KAV не ловит тестовый вирус
Модератор: Модераторы
Сообщений: 2
• Страница 1 из 1
- blackpepper
- Пользователь
- Сообщения: 58
- Зарегистрирован: 28 окт 2004, 08:53
blackpepper » 24 янв 2005, 13:30
В составе KAV 4.5 для Workstation есть dll , содержащая тестовый вирус Eicar.
Почему KAV его не видит? Антивирусы других производителей сразу его определяют.
Почему KAV его не видит? Антивирусы других производителей сразу его определяют.
GifteD » 24 янв 2005, 14:14
Не совсем так 
Под именем "EICAR-Test-File" детектируется небольшой 68-байтный COM-файл, который вирусом НЕ ЯВЛЯЕТСЯ, а всего лишь выводит текстовое сообщение и возвращает управление DOS.
Для чего это нужно?
Некоторое время назад разработчики нескольких антивирусных программ начали включать в свои пакеты подобные файлы, которые вирусами не являются, но определяются антивирусом как вирус. Это было вызвано интересом со стороны пользователей, которые "живых" вирусов не имеют, но желают посмотреть, каким образом антивирус реагирует на вирусы, какие сообщения при этом выводит и какие действия предлагает совершить пользователю.
Спустя некоторое время разработчики антивирусных программ решили выработать единый стандарт на подобный "симулятор вируса", а спустя еще некоторое время пришли к выводу, что эта программа должна состоять только из текстовых сообщений. Это необходимо для того, чтобы наиболее любопытные пользователи могли набить ее самостоятельно (например, под диктовку по телефону или переписав из документации).
В результате этот COM-файл выглядит так:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Если вырезать это строку или набить ее командой "COPY CON > TEST.COM", то получанный COM-файл при запуске выводит сообщение:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
и возвращает управление DOS - ничего более, но многие антивирусные программы будут детектировать его как "EICAR test file" или типа того.
AVP детектирует этот файл только при подключенной базе EICAR.AVC, данная запись была вынесена из основной антивирусной базы по просьбам пользователей.
Под именем "EICAR-Test-File" детектируется небольшой 68-байтный COM-файл, который вирусом НЕ ЯВЛЯЕТСЯ, а всего лишь выводит текстовое сообщение и возвращает управление DOS.
Для чего это нужно?
Некоторое время назад разработчики нескольких антивирусных программ начали включать в свои пакеты подобные файлы, которые вирусами не являются, но определяются антивирусом как вирус. Это было вызвано интересом со стороны пользователей, которые "живых" вирусов не имеют, но желают посмотреть, каким образом антивирус реагирует на вирусы, какие сообщения при этом выводит и какие действия предлагает совершить пользователю.
Спустя некоторое время разработчики антивирусных программ решили выработать единый стандарт на подобный "симулятор вируса", а спустя еще некоторое время пришли к выводу, что эта программа должна состоять только из текстовых сообщений. Это необходимо для того, чтобы наиболее любопытные пользователи могли набить ее самостоятельно (например, под диктовку по телефону или переписав из документации).
В результате этот COM-файл выглядит так:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Если вырезать это строку или набить ее командой "COPY CON > TEST.COM", то получанный COM-файл при запуске выводит сообщение:
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!
и возвращает управление DOS - ничего более, но многие антивирусные программы будут детектировать его как "EICAR test file" или типа того.
AVP детектирует этот файл только при подключенной базе EICAR.AVC, данная запись была вынесена из основной антивирусной базы по просьбам пользователей.
Сообщений: 2
• Страница 1 из 1
Вернуться в Антивирус от "Лаборатории Касперского"
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11