Este é o arquivo de texto para teste de antivírus EICAR, o qual é detectado como um vírus pela maioria dos fornecedores de programas antivírus (AV).
Funciona assim, crie um novo arquivo com o Bloco de Notas (Notepad), digite (copie e cole) os seguintes caracteres, exatamente como estão:
Salve o arquivo como .com com qualquer nome (eicar.com, por exemplo).
No momento que você tentar gravar ou ao tentar executar o arquivo, se o seu antivírus estiver ativo e residente na memória, ele já deveria apontar o arquivo como um vírus.
Esse é um arquivo de texto desenvolvido pelo European Institute for Computer Antivirus Research (EICAR) para que fosse criada uma assinatura padrão inofensiva para que o próprio usuário possa testar sua proteção contra vírus sem a necessidade de expor o sistema a um vírus real.
O arquivo gerado é um executável do Windows (arquivo de comando) que apenas mostra a mensagem EICAR STANDARD ANTIVIRUS TEST FILE na tela e possui alguns comandos em linguagem de máquina para constituir uma assinatura única para o teste.
Um problema que você poderá se defrontar é que o arquivo poderá ficar inacessível para ser apagado (dependendo de como o seu programa AV trata as possíveis ameaças).
Isso está previsto no site da EICAR que diz que ela não dá suporte para os usuários de antivírus.
Porém, normalmente, o seu antivírus oferece a opção de colocar o arquivo em quarentena e muda a extensão dele. Ou o coloca em um banco de dados interno do AV (o que apaga o arquivo do local original) com a opção de apagar o arquivo do banco posteriormente.
O programa não mostrará a mensagem em sistemas operacionais de 64 bits devido a limitações do ambiente de 16 bits para o qual o teste foi feito. Contudo, isso não impede o AV de apontá-lo como um vírus, caso esteja ativo.
Mas esse é o espírito. Essa pode ser uma ótima oportunidade de você saber como o seu AV vai reagir quando (e se) encontrar uma ameaça real e o que acontecerá com o arquivo. :-D
A seguir, a listagem do código assembly do arquivo de teste EICAR. Uma explicação mais detalhada pode ser vista aqui (em inglês).
xxxx:0100 58 POP AX xxxx:0101 354F21 XOR AX,214F xxxx:0104 50 PUSH AX xxxx:0105 254041 AND AX,4140 xxxx:0108 50 PUSH AX xxxx:0109 5B POP BX ;--> Coloca 0140 em BX xxxx:010A 345C XOR AL,5C xxxx:010C 50 PUSH AX xxxx:010D 5A POP DX ;--> Coloca 011C em DX xxxx:010E 58 POP AX xxxx:010F 353428 XOR AX,2834 xxxx:0112 50 PUSH AX xxxx:0113 5E POP SI xxxx:0114 2937 SUB [BX],SI ;--> Muda bytes em 140-141 xxxx:0116 43 INC BX xxxx:0117 43 INC BX xxxx:0118 2937 SUB [BX],SI ;--> Muda bytes em 142-143 xxxx:011A 7D24 JGE 0140 ;--> Pula os dados da mensagem para ; suas suas última instruções xxxx:011C 45 49 43 41 52 2D 53 54 41 EICAR-STA xxxx:0125 4E 44 41 52 44 2D 41 4E 54 NDARD-ANT Dados de texto xxxx:012E 49 56 49 52 55 53 2D 54 45 IVIRUS-TE Dados da mensagem exibida xxxx:0137 53 54 2D 46 49 4C 45 21 24 ST-FILE!$ pelo programa. xxxx:0140 CD21 INT 21 ;--> Função do DOS 09h: ; Exibe o texto. xxxx:0142 CD20 INT 20 ;--> Função que finaliza o programa.
O arquivo pode ser comprimido (zipado) para testar se o seu antivírus conseguiria detectá-lo mesmo sob outras condições. Você pode também fazer um backup (o que mudaria o atributo Archive), criptografá-lo etc. Contudo, tenha em mente que esse teste é apenas para verificar, com segurança, se a sua proteção está ativa. E não é uma prova para estressar seu antivírus levando seu algoritmo de detecção de ameaças ao limite.
Contudo, é sempre bom saber se as defesas imunológicas de seu computador estão funcionando.
Créditos: blog.brasilacademico.com
Coloque aqui o seu email