Todos os produtos antimalware de McAfee
McAfee Endpoint Security (ENS) Prevenção contra ameaças 10.x
McAfee VirusScan Enterprise (VSE) 8.8
Arquivo European Institute for Computer anti-virus Research (EICAR) teste Antimalware
Resumo
O Instituto Europeu da EICAR desenvolveu o teste Antimalware EICAR arquivo. O arquivo de teste EICAR é um programa do DOS legítimo que é detectado como malware pelo software antivírus. Quando o arquivo de teste é executado com êxito (se ele não for detectado e bloqueado), ele imprimirá a mensagem "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!".
Há duas maneiras de obter o arquivo de teste EICAR padrão:
Faça download do arquivo diretamente do site www.eicar.org.
Use um editor de texto para criar o arquivo:
Abra um editor de texto, como o bloco de notas.
Copie a cadeia de caracteres a seguir para o novo arquivo:
NOTA: o terceiro caractere é a letra maiúscula 'O', e não o dígito zero.
Salve o arquivo comoeicar.com.
Há várias maneiras de usar o arquivo de teste EICAR para verificar se o seu software de segurança está funcionando corretamente.
OBSERVAÇÃO: Se você usar um teste EICAR arquivo com o seu McAfee Antivirus, é importante notar que, embora seja possível detectar e bloquear ou colocar em quarentena o arquivo, você possa limpá-lo. O motivo é que o arquivo do EICAR não contém códigos virais reais. O arquivo de teste EICAR foi desenvolvido para fazer com que a maioria dos produtos antivírus reaja a ele como se fosse um vírus real. No entanto, qualquer tentativa de limpar o arquivo EICAR falhará. Esse comportamento é esperado.
Sumário
Clique para expandir a seção que você deseja exibir:
Para verificar se o mecanismo de varredura ao acessar está funcionando, desative a varredura ao acessar. Em seguida, copie o arquivo de teste EICAR para o seu sistema e tente executá-lo.
Desative a varredura ao acessar.
NOTA: Esse procedimento varia de acordo com o sistema operacional e o produto. Consulte o guia de produto apropriado para o seu software.
Para obter documentos de produtos da McAfee, acesse o portal de Documentação de produtos para empresas em https://docs.mcafee.com.
Salve ou crie uma cópia do arquivo de teste EICAR.
Ative a varredura ao acessar.
Tente iniciar a arquivo do EICAR.
Se o mecanismo de varredura ao acessar estiver funcionando corretamente, ele será detectado como malware.
Para verificar se o mecanismo de varredura por solicitação está funcionando, copie o arquivo de teste EICAR para o seu sistema. Em seguida, execute uma varredura ao clicar com o botão direito do mouse.
Salve ou crie uma cópia do arquivo de teste EICAR.
Ativar varredura por solicitação.
Clique com o botão direito do mouse na arquivo EICAR e selecione Fazer a varredura para ameaças no menu pop-up.
Se o mecanismo de varredura por solicitação estiver funcionando corretamente, ele será detectado como malware.
Para verificar se o mecanismo de varredura de E-mail ao entregar está funcionando, use um utilitário Telnet para se conectar, para que você possa enviar a cadeia de teste EICAR a um destinatário conhecido. Se você tentar enviar um e-mail que contenha a cadeia de teste EICAR do seu cliente de e-mail local, o software antivírus detectará a cadeia de caracteres de teste e a bloqueará.
Pressione Windows + R, digite cmde, em seguida, pressione Enter.
telnet25 (onde é o nome do servidor SMTP (de saída) do seu servidor de e-mail ou provedor) e pressione Enter.HELO ou "EHLO" e pressione Enter.
MAIL FROM:you@server.come pressione Enter. Você receberá a resposta: 250 ok RCPT TO:yourname@yourserver.com e pressione Enter. Você receberá a resposta:250 ok DATA e pressione ENTER para gravar a mensagem.
Na primeira linha, digite SUBJECT:yoursubjecte pressione Enter duas vezes.
Digite sua mensagem, neste caso, a cadeia de caracteres de teste EICAR, e pressione Enter:
Digite um único ponto final (.) em uma linha sozinho e pressione ENTER para enviar sua mensagem. Você receberá uma resposta semelhante a um dos exemplos a seguir:
Message accepted for delivery
250 OK id=`a long id`
Para sair do telnet, digite QUIT e pressione Enter.
Se o mecanismo de varredura de E-mail ao entregar estiver funcionando corretamente, ele será detectado como malware.
Desative a regra de proteção de acesso para impedir que os serviços de McAfee sejam interrompidos:
Clique em Iniciar, Programas, McAfee, Console do VirusScan.
Clique com o botão direito do mouse em Proteção de acesso e selecione Propriedades.
Clique na guia Proteção de acesso.
No canto inferior esquerdo, desmarque Impedir que os serviços da McAfee sejam interrompidos.
Clique em Aplicar e em OK.
Interrompa o serviço do McShield:
Pressione Windows + R, digite services.msc, e clique em OK.
Clique com o botão direito do mouse em McAfee McShield e selecione Parar.
Salvar uma cópia de EICAR.COM para o seu disco rígido local.
Cópia EICAR.COM para cada pasta excluída que você deseja testar.
Inicie o serviço McShield:
Pressione Windows + R, digite services.msc, e clique em OK.
Clique com o botão direito do mouse em McAfee McShield e selecione Iniciar.
Feche a janela Serviços.
Executar EICAR.COM:
Navegue até cada pasta em que EICAR.COM foi copiado.
Clique duas vezes em EICAR.COM em cada pasta excluída. Se as exclusões estiverem configuradas corretamente, EICAR.COM é executado sem ser detectado. Você pode verificar esse resultado também executando o arquivo em um local não excluído para verificar se a amostra EICAR que você está usando foi detectada. O VSE detecta EICAR.COM como um vírus e impede sua execução.
Reative a regra de proteção de acesso para impedir que os serviços McAfee sejam interrompidos:
Clique em Iniciar, Programas, McAfee, Console do VirusScan.
Clique com o botão direito do mouse em Proteção de acesso e selecione Propriedades.
Clique na guia Proteção de acesso.
No canto inferior esquerdo, marque Impedir que os serviços da McAfee sejam interrompidos.
Clique em Aplicar e em OK.
Feche o console do VirusScan.
Para testar se o software antispyware está funcionando corretamente, crie um EICAR-PUO teste arquivo. O EICAR-PUO o teste arquivo funciona da mesma maneira que a cadeia de caracteres de teste EICAR padrão. No entanto, o AntiSpyware o detecta como um programa potencialmente indesejado, em vez de um vírus.
Para criar o EICAR-PUO arquivo de teste:
Abra um editor de texto, como o bloco de notas.
Copie a cadeia de caracteres a seguir para o novo arquivo:
Para tornar o arquivo facilmente reconhecível, Suporte técnico recomenda que você salve o arquivo como EICAR-PUO.COM. O tamanho do arquivo salvo é sobre 68 a 70 bytes.
Todos os recursos da detecção EICAR padrão permanecem verdadeiros para EICAR-PUO.
O EICAR-PUO o arquivo de teste é identificado sob o File Categoria da mesma maneira que o teste EICAR padrão arquivo.
EICAR-PUO é um teste do AntiSpyware arquivo. Portanto, você deve ativar a detecção de programas potencialmente indesejados para ser bem-sucedida.
Para verificar se a varredura do AMSI está funcionando corretamente, ative o AMSI na política de Endpoint Security e execute um comando EICAR PowerShell no sistema.
OBSERVAÇÃO: O AMSI só funciona com um sistema operacional compatível com ele (por exemplo, Windows 10 e Windows Server 2016).
Verifique se uma detecção é disparada para a ameaça: EICAR!ams!XXXXX
Para verificar se a varredura do ScriptScan está funcionando corretamente, ative o ScriptScan na política de Endpoint Security e crie um arquivo HTML EICAR:
Ativar o ScriptScan na política de Endpoint Security.
Ativar o plug-in ScriptScan no navegador.
Abra um editor de texto, como o bloco de notas.
Criar uma eicar.html arquivo. Adicione o conteúdo abaixo no arquivo:
OBSERVAÇÃO: Modifique o caminho de origem no HTML para fazer referência ao local em que eicar.html é criado (por exemplo, C:\temp\eicar.html).
An Eicar Test
Click the button
Crie uma exclusão na política de varredura ao acessar para eicar.js. Se a exclusão não for criada, a varredura ao acessar detectará o EICAR em vez do ScriptScan.
Abra um editor de texto, como o bloco de notas.
Criar uma eicar.js arquivo em C:\temp. Adicione o conteúdo abaixo no arquivo.
function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Abrir Internet Explorer e abrir C:\temp\eicar.html. Clique no botão Experimente-o botão.
Verifique se uma mensagem de pop-up é exibida. A mensagem informa "Internet Explorer a restrição dessa página da Web de executar scripts ou controles ActiveX".
Verifique se uma detecção é disparada para a ameaça: JC/Eicar
Informações relacionadas
NOTA: Este artigo combina o conteúdo que foi publicado originalmente nos artigos KB55194, KB54228, KB59742 e KB50133.
ID do documento anterior
(Secured)
613376
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.