Teste seu Antivírus com o Bloco de notas

Com uma simples linha de texto, sem riscos para seu computador, você pode atestar se seu antivírus está funcionando. Conheça o teste de antivírus EICAR.

Este é o arquivo de texto para teste de antivírus EICAR, o qual é detectado como um vírus pela maioria dos fornecedores de programas antivírus (AV).

Funciona assim, crie um novo arquivo com o Bloco de Notas (Notepad), digite (copie e cole) os seguintes caracteres, exatamente como estão:


X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


Salve o arquivo como .com com qualquer nome (eicar.com, por exemplo).

No momento que você tentar gravar ou ao tentar executar o arquivo, se o seu antivírus estiver ativo e residente na memória, ele já deveria apontar o arquivo como um vírus.

Esse é um arquivo de texto desenvolvido pelo European Institute for Computer Antivirus Research (EICAR) para que fosse criada uma assinatura padrão inofensiva para que o próprio usuário possa testar sua proteção contra vírus sem a necessidade de expor o sistema a um vírus real.

O arquivo gerado é um executável do Windows (arquivo de comando) que apenas mostra a mensagem EICAR STANDARD ANTIVIRUS TEST FILE na tela e possui alguns comandos em linguagem de máquina para constituir uma assinatura única para o teste.




Um problema que você poderá se defrontar é que o arquivo poderá ficar inacessível para ser apagado (dependendo de como o seu programa AV trata as possíveis ameaças).

Isso está previsto no site da EICAR que diz que ela não dá suporte para os usuários de antivírus.


Porém, normalmente, o seu antivírus oferece a opção de colocar o arquivo em quarentena e muda a extensão dele. Ou o coloca em um banco de dados interno do AV (o que apaga o arquivo do local original) com a opção de apagar o arquivo do banco posteriormente.


O programa não mostrará a mensagem em sistemas operacionais de 64 bits devido a limitações do ambiente de 16 bits para o qual o teste foi feito. Contudo, isso não impede o AV de apontá-lo como um vírus, caso esteja ativo.


Mas esse é o espírito. Essa pode ser uma ótima oportunidade de você saber como o seu AV vai reagir quando (e se) encontrar uma ameaça real e o que acontecerá com o arquivo. :-D

A seguir, a listagem do código assembly do arquivo de teste EICAR. Uma explicação mais detalhada pode ser vista aqui (em inglês).

 xxxx:0100 58            POP     AX
 xxxx:0101 354F21        XOR     AX,214F
 xxxx:0104 50            PUSH    AX
 xxxx:0105 254041        AND     AX,4140
 xxxx:0108 50            PUSH    AX
 xxxx:0109 5B            POP     BX       ;--> Coloca 0140 em BX

 xxxx:010A 345C          XOR     AL,5C
 xxxx:010C 50            PUSH    AX
 xxxx:010D 5A            POP     DX       ;--> Coloca 011C em DX

 xxxx:010E 58            POP     AX
 xxxx:010F 353428        XOR     AX,2834
 xxxx:0112 50            PUSH    AX
 xxxx:0113 5E            POP     SI
 xxxx:0114 2937          SUB     [BX],SI  ;--> Muda bytes em 140-141

 xxxx:0116 43            INC     BX
 xxxx:0117 43            INC     BX
 xxxx:0118 2937          SUB     [BX],SI  ;--> Muda bytes em 142-143

 xxxx:011A 7D24          JGE     0140     ;--> Pula os dados da mensagem para
                                             ; suas suas última instruções

 xxxx:011C  45 49 43 41 52 2D 53 54 41  EICAR-STA
 xxxx:0125  4E 44 41 52 44 2D 41 4E 54  NDARD-ANT        Dados de texto
 xxxx:012E  49 56 49 52 55 53 2D 54 45  IVIRUS-TE     Dados da mensagem exibida
 xxxx:0137  53 54 2D 46 49 4C 45 21 24  ST-FILE!$       pelo programa.

 xxxx:0140 CD21          INT     21       ;--> Função do DOS 09h:
                                             ; Exibe o texto.
 xxxx:0142 CD20          INT     20       ;--> Função que finaliza o programa.


O arquivo pode ser comprimido (zipado) para testar se o seu antivírus conseguiria detectá-lo mesmo sob outras condições. Você pode também fazer um backup (o que mudaria o atributo Archive), criptografá-lo etc. Contudo, tenha em mente que esse teste é apenas para verificar, com segurança, se a sua proteção está ativa. E não é uma prova para estressar seu antivírus levando seu algoritmo de detecção de ameaças ao limite.
Contudo, é sempre bom saber se as defesas imunológicas de seu computador estão funcionando. 


Créditos: blog.brasilacademico.com