Перевірка працездатності

На головну  Назад  Вперед

Існує стандартний тест, що дозволяє перевірити працездатність антивірусних програм, які використовують сигнатурні методи виявлення загроз. З цією метою застосовується спеціальний тест EICAR (European Institute for Computer Anti-Virus Research), розроблений однойменною організацією. Цей тест розроблений для того, щоб користувач, не наражаючи свій комп'ютер на небезпеку, міг побачити, як встановлений антивірус сигналізуватиме про виявлення вірусу.

Програма, що використовується для тесту EICAR, не є шкідливою, але спеціально визначається більшістю антивірусних програм як вірус. Антивірусні продукти Dr.Web називають цей «вірус» таким чином: EICAR Test File (NOT a Virus!). Приблизно так його називають й інші антивірусні програми. Тестова програма EICAR є послідовністю з 68 байт, що створюють тіло виконуваного COM-файла для ОС MS DOS/MS Windows, в результаті виконання якого на консоль виводиться текстове повідомлення:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Тіло тестової програми складається тільки з текстових символів, які формують такий рядок:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Якщо ви створите файл, що містить наведений вище рядок, то в результаті вийде програма, яка і буде описаним «вірусом».

За коректної роботи Dr.Web для Linux цей файл має виявлятися при перевірці об'єктів файлової системи в будь-який доступний спосіб зі сповіщенням про виявлення загрози EICAR Test File (NOT a Virus!).

Приклад команди для перевірки працездатності продукту за допомогою тестової програми EICAR з командного рядка:

$ tail /opt/drweb.com/share/doc/drweb-common/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

Дана команда виділяє з файла /opt/drweb.com/share/doc/drweb-common/readme.eicar (постачається разом з продуктом) рядок, що є тілом тестової програми EICAR, записує його в файл testfile в поточному каталозі, проводить перевірку отриманого файла, після чого видаляє створений файл.

Для успішного проведення цього тесту вам необхідні права запису в поточний каталог. Окрім того, переконайтеся, що в ньому відсутній файл з іменем testfile (за необхідності змініть ім'я файла в команді).

При успішному виявленні тестового «вірусу» на екран буде виведене таке повідомлення:

<шлях до поточного каталогу>/testfile - infected with EICAR Test File (NOT a Virus!)

Якщо при перевірці буде отримане повідомлення про помилку, зверніться до опису відомих помилок.

Якщо в системі працює монітор файлової системи SpIDer Guard, при виявленні загрози файл може бути одразу видалений або переміщений до карантину (залежно від налаштувань компонента). В цьому випадку після повідомлення про виявлену загрозу команда rm повідомить про відсутність файла. Ця ситуація не є помилкою, а сигналізує про коректну роботу монітора.