Utilisation du fichier de test EICAR avec les produits McAfee
Articles techniques ID:
KB59742
Date de la dernière modification : 25/02/2021
Environnement
Tous les produits anti-malware McAfee
McAfee Endpoint Security (ENS) Prévention contre les menaces 10.x
McAfee VirusScan Enterprise (VSE) 8.8
Fichier de test du logiciel anti-malware de l’Institut anti-virus Research (EICAR) européen
Synthèse
L’Institut européen pour EICAR a développé le fichier de test anti-malware EICAR. Le fichier de test EICAR est un programme DOS légitime qui est détecté comme logiciel malveillant par un logiciel antivirus. Lorsque le fichier de test s’exécute correctement (s’il n’est pas détecté et bloqué), il affiche le message. "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".
Il existe deux façons d’obtenir le fichier de test EICAR Standard :
Téléchargez le fichier directement à partir de www.eicar.org.
Utilisez un éditeur de texte pour créer le fichier :
Ouvrez un éditeur de texte tel que le bloc-notes.
Copiez la chaîne suivante dans le nouveau fichier :
NOTE: Le troisième caractère est la lettre majuscule 'O', et non le chiffre zéro.
Enregistrer le fichier souseicar.com.
Il existe plusieurs façons d’utiliser le fichier de test EICAR pour vérifier que votre logiciel de sécurité fonctionne correctement.
Veuillez Si vous utilisez un fichier de test EICAR avec votre produit antivirus McAfee, il est important de noter que bien que vous puissiez détecter le fichier et le bloquer ou le mettre en quarantaine, vous vient Nettoyez-le. Cela s’explique par le fait que le fichier EICAR ne contient pas de code viral’réel'. Le fichier de test EICAR est conçu pour que la plupart des produits antivirus y réagissent comme s’il s’agissait d’un virus réel. Cependant, toute tentative de nettoyage du fichier EICAR échoue. Ce comportement est attendu.
Contenu
Cliquez pour développer la section que vous souhaitez afficher :
Pour vérifier que votre analyseur à l’accès fonctionne, désactivez l’analyse à l’accès. Ensuite, copiez le fichier de test EICAR sur votre système et essayez de l’exécuter.
Désactivez l’analyse à l’accès.
NOTE: Cette procédure varie en fonction de votre système d’exploitation et de votre produit. Reportez-vous au Guide produit correspondant à votre logiciel.
Pour accéder aux documents sur les produits McAfee, rendez-vous sur le portail de documentation des produits pour entreprises, à l'adresse https://docs.mcafee.com.
Enregistrez ou créez une copie du fichier de test EICAR.
Cliquez sur l’analyse à l’accès.
Essayez de démarrer le fichier EICAR.
Si la analyseur à l’accès fonctionne correctement, elle est détectée comme un logiciel malveillant (Malware).
Pour vérifier que votre analyseur à la demande fonctionne, copiez le fichier de test EICAR sur votre système. Ensuite, exécutez une analyse contextuelle sur celui-ci.
Enregistrez ou créez une copie du fichier de test EICAR.
Cliquez sur l’analyse à la demande.
Cliquez avec le bouton droit sur le fichier EICAR, puis sélectionnez Rechercher des menaces dans le menu contextuel.
Si la analyseur à la demande fonctionne correctement, elle est détectée comme un logiciel malveillant (Malware).
Pour vérifier que votre analyseur d’E-mails à la réception fonctionne, utilisez un utilitaire Telnet pour vous connecter afin de pouvoir envoyer la chaîne de test EICAR à un destinataire connu. Si vous tentez d’envoyer un e-mail contenant la chaîne de test EICAR à partir de votre client de messagerie local, votre logiciel antivirus détecte la chaîne de test et la bloque.
Appuyez sur Windows + R, saisissez cmd, puis appuyez sur entrée.
Saisissez telnet25 (où est le nom du serveur SMTP (sortant) de votre serveur de messagerie ou de votre fournisseur) et appuyez sur entrée.
Saisissez HELO ou "EHLO" et appuyez sur entrée.
Saisissez MAIL FROM:you@server.comet appuyez sur entrée. Vous recevez la réponse suivante : 250 ok
Saisissez RCPT TO:yourname@yourserver.com et appuyez sur entrée. Vous recevez la réponse suivante :250 ok
Saisissez DATA et appuyez sur entrée pour écrire le message.
Sur la première ligne, tapez SUBJECT:yoursubjectet appuyez deux fois sur entrée.
Saisissez votre message, dans le cas présent la chaîne de test EICAR, puis appuyez sur entrée :
Saisissez un point (.) sur une ligne et appuyez sur Entrée pour envoyer votre message. Vous recevez une réponse similaire à l’un des exemples suivants :
Message accepted for delivery
250 OK id=`a long id`
Pour quitter Telnet, saisissez QUIT et appuyez sur entrée.
Si l’analyseur d’E-mails à la réception fonctionne correctement, il est détecté comme étant un logiciel malveillant (Malware).
Désactivez la règle de protection de l’accès pour empêcher l’arrêt des services McAfee :
Cliquez sur Démarrer, Programmes, McAfee, Console VirusScan.
Cliquez avec le bouton droit de la souris sur Protection de l'accès puis sélectionnez Propriétés.
Cliquez sur l'onglet Protection de l’accès.
Dans le coin inférieur gauche, désélectionnez Empêcher l’arrêt des services McAfee.
Cliquez sur Appliquer puis sur OK.
Arrêtez le service McShield :
Appuyez sur Windows + R, saisissez services.msc, puis cliquez sur OK.
Cliquez avec le bouton droit sur McAfee McShield et sélectionnez Arrêter.
Enregistrer une copie de EICAR.COM sur votre disque dur local.
Copié EICAR.COM à chaque dossier exclu que vous souhaitez tester.
Démarrez le service McShield :
Appuyez sur Windows + R, saisissez services.msc, puis cliquez sur OK.
Cliquez avec le bouton droit sur McAfee McShield et sélectionnez Démarrer.
Fermez la fenêtre Services.
Exécute EICAR.COM:
Accédez à chaque dossier où EICAR.COM a été copié.
Double-cliquez sur EICAR.COM dans chaque dossier exclu. Si les exclusions sont configurées correctement, EICAR.COM s’exécute sans être détecté. Vous pouvez vérifier ce résultat en exécutant également le fichier dans un emplacement non exclu afin de vérifier que l’échantillon EICAR que vous utilisez est détecté. VSE détecte EICAR.COM virus et empêche son exécution.
Réactivez la règle de protection de l’accès pour empêcher l’arrêt des services McAfee :
Cliquez sur Démarrer, Programmes, McAfee, Console VirusScan.
Cliquez avec le bouton droit de la souris sur Protection de l'accès puis sélectionnez Propriétés.
Cliquez sur l'onglet Protection de l’accès.
Dans l’angle inférieur gauche, sélectionnez Empêcher l’arrêt des services McAfee.
Cliquez sur Appliquer puis sur OK.
Fermez la console VirusScan.
Pour vérifier que votre logiciel antispyware fonctionne correctement, créez un EICAR-PUO fichier de test. Cette EICAR-PUO Testez les fonctions des fichiers de la même manière que la chaîne de test EICAR Standard. Cependant, AntiSpyware détecte qu’il s’agit d’un programme potentiellement indésirable au lieu d’un virus.
Pour créer le EICAR-PUO fichier de test :
Ouvrez un éditeur de texte tel que le bloc-notes.
Copiez la chaîne suivante dans le nouveau fichier :
Saisissez le nom du fichier, puis cliquez sur Enregistrer.
REMARQUES :
Pour que le fichier soit facilement reconnaissable, Support technique vous recommande d’enregistrer le fichier en tant que EICAR-PUO.COM. La taille du fichier enregistré est d’environ 68 à 70 octets.
Toutes les fonctionnalités de la détection EICAR Standard restent vraies pour EICAR-PUO.
Cette EICAR-PUO le fichier de test est identifié sous le vérifier de la même façon que le fichier de test EICAR Standard.
EICAR-PUO est un fichier de test AntiSpyware. Vous devez donc activer la détection de programmes potentiellement indésirables.
Pour vérifier que l’analyse AMSI fonctionne correctement, activez AMSI dans la stratégie Endpoint Security et exécutez une commande PowerShell EICAR sur le système.
Veuillez AMSI fonctionne uniquement avec un système d’exploitation qui le prend en charge (par exemple, Windows 10 et Windows Server 2016).
Cliquez sur l’intégration de AMSI dans ENS.
Démarrez PowerShell et exécutez la commande suivante :
Vérifiez qu’une détection est déclenchée pour la menace : EICAR!ams!XXXXX
Pour vérifier que l’analyse ScriptScan fonctionne correctement, activez ScriptScan dans la stratégie Endpoint Security, puis créez un fichier HTML EICAR :
Cliquez sur ScriptScan dans la stratégie Endpoint Security.
Cliquez sur le plug-in ScriptScan dans le navigateur.
Ouvrez un éditeur de texte, tel que le bloc-notes.
Créer une eicar.html pièces. Ajoutez le contenu ci-dessous dans le fichier :
Veuillez Modifiez le chemin d’accès source dans le code HTML pour référencer l’emplacement où eicar.html est créé (par exemple, C:\temp\eicar.html).
An Eicar Test
Click the button
Création d’un exclusion dans la stratégie analyse à l’accès pour eicar.js. Si le exclusion n’est pas créé, l’analyse à l’accès détecte le virus EICAR au lieu de ScriptScan.
Ouvrez un éditeur de texte, tel que le bloc-notes.
Créer une eicar.js fichier dans C:\temp. Ajoutez le contenu ci-dessous dans le fichier.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Ouvrir Internet Explorer et ouvrir C:\temp\eicar.html. Cliquez sur l' Essaie Button.
Vérifiez qu’un message contextuel s’affiche. Le message indique que Internet Explorer restreint cette page Web à l’exécution de scripts ou de contrôles ActiveX.»
Vérifiez qu’une détection est déclenchée pour la menace : JC/Eicar
Informations connexes
NOTE: Cet article combine le contenu initialement publié dans les articles KB55194, KB54228, KB59742 et KB50133.
ID du document précédent
613376
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
