Eicar : le test des antivirus et des anti-trojans

Eicar : le test des antivirus et des anti-trojans

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clés :
antivirus, test, eicar
 
 
Eicar n'est pas destiné à la recherche de parasites sur votre ordinateur mais à la vérification que votre antivirus et votre anti-spywares (anti-trojans) sont bien installés, qu'ils répondent correctement et qu'ils disposent d'intelligence face à des situations tordues. Eicar vous permet de vous en assurer de temps en temps. D'autre part Eicar vous permet d'évaluer sans risque les antivirus et les anti-spywares (anti-trojans) tandis qu'on les teste durant leurs 30 jours d'essai gratuit.
  • Attendre qu'une machine soit contaminée pour évaluer les utilitaires de sécurité n'est pas une bonne idée.
  • Utiliser de vrais parasites pour faire ces tests ou évaluer ces produits n'est pas une bonne idée.

Le site Eicar :
eicar.org

Des contenus entrent et sortent sans arrêt par :
  • vos consultations de sites Internet (protocoles http, https...)
  • vos téléchargements de contenus (protocoles ftp,...)
  • vos réceptions de courriers (protocoles Pop, Imap...)
  • vos expéditions de courrier (protocole Smtp)
  • vos news entrantes et sortantes (protocole NNTP)
  • vos partages de fichiers (protocoles P2P utilisés par vos logiciels de P2P comme KaZaA, Direct Connect, BearShare, iMesh, WinMX, LimeWire, Bit Torrent, Overnet, Shareaza, CZDC++, Morpheus, eDonkey, eMule, Ares, SoulSeek, Opera's DC++, StrongDC++, iDC++, KCEasy, BitComet, BitLord, ABC, uTorrent, BitPump, Winny2, Zultrax...
  • vos échanges en messageries instantanées (comme MSN Messenger, Yahoo! Messenger, ICQ, AIM - AOL Instant Messenger, Trillian, mIRC, Miranda, Gaim, Odigo, Gadu-Gadu, Psi Jabber, Skipe, IM2 Messenger, SIM - Simple Instant Messenger, PalTalk Messenger, Tlen, Google Talk, WengoPhone...
  • vos installations ou copies depuis des CD-Rom, des DVD-Rom, des disquettes, des clés USB...
  • ...

Est-ce que vos utilitaires surveillent réellement tout cela ?
  • Et si le contenu est compressé, est-ce qu'ils le voient tout de même ?
  • Et si on camoufle un programme exécutable en lui mettant un faux suffixe, anodin, est-ce qu'ils s'en occupent ou non ?
  • Etc. ...

Attention - Alerte de votre antivirus ou de votre anti-trojans !
Si votre antivirus ou votre anti-trojans vous alerte à la lecture de cette page, ceci est normal : cette page comporte un pseudo parasite, une chaîne de caractères inerte, standardisée, de tests des antivirus. Elle est vérifiée par tous les antivirus du monde, sous le nom de "Eicar" et doit être reconnue comme un parasite sinon votre antivirus ou votre anti-trojans n'est pas correctement installé ou ne fonctionne pas. Cette chaîne est :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

De quoi est constitué Eicar ?
Nous allons faire tous ces tests avec un vrai faux virus, Eicar, spécialement écrit pour les tests normatifs des antivirus et des anti-spywares. La chaîne de caractères, inerte, constituant EICAR est cette suite de 68 caractères, c'est tout ! Eicar, c'est ça :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Quels utilitaires peut-on tester avec Eicar ?
Eicar est un test de signatures, pas un test de comportement. Seules les classes d'utilitaires suivantes, ayant un fonctionnement à base de signatures, réagiront (modules temps réel dit "On-Access" et modules temps différé dit "on demand") et pourront donc être testées avec Eicar. Les systèmes de protection purement comportementaux (machines virtuelles, sandbox...) et les systèmes de contrôles d'intégrité ne peuvent pas être testés avec Eicar.

Normes et protocoles pour utiliser EICAR
EICAR a été développé en collaboration entre tous les industriels éditeurs d'antivirus et anti-trojans et est normalisé, aussi bien dans sa forme que dans son utilisation :

La convention EICAR entre les industriels est écrite ici
http://www.eicar.org/anti_virus_test_file.htm

  1. Elle date de 2003, avec ce texte :
    "The definition of the file has been refined 1 May 2003 by Eddy Willems in cooperation with all vendors."
    "La définition du fichier a été redéfinie le 1er mai 2003 par Eddy Willems en coopération avec tous les vendeurs."

  2. Le test EICAR stipule que le fichier de test doit commencer par la chaîne de caractère EICAR et doit faire exactement 68 caractères de long :
    "Any anti-virus product that supports the EICAR test file should detect it in any file providing that the file starts with the following 68 characters, and is exactly 68 bytes long:"
    "Tout antivirus qui supporte le fichier de test EICAR devrait le détecter dans n'importe quel fichier à condition que le fichier commence par les 68 caractères suivants et fasse exactement 68 octets de long:"
    Note du traducteur : par "n'importe quel fichier" il faut comprendre : fichiers compressés avec divers compresseurs (Zip, Tar, Arj etc. ...), plusieurs échantillons dans diverses compressions sont ensuite offerts sur le site officiel EICAR.

  3. Si un fichier contient la chaine de caractère EICAR mais en plein millieu d'un contenu quelconque, ce n'est pas EICAR !

La preuve : soumettons un fichier contenant la chaîne de caractères EICAR au milieu d'autre chose à l'analyse de 32 outils de sécurité (antivirus et anti-spywares) sur le service VirusTotal ( http://www.virustotal.com/fr/ ).




Ces 32 outils, parmi les plus connus et solides du monde, sont, en sus, réglés en mode "paranoïde". Résultat des courses : Absolument aucun ne reconnaît EICAR !



Soumettons maintenant un petit fichier en format texte fait avec Notepad de Windows et contenant la chaîne de caractères EICAR selon le protocole de test industriel élaboré par les éditeurs d'outils antivirus et anti-spywares. Il est inutile d'ajouter le moindre commentaire.





Intégrité et innocuité des fichiers de test proposés
Nous allons vous donner, dans les tests proposés, plusieurs exemplaires de la chaîne de caractères inerte Eicar, sous forme de fichiers à télécharger. Certains sont prétendus exécutables (suffixe .com ou .exe...). Vérifiez, avec SummerProperties, que ces fichiers n'ont pas été altérés, en comparant les chiffres clé MD5 ou SHA1 obtenus, ainsi que la taille du fichier, avec les chiffres que nous vous donnons.


Comment utiliser Eicar :

  1. Création d'un répertoire de tests
    Commencez par créer un répertoire pour accueillir tous les fichiers de tests. Appelons ce répertoire "Eicar".

  2. Désactivez les outils d'analyse sauf 1
    Si vous testez votre antivirus, désactivez votre anti-trojans (et autres outils que vous pourriez avoir) et inversement..

  3. Tests "On demand" (Test à la demande - Test en temps différé)
    Le premier test va permettre de vérifier le comportement de votre antivirus ou de votre anti-trojans lorsque vous demandez une analyse.

    1. Protection de ce répertoire
      Allez dans votre antivirus et excluez le répertoire que vous venez de créer sinon (et si votre antivirus fonctionne correctement) vous ne pourrez même pas télécharger les tests qui seront rejetés en temps réel.

    2. Téléchargez les tests
      Téléchargez tous les fichiers suivants dans votre répertoire de tests.
      1. eicar.com
      2. la_belle_de_cadix.txt
      3. go154o.exe
      4. i11r54n4.exe
      5. i1i5n1j4.exe
        Ces fichiers sont des tests d'enveloppe (test du nom du contenant au lieu du contenu).

        Le premier fichier est vide (0 caractère) et permet de vérifier si votre outil est sensible à l'enveloppe (le nom d'un fichier) ce qui est une erreur (il ne devrait pas signaler de parasite sur ce fichier !).

        Le second fichier est Eicar en texte simple sous un nom anodin et une extension réputée anodine. Votre outil devrait signaler la présence d'Eicar et détruire ce fichier.

        Le trois fichiers suivants sont Eicar en texte simple sous des noms de virus connus. Votre outil devrait signaler la présence d'Eicar et détruire ces fichiers. S'il signale la présence d'un autre parasite (un autre nom de parasite) c'est qu'il est sensible à l'enveloppe ce qui est une faute. Détail des tests d'enveloppe "On demand"

      6. eicar.8ba
      7. eicar.bin
      8. eicar.exe
      9. eicar.gif
      10. eicar.ico
      11. eicar.psd
      12. eicar.txt
      13. eicar.zlq
        Ces fichiers contiennent Eicar en texte simple. Ils permettent de vérifier si votre outils fait l'impasse sur certaines extensions de fichiers (.8ba, .bin, .psd etc. ...). Il ne devrait pas faire d'impasse et devrait tous les détruire ! On peut multiplier ce genre de tests avec toutes les extensions connues et même en inventer 1 ou 2 complètement imaginaires et fantaisistes.

      14. eicar.arj
      15. eicar.gz
      16. eicar.lha
      17. eicar.lzh
      18. eicar.msc
      19. eicar.rar
      20. eicar.tar
      21. eicar.zip
      22. noisybear.cab
      23. noisybear.zip
        Ces fichiers sont des mono-compressions de Eicar selon divers algorithmes de compression. L'extension est celle d'origine. Permet de vérifier si votre outil décompresse correctement les contenus pour les analyser. Il devrait détruire tous ces fichiers. Il existe d'autres algorithmes de compression qui ne figurent pas encore dans ma collection ou sont commerciaux.

        Nota : noizybear.cab permet de tester la compression .cab car cet algorithme de compression a un problème et est incapable de compresser certains caractères se trouvant dans Eicar. noizybear est une applet Java imbécile qui affiche un ours stupide faisant du bruit. Elle est régulièrement classée hostile donc se trouve dans toutes les bases de signatures et sert de test, comme Eicar. Ici le test porte sur la compression .Cab.

      24. eicararj.bin
      25. eicararj.txt
      26. eicargz1.bin
      27. eicargz1.txt
      28. eicarlha1.bin
      29. eicarlha1.txt
      30. eicarlzh1.bin
      31. eicarlzh1.txt
      32. eicarmsc1.bin
      33. eicarmsc1.txt
      34. eicartar.bin
      35. eicartar.txt
      36. eicarzip.bin
      37. eicarzip.txt
      38. noisybearcab.bin
      39. noisybearcab.txt
        Ces fichiers sont des compressions de Eicar selon divers algorithmes de compression mais avec une extension trompeuse permettant de vérifier si votre outil reconnaît correctement les algorithmes de compression utilisés. Il devrait détruire tous ces fichiers. Détail du test de décompression "On demand"

      40. eicarhqx.bin
      41. eicaruue1.bin
      42. eicarmme1.bin
        Ces fichiers sont des transcodages de Eicar selon des encodages particuliers (hqx=BinHex, uue=UUEncode (voir codage UUEncode et décodage UUEncode), mme=type mime (voir Types Mime)) utilisés dans le transport de messageries (e-mail). Votre outil devrait détruire tous ces fichiers.
        Vous devriez, par la même occasion, tester votre antivirus et votre anti-trojans sur les protocoles Pop et Smtp en vous envoyant 3 e-mail avec ces pièces attachées puis en recevant ces 3 e-mail.

      43. eicar_zip_02_fois.zip
      44. eicar_zip_03_fois.zip
      45. eicar_zip_04_fois.zip
      46. eicar_zip_05_fois.zip
      47. eicar_zip_06_fois.zip
      48. eicar_zip_07_fois.zip
      49. eicar_zip_08_fois.zip
      50. eicar_zip_09_fois.zip
      51. eicar_zip_10_fois.zip
      52. eicar_zip_11_fois.zip
      53. eicar_zip_12_fois.zip
        Ces fichiers permettent de tester la capacité de récursivité de décompression dans divers algorithmes par votre outil. Eicar est comprimé avec l'algorithme Zip puis la compression est comprimée une seconde fois sur elle-même, une troisième etc. ... Votre outil devrait signaler Eicar et détruire tous ces fichiers. Il faudrait étendre ce test à tous les autres algorithmes de compression.
        Détail du test de décompression récursive "On demand"

    3. Déprotection de ce répertoire
      Allez dans votre antivirus et retirer l'exclusion faite en 1 de ce répertoire

    4. Analyse de ce répertoire
      Demandez à votre antivirus d'analyser ce répertoire. Il devrait vous allerter sur tous les fichiers ci-dessus et les détruire, sinon, il a des manquements.

  4. Tests "On access" (Test sur accès - Test en temps réel)
    Le second test va permettre de vérifier le comportement en temps réel de votre antivirus ou de votre anti-trojans lorsque vous tentez de manipuler (copier, voir, déplacer, télécharger, ouvrir etc. ...) un fichier contenant un parasite.

    1. Le répertoire précédent étant maintenant, normalement, vide et non exclu de la surveillance, tentez de télécharger, un à un, les même fichiers ci-dessus.

    2. Normalement, vous devriez en être empêché chaque fois (sauf sur Eicar.com) sinon votre outil de protection a des manquements.
      Détail des tests d'enveloppe "On access"
      Détail du test de décompression "On access"
      Détail du test de décompression récursive "On access"

Avis aux esprits torturés.
Avec ça vous n'aurez fait qu'un tout petit bout des tests de la technologie d'un antivirus - il reste encore à tester la base de signatures, les contrôles ActiveX, les scripts et tout le contenu dynamique des flux Internet etc. ...

Ressources
Version originale de Eicar, explications et mode d'emploi en anglais sur eicar.org.

Autres tests :

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com


Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
10.03.05
 
   
Rédigé en écoutant :
Music