Fichier de test Eicar
From Wikipedia, the free encyclopedia
Le fichier de test Eicar est une chaîne de caractères, écrite dans un fichier informatique, destiné à tester le bon fonctionnement des logiciels antivirus. Il a été développé par l'European Institute for Computer Antivirus Research (EICAR) et par la Computer Research Organization Antivirus (en) (CARO), pour tester la réponse des logiciels antivirus à certains programmes. Il dispense des développeurs de l'antivirus ou ses utilisateurs finaux d'utiliser des logiciels véritablement malveillants — ce qui pourrait avoir des conséquences réelles néfastes.
Cet article ne cite pas suffisamment ses sources ().
- Bitdefender[1] :
EICAR-Test-File (not a virus) - ESET[1] :
Eicartest - FProt[1] :
Eicar_test_file - Kaspersky[1] :
EICAR-Test-File - Microsoft[1] :
Virus:DOS/EICAR_Test_File - Sophos[1] :
EICAR-AV-Test - Trend Micro[1] :
Eicar_test_file
| Nom technique |
Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue ! Comment faire ? |
|---|---|
| Type | Fichier de test de logiciel antivirus, non malveillant |
| Auteur | European Institute for Computer Antivirus Research (EICAR) |
| Système(s) d'exploitation affecté(s) | MS-DOS, Windows |
Utilisation
L'utilisation de la chaîne de test EICAR peut être plus polyvalente que la détection simple : un fichier contenant la chaîne de test EICAR peut être comprimé ou archivé, puis le logiciel antivirus peut être exécuté pour voir si elle peut détecter la chaîne de test dans le fichier compressé. Elle permet de tester aussi bien la détection du fichier que les mesures curatives prises par l'antivirus (suppression, mise en quarantaine (en), analyse approfondie…), ainsi que la journalisation de l'événement[2].
Reconnaissance
Ce fichier est édité par le centre de recherche EICAR (European Institute for Computer Antivirus Research), un organisme indépendant. Il a été publié quelques années après la première conférence de l'EICAR à Bruxelles en [3].
Il est ainsi reconnu par la majorité des éditeurs d'antivirus, tant commerciaux que libres. Cette détection est un standard de facto, mais n'est pas obligatoire[4].
Sur VirusTotal en , il est détecté par 61 antivirus sur 62[5].
Chaîne de caractères
Pour tester un antivirus, il suffit de créer un fichier texte de 68 octets contenant les caractères suivants[6] :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Note : Le troisième caractère est la lettre 'O' majuscule et non le chiffre zéro.
Le fichier peut contenir plus de 68 caractères, mais la chaîne à détecter doit constituer les 68 premiers caractères du fichier ; si elle est située ailleurs dans le fichier, elle sera le plus souvent ignorée[7].
Ce fichier ne contient pas de virus, mais une signature qui doit être détectée par le logiciel antivirus si celui-ci repose sur une méthode de recherche par signature. Il peut être renommé en fichier .COM, pour en faire un fichier exécutable sous MS-DOS valide, inoffensif et affichant « EICAR-STANDARD-ANTIVIRUS-TEST-FILE! ».
Propriété inusuelle pour un programme en langage machine, le code ne contient que des caractères ASCII affichables, ce qui lui permet d'être saisi dans un éditeur de texte standard. Cette contrainte entre en conflit avec le fait que la seule manière d'afficher du texte à l'écran pour un programme DOS est d'utiliser une interruption ; or toutes les interruptions x86 commencent par l'octet 0xCD (205) qui est hors de la plage ASCII (0–127)[8]. Ce problème est contourné en utilisant du code automodifiable[9].
