Come utilizzare il file di test EICAR con i prodotti McAfee
Articoli tecnici ID:
KB59742
Ultima modifica: 25/02/2021
Ambiente
Tutti i prodotti antimalware McAfee
Prevenzione delle minacce McAfee Endpoint Security (ENS) 10.x
McAfee VirusScan Enterprise (VSE) 8.8
European Institute for computer antivirus Research (EICAR) file di test antimalware
Riepilogo
L'European Institute for EICAR ha sviluppato il file di test antimalware di EICAR. Il file di test EICAR è un programma DOS legittimo che viene rilevato come malware dal software antivirus. Quando il file di test viene eseguito correttamente (se non viene rilevato e bloccato), il messaggio viene stampato "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".
Esistono due modi per ottenere il file di test EICAR Standard:
Nota Il terzo carattere è la lettera maiuscola ' O ', non la cifra zero.
Salvare il file comeeicar.com.
Esistono diversi modi per utilizzare il file di test EICAR per verificare che il software di sicurezza funzioni correttamente.
Nota Se si utilizza un file di test EICAR con il prodotto antivirus McAfee, è importante notare che, sebbene sia possibile rilevare e bloccare o mettere in quarantena il file, è non pulirlo. Il motivo è che il file EICAR non contiene alcun codice virale ' reale '. Il file di test EICAR è stato sviluppato per rendere la maggior parte dei prodotti antivirus reagire come se si trattasse di un vero e proprio virus. Tuttavia, qualsiasi tentativo di pulizia del file EICAR non riesce. Questo comportamento è previsto.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
Per verificare che il programma di scansione all'accesso sia funzionante, disattivare la scansione all'accesso. Quindi, copiare il file di test EICAR nel sistema e tentare di eseguirlo.
Disattivare la scansione all'accesso.
Nota Questa procedura varia in base al sistema operativo e al prodotto. Consultare la guida del prodotto appropriata per il software.
I documenti relativi ai prodotti McAfee sono disponibili sul portale Documentazione del prodotto Enterprise all'indirizzo https://docs.mcafee.com.
Salvare o creare una copia del file di test EICAR.
Attivare la scansione all'accesso.
Tentativo di avvio del file EICAR.
Se la programma di scansione all'accesso funziona correttamente, viene rilevata come malware.
Per verificare che il programma di scansione su richiesta sia funzionante, copiare il file di test EICAR nel sistema. Quindi, eseguire una scansione con il pulsante destro del mouse su di esso.
Salvare o creare una copia del file di test EICAR.
Attivare la scansione su richiesta.
Fare clic con il pulsante destro del mouse sul file EICAR e selezionare Ricerca di minacce dal menu popup.
Se la programma di scansione su richiesta funziona correttamente, viene rilevata come malware.
Per verificare che il programma di scansione della posta elettronica alla consegna sia funzionante, utilizzare un'utilità Telnet per connettersi in modo che sia possibile inviare la stringa di test EICAR a un destinatario noto. Se si tenta di inviare un email contenente la stringa di test EICAR dal client di posta locale, il software antivirus rileva la stringa di test e la blocca.
Premere Windows + R, digitare cmd, quindi premere INVIO.
Tipo telnet25 (dove è il nome del server SMTP (in uscita) del server di posta o del provider) e premere INVIO.
Tipo HELO o "EHLO" e premere INVIO.
Tipo MAIL FROM:you@server.come premere INVIO. Si riceve la risposta: 250 ok
Tipo RCPT TO:yourname@yourserver.com e premere INVIO. Si riceve la risposta:250 ok
Tipo DATA e premere INVIO per scrivere il messaggio.
Nella prima riga, digitare SUBJECT:yoursubjecte premere INVIO due volte.
Digitare il messaggio, in questo caso la stringa di test EICAR, quindi premere INVIO:
Digitare un unico punto di arresto completo (.) su una riga e premere INVIO per inviare il messaggio. Si riceve una risposta simile a uno degli esempi seguenti:
Message accepted for delivery
250 OK id=`a long id`
Per uscire da Telnet, digitare QUIT e premere INVIO.
Se il programma di scansione della posta elettronica alla consegna funziona correttamente, viene rilevato come malware.
Disattivare la regola di protezione dell'accesso per impedire l'arresto dei servizi McAfee:
Fare clic su Avvia, Programmi, McAfee, Console di VirusScan.
Fare clic con il pulsante destro del mouse Protezione dell'accesso e selezionare Proprietà.
Fare clic sul pulsante Protezione dell'accesso scheda.
Nell'angolo in basso a sinistra, deselezionare Impedisci l'arresto dei servizi McAfee.
Fare clic su Applicare E poi Ok.
Arrestare il servizio McShield:
Premere Windows + R, digitare services.msc, quindi fare clic su Ok.
Fare clic con il pulsante destro del mouse McAfee McShield e selezionare Stop.
Salvare una copia di EICAR.COM sul disco rigido locale.
Copia EICAR.COM a ciascuna cartella esclusa che si desidera sottoporre a test.
Avviare il servizio McShield:
Premere Windows + R, digitare services.msc, quindi fare clic su Ok.
Fare clic con il pulsante destro del mouse McAfee McShield e selezionare Avvia.
Chiudere la finestra dei servizi.
Esegui EICAR.COM:
Individuare ogni cartella in cui EICAR.COM è stato copiato.
Fare doppio clic su EICAR.COM in ogni cartella esclusa. Se le esclusioni sono configurate correttamente, EICAR.COM viene eseguito senza essere rilevato. È possibile verificare questo risultato eseguendo anche il file in un percorso non escluso per verificare che l'esempio EICAR che si sta utilizzando venga rilevato. VSE rileva EICAR.COM come virus e ne impedisce l'esecuzione.
Riattivare la regola di protezione dell'accesso per impedire l'arresto dei servizi McAfee:
Fare clic su Avvia, Programmi, McAfee, Console di VirusScan.
Fare clic con il pulsante destro del mouse Protezione dell'accesso e selezionare Proprietà.
Fare clic sul pulsante Protezione dell'accesso scheda.
Nell'angolo in basso a sinistra, selezionare Impedisci l'arresto dei servizi McAfee.
Fare clic su Applicare E poi Ok.
Chiudere la console di VirusScan.
Per verificare che il software antispyware funzioni correttamente, creare un EICAR-PUO file di test. Il EICAR-PUO le funzioni del file di test sono identiche a quelle della stringa di test standard di EICAR. Tuttavia, antispyware lo rileva come programma potenzialmente indesiderato anziché come virus.
Per creare il EICAR-PUO file di prova:
Aprire un editor di testo, ad esempio Blocco note.
Per rendere il file facilmente riconoscibile, Assistenza tecnica consiglia di salvare il file come EICAR-PUO.COM. Le dimensioni del file salvato sono di circa 68 – 70 byte.
Tutte le funzioni del rilevamento standard di EICAR rimangono vere per EICAR-PUO.
Il EICAR-PUO il file di test viene identificato in base al test nella stessa modalità del file di test EICAR standard.
EICAR-PUO è un file di test antispyware. Pertanto, è necessario attivare il rilevamento dei programmi potenzialmente indesiderati.
Per verificare che la scansione di AMSI funzioni correttamente, attivare AMSI nel Endpoint Security policy ed eseguire un comando EICAR PowerShell nel sistema.
Nota AMSI funziona solo con un sistema operativo che lo supporta (ad esempio, Windows 10 e Windows Server 2016).
Attiva l'integrazione di AMSI in ENS.
Avviare PowerShell ed eseguire il seguente comando:
Verificare che venga attivato un rilevamento per la minaccia: EICAR!ams!XXXXX
Per verificare che la scansione di ScriptScan funzioni correttamente, attivare ScriptScan nel Endpoint Security policy e creare un file HTML EICAR:
Attivare ScriptScan nella policy Endpoint Security.
Attivare il plug-in ScriptScan nel browser.
Aprire un editor di testo, ad esempio Blocco note.
Crea un eicar.html file. Aggiungere il contenuto riportato di seguito nel file:
Nota Modificare il percorso di origine nel codice HTML per fare riferimento alla posizione in cui eicar.html viene creato (ad esempio, C:\temp\eicar.html).
An Eicar Test
Click the button
Creare un'esclusione nella scansione all'accesso policy per eicar.js. Se l'esclusione non viene creata, la scansione all'accesso rileva EICAR anziché ScriptScan.
Aprire un editor di testo, ad esempio Blocco note.
Crea un eicar.js file in C:\temp. Aggiungere il contenuto riportato di seguito nel file.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Apri Internet Explorer e Apri C:\temp\eicar.html. Fare clic sul pulsante Provalo pulsante.
Verificare che venga visualizzato un messaggio popup. Il messaggio dichiara "Internet Explorer limitato questa pagina Web dall'esecuzione di script o controlli ActiveX."
Verificare che venga attivato un rilevamento per la minaccia: JC/Eicar
Informazioni correlate
Nota Questo articolo combina il contenuto originariamente pubblicato negli articoli KB55194, KB54228, KB59742 e KB50133.
ID documento precedente
(Secured)
613376
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.