EICARテストファイルを手入力で作成すると検知されないのはなぜ?

eicar-test

お久しぶりです!最近仕事が忙しくて、記事を書く暇がありませんでした。。
コロナの影響で仕事が減っている方もいる今の世の中では、とてもありがたいことですね!
今回はウイルス検知テストで有名な、EICARエイカーテストを実施したが、何故か検知されなかった時のお話です。


EICARテストとは?

EICARテストとは、例えば各端末にウイルスバスターやマカフィー、ノートン、ESETなどのセキュリティソフトアンチウイルスソフト)をインストールした際、正常にウイルス検知されるか確認するために行います。
方法としては、EICARが提供するテストファイルを任意の場所に保存するだけです。
EICARテストファイルダウンロードはこちらから。

なぜ検知できなかったのか?

実は、EICARテストファイルの中身は68バイトの文字列が記載された、ただのテキストファイルです。
内容は以下の通りです。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

この内容はWikiにも掲載されていますので参考までに。。

インターネットに繋がらない環境の場合、先程のサイトからダウンロードすることができないので、手入力することもしばしばあります。
結果的にウイルス検知されなかったのは、ただの入力ミスだと判明しましたw
どこが間違っていたのか、わかりやすく並べてみました!

# 誤×
X50!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
# 正○
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

もうおわかりでしょう!
そうです、左から3番目は「0(ゼロ)」ではなく、大文字のアルファベット「O(オー)」でした!
いや〜ただの凡ミスでお恥ずかしい限りです。。
皆さんもオフライン環境で手入力しなければならなかった場合は気をつけましょうね!

Windowsや外部メディア媒体

余談ですが、他にもWindows上で検知されない問題もありました。
Windowsには特別にソフトを入れなくても、標準のセキュリティソフトWindows Defender」があり、当然、EICARテストファイルウイルスとして検知することができます。
Wikiに書いてある通り、拡張子を「.com」に変更しても検知されない場合は、ファイルをダブルクリックして実行してみてください。

その他、オフライン環境で手入力が面倒な場合、外部メディア媒体から取り込むことを考えるでしょう。
しかし、これがまた曲者で、ファイルを作成、またはダウンロードする端末でもウイルスとして検知されるので、外部メディアに書き込む前に隔離されてしまいます。
EICARテストファイルを作る際は、一旦セキュリティソフトを全て停止してから作業を行いましょう。
さらに、USBメモリなどに入れる場合は、セキュリティソフトが起動しているパソコンに差し込むとすぐに隔離してしまうので、読み込み専用CDまたはDVDに書き込むことをお勧めします!

セキュリティソフトのほとんどはリアルタイムスキャンを行っているため、ダウンロード、または作成した時点ですぐに検知され、ファイルを隔離するので、ファイルが突然消えたような印象でした。
本当に検知したの?と思ったらログを確認してみてくださいね。

The post EICARテストファイルを手入力で作成すると検知されないのはなぜ? first appeared on Minory.


Amazonベストセラー

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA