EICAR-Testdatei – Wikipedia

Meldung der Eicar-Testdatei bei der Ausführung unter MS-DOS oder Microsoft Windows.

Die EICAR-Testdatei (Eigenbezeichnung: THE ANTI-VIRUS OR ANTI-MALWARE TEST FILE) ist ein vom European Institute for Computer Antivirus Research (EICAR) und der Computer AntiVirus Research Organization entwickeltes Testmuster, mit dessen Hilfe die Funktion von Antivirenprogrammen getestet werden kann.[1]

Bei der Datei handelt es sich um eine Textdatei mit 68 ASCII-Zeichen und einer daraus resultierenden Dateigröße von 68 bis 70 Byte, falls der Wagenrücklauf und/oder Zeilenvorschub am Ende der Datei im Texteditor angefügt wurden. Der Text kann somit in jeden beliebigen Texteditor eingegeben werden. Die Datei ist gutartig und richtet keinerlei Schaden an, sollte jedoch von allen Virenscannern als Virus erkannt und angezeigt werden. Damit lässt sich beispielsweise testen, ob ein Virenscanner ein Archiv korrekt lesen kann.

Die EICAR-Testdatei wurde so entwickelt, dass sie unter MS-DOS und kompatiblem Microsoft Windows eine ausführbare COM-Datei bildet. Wenn sie ausgeführt wird, gibt sie die Meldung EICAR-STANDARD-ANTIVIRUS-TEST-FILE! auf dem Bildschirm aus und beendet sich danach selbst. Jedoch ist sie inkompatibel zu 64-Bit-Microsoft-Windows-Betriebssystemen, weil dort die Kompatibilität zu 16-Bit-Software gestrichen wurde. Trotz dieser Inkompatibilität wird sie jedoch auch von allen gängigen Antivirenprogrammen auf 64-Bit-Systemen erkannt und als EICAR-Testfile identifiziert.

Inhalt der Datei

[Bearbeiten | Quelltext bearbeiten]

Die in der ausführbaren Datei verwendeten Maschinensprachen-Befehle sind so ausgewählt, dass lediglich sichtbare Zeichen des 7-Bit-ASCII-Zeichensatzes vorkommen. Dadurch werden Zeichensatzfehler weitgehend ausgeschlossen und die Datei kann mit jedem Texteditor erzeugt werden.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 

Um die vorzeitige Erkennung und Blockierung der Testdatei durch Antivirenprogramme zu vermeiden, wird sie nicht nur als COM-Datei, sondern auch als lediglich umbenannte Textdatei sowie komprimiertes ZIP-Archiv zum Download angeboten.

Das Ausführen der EICAR-Testdatei wird von Antivirenprogrammen mit Echtzeitschutz verhindert.

Virenscanner erkennen die Datei meistens unter folgenden Namen:

  • Analog zur EICAR-Testdatei wird bei Anti-Spam-Lösungen auch der GTUBE-String verwendet.
  • Auf der englischen Website von Microsoft wird die EICAR-Testdatei korrekt als Virus-Dummy beschrieben - Aber widersprüchlicherweise dennoch mit der Warnstufe "severe", zu deutsch "schwerwiegend". In Microsofts Anti-Malware-Programmen, wie z. B. Microsoft Security Essentials oder Windows Defender, wird beim Fund der Testdatei ebenfalls vor einer angeblich schwerwiegenden Infektion gewarnt.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. CARO. caro.org, abgerufen am 6. Februar 2017.