Что такое тестовый вирус

Обновлено: 19.04.2024

Обычно веб-ресурсы, подозреваемые в распространении вирусов, пользователи Интернета обходят стороной. Но это обыватели, а вот энтузиастам может прийти в голову идея отследить поведение вируса или протестировать какое-то средство защиты компьютера, чтобы убедиться в его эффективности. Конечно, есть и тип людей, которые могут использовать вирусы в своих дурных целях. Распространителям вирусов вряд ли потребуется совет, где скачивать их, поскольку часто распространителями вирусов являются их создатели. А вот обиженных людей, не умеющих создавать вредоносное ПО, но преследующих злостную цель отомстить кому-то, может посетить идея скачать вирус и подселить его обидчику. Совет таковым – отказаться от своей затеи. Ниже будут приведены способы скачивания вирусов сугубо в исследовательских целях. Что является вполне законным действом: любой пользователь компьютера может скачивать и запускать вредоносное ПО на принадлежащем ему компьютере. В этих же действиях, но выполненных относительно чужого компьютерного устройства с целью нанести его владельцу вред, усматривается состав преступления статей:

- 273 УК Российской Федерации,

- 361-1 УК Украины,

- 354 УК Республики Беларусь.

За распространение вредоносных программ по закону РФ можно получить максимум до 4-х лет лишения свободы. В Украине и Белоруссии закон мягче – максимально 2 года лишения свободы. Это санкции первой части указанных статей, где не предусматривается групповое участие в преступлении, рецидив и тяжкие последствия. Отягчающие обстоятельства, соответственно, ужесточают наказание.

Итак, где скачать вирусы, чтобы проверить эффективность используемого антивируса?

1. Тестовый файл Eicar

Для тестирования предлагаемого защитного ПО Лаборатория Касперского на своем официальном сайте выложила специальный тестовый вирус Eicar. Вирусом Eicar назван лишь условно, это скорее нечто симулятора вируса. Eicar на самом деле является совершенно безобидным файлом, специально созданным для тестирования антивирусов. Антивирусы его должны расценить как угрозу и обезвредить. Если антивирус не обнаружил Eicar, такой антивирус считается неэффективным.

С помощью Eicar можно решить лишь одну-единственную задачу – определить, соответствует ли уровень защиты антивируса минимальным требованиям защитного ПО. Практически все современные антивирусы идентифицируют Eicar в качестве угрозы. Основательно об эффективности того или иного антивируса можно говорить лишь по итогам проведения тестов различных угроз, причем реальных, а не симуляторов. Ниже будут предложены веб-сервисы для скачивания реальных вирусов. Совет экспериментаторам: тестирование защитного ПО с участием реальных угроз лучше проводить на виртуальных машинах с удалением дополнений, отвечающих за интеграцию основной и гостевой ОС, или хотя бы с временным отключением функций этих дополнений (общие папки, двунаправленный буфер обмена и т.п.).

2. Веб-сервис Malc0de

Конкретные вирусы можно искать с помощью поиска по сайту. В последней графе таблицы, перейдя по ссылке, по представленным на сайте вирусам можно получить отчет известного веб-сервиса VirusTotal. В отчете VirusTotal, кстати, можно посмотреть, какие антивирусы сочли тот или иной вирус угрозой, а какие пропустили его. Пара-тройка таких отчетов VirusTotal по новейшим вирусам, возможно, поможет определиться с выбором тем, кто ищет надежный антивирус.

3. Веб-сервис Malshare

5. Особенности скачивания вирусов

Аннотация: Эта лабораторная работа позволяет изучить принципы диагностики антивирусной защиты, проверить работоспособность установленного Антивируса Касперского, получить навыки работы с резервным хранилищем и карантином

Сценарий. Завершающий этап установки любой программы - это проверка корректности выполнения основных ее функций. Для антивирусных приложений основу функционала составляет способность находить и обезвреживать вредоносные программы.

Естественно, встает вопрос как проверить действительно ли программа может это делать - ведь известно, что новые вирусы появляются каждый день, причем десятками, а иногда и сотнями. Не каждому пользователю под силу регулярно отслеживать хотя бы их часть. Этим занимаются антивирусные компании. Их филиалы, разбросанные по всему миру, непрерывно следят за вирусной активностью в Интернет , перехватывают и анализируют все подозрительные файлы. На основе полученных данных формируются вирусные сигнатуры, которые рядовой пользователь получает во время обновления своих антивирусных баз 1 Процедура обновления антивирусных баз изучается в следующей лабораторной работе . Таким образом, проверить надежность антивирусной защиты от всех уже существующих вирусов и тех, которые только завтра или через год будут созданы, нереально. К тому же, использовать настоящие вирусы только для предварительного тестирования программы нельзя. Нельзя исключать вероятность , что программа установки где-то дала сбой и следовательно защита не установлена. Тогда во время проверки может произойти заражение вирусом, на котором производится тестирование, что недопустимо.

Но несмотря на все эти проблемы, метод диагностики антивирусных программ все же существует. Для этого используется специальный файл , " The Anti- Virus or Anti-Malware test file ", созданный Европейским институтом компьютерных антивирусных исследований (European Institute for Computer Antivirus Research).

В задании 1 этой лабораторной работы предлагается познакомиться с тестовым вирусом, в заданиях 2, 3 и 4 - протестировать работу установленного ранее Антивируса Касперского 6.0, параллельно изучив структуру резервного хранилища и карантина.

Подготовка

Перед началом лабораторной работы убедитесь, что Ваш компьютер :

Включен
На нем загружена операционная система Microsoft Windows XP или Microsoft Windows 2000 Professional
Выполнен вход в систему под учетной записью, обладающей правами администратора

Задание 1. Тестовый вирус

Тестовый вирус , разработанный Европейским институтом компьютерных антивирусных исследований, называется EICAR - по аббревиатуре полного названия института (European Institute for Computer Antivirus Research).

Для более подробного тестирования можно применять другие расширения. Например, если указать .txt , можно проверить проверяются ли текстовые файлы . Для проверки будут ли обнаруживаться вирусы в архивах, EICAR можно заархивировать.

Если открыть EICAR в каком-либо текстовом редакторе, например Блокнот ( Notepad ), то обнаружится, что он состоит из 68 символов:

Следовательно, тестовый вирус в любой момент можно создать самостоятельно. Для этого нужно только открыть любой текстовый редактор , набрать в нем эту строку и сохранить получившийся файл в формате текстового файла (обычный текст).

Суть EICAR такова, что он оказывается неизлечимым. Это происходит потому, что антивирус идентифицирует EICAR как вирус по наличию в нем упомянутых 68 символов. Если их удалить - то от файла ничего не останется. Следовательно, с помощью EICAR можно тестировать только основную функцию антивируса - обнаружение.

Поэтому для тестирования своих продуктов Лаборатория Касперского предлагает использовать модифицированный тестовый вирус , а именно:

В этом задании нужно создать тестовые вирусы EICAR , CURE -EICAR и SUSP-EICAR .

Подготовка

Перед началом лабораторной работы убедитесь, что Ваш компьютер :

Включен
На нем загружена операционная система Microsoft Windows XP или Microsoft Windows 2000 Professional
Выполнен вход в систему под учетной записью, обладающей правами администратора

Задание 1. Тестовый вирус

В этом задании нужно создать тестовые вирусы EICAR , CURE -EICAR и SUSP-EICAR .

Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.

Если вас заинтересовала данная тема, то добро пожаловать под кат…

Check Point CheckMe – Мгновенная проверка безопасности
Начать обзор хотелось бы с инструмента, который делает комплексный анализ уровня защищенности вашего межсетевого экрана (будь то UTM или NGFW). Это Check Point CheckMe.

Данный сервис включает в себя серию тестов, которая проверяет ваш компьютер и сеть на уязвимость от вымогателей, фишинга, атак нулевого дня, бот сетей, инъекций кода, использования анонимайзеров и утечки данных.

Как работает CheckMe?

Пройдите по ссылке.
Запустите сканирование в вашем браузере.
Ваш браузер обменяется данными с сервисом CheckMe для анализа безопасности вашей сети (без какого-либо реального риска для вашей сети)

Какие угрозы проверяются?
CheckMe имитирует различные сценарии, которые могли бы стать отправной точкой для следующих векторов атак:

1) Угроза — ПО для вымогательства

Этот тест загружает тестовый файл вирус (EICAR-Test-File) через вашу сеть.

2) Угроза — Кража личных данных/ Фишинговые атаки

Этот тест генерирует подключения к фишинговым и вредоносным сайтам через вашу сеть.
Успешная попытка подключения свидетельствует, что вы могли бы стать жертвой фишинговой атаки и ваша личная информация может быть украдена.

CheckMe имитирует этот тест путем загрузки файла favicon.ico из следующих сайтов:

3) Угроза — Атаки нулевого дня

Этот тест, загружает файлы в различных форматах, которые часто используются в атаках нулевого дня.

CheckMe имитирует этот тест, загружая следующие файлы:

4) Угроза — Атака на браузер

Этот тест проверяет, защиту вашей сети от Cross-Site Scripting (XSS), инъекций SQL и инъекций команд.

CheckMe имитирует этот тест путем подключения к следующим тестовым сайтам:

5) Угроза — Инфицирование ботом

6) Угроза — Использование анонимайзеров

7) Угроза — Утечка конфиденциальных данных

Все тесты безопасны и не представляют никакого риска для устройств пользователя и сети!
Администратор может увидеть предупреждения в системе безопасности, которые уведомляют о моделировании испытаний.

Тест от Fortinet

Также будет интересна проверка, которую предоставляет Fortinet. Тест не такой комплексный и в общем смысле проверяет различные способы доставки тестового вируса (eicar). Проверяется возможность скачивания файла eicar в открытом виде, в виде архивов различной степени вложенности (архив в архиве — до 10 степеней вложенности). Сами архивы нескольких видов: zip, rar, tar, cab, 7zip. Также есть запароленный архив. По результатам вы сможете увидеть с каким типом угроз ваши системы не справляются.

Здесь мы также можем скачать тестовый файлик и возможны следующие варианты:

Online песочницы (sandbox)

Не буду подробно рассматривать вопрос “Что такое песочница?”, тем более, что чуть позже мы посвятим этому небольшой цикл статей. Основная задача песочниц — запустить файл и посмотреть, что после этого будет. По результатам выдается вердикт о вредоносности этого файла. Песочницы помогают бороться с зловредами, которые обычные антивирусы никак не определяют. Есть несколько online сервисов, где вы можете проверить файлы в песочнице:

Online антивирус

Здесь можно было бы привести десятки ссылок, т.к. почти каждый уважающий себя антивирус имеет online сканер. Однако почти все эти ссылки можно заменить одной — VirusTotal

Ресурс позволяет сканировать файлы и ссылки на предмет зараженности. При этом анализ производится с помощью множества антивирусов и можно видеть вердикт по каждому из них.
Очень интересен функционал проверки url. С помощью него вы сможете проверить эффективность вашего Proxy или средства защиты Web-трафика. Найдите вирусный сайт, проверьте его в virustotal, а затем посмотрите откроется ли он через ваш proxy.

Online Firewall и Port Scanners
Эти инструменты могут также пригодится при тесте своей сети:

EmailSecurityCheck
Данный ресурс позволит проверить защищенность вашего почтового сервера. Для этого будет отправлено несколько писем с тестовыми вирусными файлами, которые упакованы различными способами. Если любое из этих писем вы все же получили, то это повод задуматься над безопасностью вашего email-сервера.

Воспользовавшись приведенными сервисами можно сделать некоторые выводы относительно эффективности существующих средств защиты. Обратите внимание не только на эффективность защиты, но и на процесс обнаружения инцидентов. Вы должны быть максимально информированы о всех ИБ событиях. Достигается это либо с помощью встроенных средств (email alert, dashboard-ы устройств и т.д.) либо сторонних (SIEM или Log-managment системы).

Следующим логичным шагом будет проведение аудита сетевой безопасности. Это можно сделать как с помощью CheckPoint, так и с помощью Fortinet, причем бесплатно. Более подробно об этом можно почитать здесь и здесь. Мы уже частично описали архитектуру решений Check Point и в следующих постах опишем, как с его помощью сделать бесплатный аудит безопасности сети.

Читайте также: