
SHA1 : 9f15cf13be9657087aa1ebe5a39e3a6d9d100eb6
Doit être identifié en tant que Eicar
- Eicargz1.txt : Gnu Zip/Unix Compress
Taille : 98 octets (98 octets)
MD5 : 68e56ee97942e5bbb70b7201ee080676
SHA1 : 85396200a591f259d2a62111867883bdc645d489
Doit être identifié en tant que Eicar
- Eicarlha1.txt : LHarc
Taille : 102 octets (102 octets)
MD5 : 667c8d81d46d2a778b78a143b12c53c7
SHA1 : 57cda6df8307d7c1cdaad9f768102be7ae9a74df
Doit être identifié en tant que Eicar
- Eicarlzh1.txt : LZH
Taille : 102 octets (102 octets)
MD5 : 667c8d81d46d2a778b78a143b12c53c7
SHA1 : 57cda6df8307d7c1cdaad9f768102be7ae9a74df
Doit être identifié en tant que Eicar
- Eicarmsc1.txt : MS Compress
Taille : 91 octets (91 octets)
MD5 : 7225c451659841b83dbb093dd6338ad0
SHA1 : 56066e50ad3181311786271cae593b8409a45aa4
Doit être identifié en tant que Eicar
- Eicartar.txt : Tar/Tz
Taille : 1,50 Ko (1 536 octets)
MD5 : 18b9d8ad3f971a9e518374f677d2a196
SHA1 : e88f7ef11e7e4d3bf9dad19e564941bfc44f453e
Doit être identifié en tant que Eicar
- NoisybearCab.txt : Cabinet File
Taille : 1,71 Ko (1 756 octets)
MD5 : c6a337a251d508f7a0528dd6b6c6c11a
SHA1 : 7ea7f5ed7a209be2f3f245061733a354a75e50eb
Doit être identifié en tant que Eicar
- Activez votre antivirus et laissez votre anti-spywares (anti-trojans) désactivé.
- Demandez à votre antivirus l'analyse du répertoire Eicar.
- Tous les fichiers sauf 1 doivent être identifiés Eicar - voir le commentaire donné sur chaque fichier, ci-dessus. Il ne doit y avoir aucune faute d'analyse.
- Si ce n'est pas le cas, c'est que votre antivirus tiend compte de l'enveloppe, ce qui est une faute rédhibitoire de conception même du produit. Changez-en ! Vous trouverez, sur le site http://assiste.com, pour chaque antivirus, des conseils de réglages maximums des antivirus, le choix d'un antivirus gratuit et le choix d'un antivirus commercial.
- Désactivez votre antivirus et activez votre anti-spywares (anti-trojans).
- Demandez à votre anti-spywares (anti-trojans) l'analyse du répertoire Eicar.
- Tous les fichiers sauf 1 doivent être identifiés Eicar - voir le commentaire donné sur chaque fichier, ci-dessus. Il ne doit y avoir aucune faute d'analyse.
- Si ce n'est pas le cas, c'est que votre anti-spywares (anti-trojans) tiend compte de l'enveloppe, ce qui est une faute rédhibitoire de conception même du produit. Changez-en ! Vous trouverez, sur le site http://assiste.com, le choix d'un anti-spywares (anti-trojans) gratuit et le choix d'un anti-spywares (anti-trojans) commercial.
- Assurez-vous de réactiver votre antivirus et votre anti-spywares (anti-trojans).
|
Révision - 10.03.05
Rédigé en écoutant
|
|
|
