EICARテストファイル

AVソフトウェアのテストで実際のコンピュータウイルスを使うと具体的なダメージが生じてAVソフトウェアが破損し、正しく動作できない可能性があるため、そのような問題を起こさずにAVソフトウェアのテストをすることを意図としている。EICARによれば、実際のウイルスを使ったテストは、ゴミ箱に火を放って火災報知機をテストすることにたとえられ、EICARテストファイルを使うことが安全な代替案として推奨されている。

AVソフトウェアのウイルススキャナーがこのファイルを発見すると、コンピュータウイルスを発見したときと全く同じ形で反応する様になっている。また、単純な検出よりも汎用性に優れている。例えばこのファイルをデータ圧縮したり、アーカイブしたりでき、そのような圧縮されたファイルについてもこのファイルを検出できるかをテストすることができる。

ファイル自体は単純なテキストファイルで、長さは通常68バイトであり、^[1]マイクロソフトのオペレーティングシステムやOS/2などで動作するCOMファイルと呼ばれる実行ファイルになっている。実行すると "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" と表示して停止する。このテスト文字列は人間の読めるASCII文字だけで構成されるよう工夫されていて、通常のキーボードで容易に作成できる。自己書き換えコードになっている。

メモ帳で下記の文字列を入力し、拡張子を.comとしてセーブすることで作成できる。しかし、AVソフトウェアがリアルタイムスキャンを実行している場合、メモ帳に入力する過程でこのファイルが検知される場合があるので、AVソフトウェアが動作している状態でこのファイルを作成することは困難である。その場合は、一時的に監視動作を停止させるか、EICARのサイトからダウンロードすることができる。

EICARテスト文字列は次の通り:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*