EICAR
Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
02.11.2013 - 11h18 - Paris - (Assiste - Pierre Pinard) - Modification d'un lien, ajouts
EICAR est une simple chaîne de caractères destinée au test des logiciels de sécurité de type antivirus. EICAR est universel et adopté par la totalité des éditeurs d'outils de sécurité : antivirus, anti-spywares et anti-malwares.
EICAR - En savoir plus sur ce test des antivirus
Eicar n'est pas destiné à la recherche de parasites sur votre ordinateur mais à la vérification que votre antivirus et votre anti-spywares (anti-trojans) sont bien installés, qu'ils répondent correctement et qu'ils disposent d'intelligence face à des situations tordues. Eicar vous permet de vous en assurer de temps en temps. D'autre part Eicar vous permet d'évaluer sans risque les antivirus et les anti-spywares (anti-trojans) tandis qu'on les teste durant leurs 30 jours d'essai gratuit.
- Attendre qu'une machine soit contaminée pour évaluer les utilitaires de sécurité n'est pas une bonne idée.
- Utiliser de vrais parasites pour faire ces tests ou évaluer ces produits n'est pas une bonne idée.
Le site de l'association EICAR des éditeurs d'antivirus EICAR : eicar.org
Des contenus entrent et sortent sans arrêt par :
- vos consultations de sites Internet (protocoles HTTP, HTTPS...)
- vos téléchargements de contenus (protocoles FTP, Torrent...)
- vos réceptions de courriers (protocoles Pop, Imap...)
- vos expéditions de courrier (protocole Smtp)
- vos news entrantes et sortantes (protocole NNTP)
- vos partages de fichiers (protocoles P2P utilisés par vos logiciels de P2P comme KaZaA, Direct Connect, BearShare, iMesh, WinMX, LimeWire, Bit Torrent, Overnet, Shareaza, CZDC++, Morpheus, eDonkey, eMule, Ares, SoulSeek, Opera's DC++, StrongDC++, iDC++, KCEasy, BitComet, BitLord, ABC, uTorrent, BitPump, Winny2, Zultrax...
- vos échanges en messageries instantanées (comme MSN Messenger, Yahoo! Messenger, ICQ, AIM - AOL Instant Messenger, Trillian, mIRC, Miranda, Gaim, Odigo, Gadu-Gadu, Psi Jabber, Skipe, IM2 Messenger, SIM - Simple Instant Messenger, PalTalk Messenger, Tlen, Google Talk, WengoPhone...
- vos installations ou copies depuis des CD-Rom, des DVD-Rom, des disquettes, des clés USB...
- ...
Est-ce que vos utilitaires surveillent réellement tout cela ?
- Et si le contenu est compressé, est-ce qu'ils le voient tout de même ?
- Et si on camoufle un programme exécutable en lui mettant un faux suffixe, anodin, tel que le suffixe .txt, est-ce qu'ils s'en occupent ou non ?
- Etc. ...
Quels utilitaires peut-on tester avec Eicar ?
EICAR est un test de fonctionnement de la technologie à base de signatures (
technologie Reactiv).
EICAR n'est pas un test de la technologie comportementale utilisant des algorithmes heuristiques, des machines virtuelles et des sanbox (technologie Proactive) car le fichier EICAR, qui est un fichier exécutable de type DOS, écrit le message "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!", ce qui n'est pas un comportement suspicieux.
Les classes d'utilitaires suivantes doivent réagir (modules temps réel dit "On-Access" et modules temps différé dit "On-demand") à EICAR :
- antivirus commerciaux
- antivirus gratuits
- antivirus en ligne
- anti-malwares (anti-trojans et anti-spywares...) commerciaux
- anti-malwares (anti-trojans et anti-spywares...) gratuits
- anti-malwares (anti-trojans et anti-spywares...) en ligne
Les systèmes de
contrôles d'intégrité ne peuvent pas être testés avec
EICAR.
Normes et protocoles pour utiliser EICAR
Si on souhaite faire de l'archéologie de l'informatique de sécurité, le fichier de test EICAR a été écrit par Paul Ducklin en 1990, dans la cadre du CARO (un groupe de travail informel de personnes physiques impliquées dans la sécurité), et déployé en 1991 par EICAR (une organisation structurée et formelle).
EICAR a ensuite été adopté et formalisé en collaboration entre tous les industriels éditeurs d'antivirus et anti-trojans et est normalisé, aussi bien dans sa forme que dans son utilisation :
La convention EICAR entre les industriels est écrite ici
Constitution EICAR
- Elle date du 1er mai 2003, avec ce texte :
"The definition of the file has been refined 1 May 2003 by Eddy Willems in cooperation with all vendors."
"La définition du fichier a été redéfinie le 1er mai 2003 par Eddy Willems en coopération avec tous les vendeurs."
- Le test EICAR stipule que le fichier de test doit commencer par la chaîne de caractère EICAR et doit faire exactement 68 caractères de long :
Un fichier de test EICAR doit contenir tout EICAR et uniquement EICAR
"Any anti-virus product that supports the EICAR test file should detect it in any file providing that the file starts with the following 68 characters, and is exactly 68 bytes long:"
"Tout antivirus qui supporte le fichier de test EICAR devrait le détecter dans n'importe quel fichier à condition que le fichier commence par les 68 caractères suivants et fasse exactement 68 octets de long:"
Note du traducteur : par "n'importe quel fichier" il faut comprendre : fichiers compressés d'EICAR avec divers compresseurs (Zip, Tar, Arj etc. ...), plusieurs échantillons dans diverses compressions sont ensuite offerts sur le site officiel EICAR.
- Si un fichier contient la chaine de caractère EICAR mais en plein millieu d'un contenu quelconque, ce n'est pas EICAR !
EICAR - Testez votre antivirus (comportement "On-access" - temps réel)
Si vous avez un doute sur le fonctionnement de votre logiciel antivirus, anti-spywares ou anti-malwares, cliquez sur les liens suivants pour tenter de télécharger, sous diverses formes, le test EICAR :
Générer des alertes EICAR
Votre antivirus ou votre anti-malwares doit vous alerter au clic sur chacun des liens suivants.
EICAR est constitué d'une chaîne de caractères standardisée, utilisée pour le test normatif des antivirus. Elle est vérifiée par tous les antivirus du monde, sous le nom de "EICAR" et doit être reconnue comme un parasite sinon votre antivirus ou votre anti-trojans n'est pas correctement installé ou ne fonctionne pas.
Cette chaîne de 68 caractères (ci-dessous sous forme d'une simple image) est :
Soumettons un fichier contenant la chaîne de caractères EICAR au panel d'antivirus du service VirusTotal. Un premier fichier contient EICAR au milieu d'un texte quelconque, le second ne comporte que EICAR.
Analyse d'un fichier contenant la chaîne de caractères EICAR au millieu d'un texte quelconque. Ce n'est pas EICAR et ce fichier ne devrait pas être détecté, par aucun outil de sécurité. |
Analyse d'un fichier contenant la chaîne de caractères EICAR seule. Il sagit du test EICAR et ce fichier devrait être détecté par tous les outils de sécurité (à l'exception de ceux n'utilisant pas de base de signatures mais uniquement une analyse comportementale, le test EICAR étant totalement inerte et n'ayant aucun comportement). |
Résultat |
Mise à jour |
AegisLab |
EICAR-AV-Test |
20150125 |
Ikarus |
EICAR-ANTIVIRUS-TESTFILE |
20150125 |
Panda |
Eicar.Mod |
20150125 |
Qihoo-360 |
qex.eicar.gen.gen |
20150125 |
SUPERAntiSpyware |
NotAThreat.EICAR[TestFile] |
20150124 |
TrendMicro |
Eicar_test_1 |
20150125 |
TrendMicro-HouseCall |
Eicar_test_1 |
20150125 |
ALYac |
|
20150125 |
AVG |
|
20150125 |
AVware |
|
20150125 |
Ad-Aware |
|
20150125 |
Agnitum |
|
20150124 |
AhnLab-V3 |
|
20150125 |
Alibaba |
|
20150120 |
Antiy-AVL |
|
20150125 |
Avast |
|
20150125 |
Avira |
|
20150125 |
Baidu-International |
|
20150125 |
BitDefender |
|
20150125 |
Bkav |
|
20150124 |
ByteHero |
|
20150125 |
CAT-QuickHeal |
|
20150125 |
CMC |
|
20150124 |
ClamAV |
|
20150125 |
Comodo |
|
20150125 |
Cyren |
|
20150125 |
DrWeb |
|
20150125 |
ESET-NOD32 |
|
20150125 |
Emsisoft |
|
20150125 |
F-Prot |
|
20150125 |
F-Secure |
|
20150125 |
Fortinet |
|
20150125 |
GData |
|
20150125 |
Jiangmin |
|
20150124 |
K7AntiVirus |
|
20150125 |
Kaspersky |
|
20150125 |
Kingsoft |
|
20150125 |
Malwarebytes |
|
20150125 |
McAfee |
|
20150125 |
McAfee-GW-Edition |
|
20150125 |
MicroWorld-eScan |
|
20150125 |
Microsoft |
|
20150125 |
NANO-Antivirus |
|
20150125 |
Norman |
|
20150123 |
Rising |
|
20150123 |
Sophos |
|
20150125 |
Symantec |
|
20150125 |
Tencent |
|
20150125 |
TheHacker |
|
20150123 |
TotalDefense |
|
20150125 |
VBA32 |
|
20150123 |
VIPRE |
|
20150125 |
ViRobot |
|
20150125 |
Zillya |
|
20150125 |
Zoner |
|
20150123 |
nProtect |
|
20150123 |
|
Résultat |
Mise à jour |
ALYac |
Misc.Eicar-Test-File |
20150125 |
AVG |
EICAR_Test |
20150125 |
AVware |
EICAR (v) |
20150125 |
Ad-Aware |
EICAR-Test-File (not a virus) |
20150125 |
Agnitum |
EICAR_test_file |
20150124 |
AhnLab-V3 |
EICAR_Test_File |
20150125 |
Antiy-AVL |
Test[:not-a-virus]/Win32.EICAR |
20150125 |
Avast |
EICAR Test-NOT virus!!! |
20150125 |
Avira |
Eicar-Test-Signature |
20150125 |
Baidu-International |
EICAR.Test.File |
20150125 |
BitDefender |
EICAR-Test-File (not a virus) |
20150125 |
Bkav |
DOS.EiracA.Trojan |
20150124 |
CAT-QuickHeal |
EICAR.TestFile |
20150125 |
CMC |
Eicar.test.file |
20150124 |
ClamAV |
Eicar-Test-Signature |
20150125 |
Comodo |
EICAR-Test-File |
20150125 |
Cyren |
EICAR_Test_File |
20150125 |
DrWeb |
EICAR Test File (NOT a Virus!) |
20150125 |
ESET-NOD32 |
Eicar test file |
20150125 |
Emsisoft |
EICAR-Test-File (not a virus) (B) |
20150125 |
F-Prot |
EICAR_Test_File |
20150125 |
F-Secure |
EICAR_Test_File |
20150125 |
Fortinet |
EICAR_TEST_FILE |
20150125 |
GData |
EICAR-Test-File (not a virus) |
20150125 |
Ikarus |
EICAR-ANTIVIRUS-TESTFILE |
20150125 |
Jiangmin |
EICAR-Test-File |
20150124 |
K7AntiVirus |
EICAR_Test_File |
20150125 |
Kaspersky |
EICAR-Test-File |
20150125 |
Kingsoft |
Test.eicar.aa |
20150125 |
McAfee |
EICAR test file |
20150125 |
McAfee-GW-Edition |
EICAR test file |
20150125 |
MicroWorld-eScan |
EICAR-Test-File |
20150125 |
Microsoft |
Virus:DOS/EICAR_Test_File |
20150125 |
NANO-Antivirus |
Marker.Dos.EICAR-Test-File.dyb |
20150125 |
Norman |
EICAR_Test_file_not_a_virus! |
20150123 |
Panda |
EICAR-AV-TEST-FILE |
20150125 |
Qihoo-360 |
qex.eicar.gen.gen |
20150125 |
Rising |
NORMAL:EICAR-Test-File!84776 |
20150123 |
SUPERAntiSpyware |
NotAThreat.EICAR[TestFile] |
20150124 |
Sophos |
EICAR-AV-Test |
20150125 |
Symantec |
EICAR Test String |
20150125 |
Tencent |
EICAR.TEST.NOT-A-VIRUS |
20150125 |
TheHacker |
EICAR_Test_File |
20150123 |
TotalDefense |
the EICAR test string |
20150125 |
TrendMicro |
Eicar_test_file |
20150125 |
TrendMicro-HouseCall |
Eicar_test_file |
20150125 |
VBA32 |
EICAR-Test-File |
20150123 |
VIPRE |
EICAR (v) |
20150125 |
ViRobot |
EICAR-test[h] |
20150125 |
Zillya |
EICAR.TestFile |
20150125 |
Zoner |
EICAR.Test.File-NoVirus |
20150123 |
nProtect |
EICAR-Test-File |
20150123 |
Alibaba |
|
20150120 |
ByteHero |
|
20150125 |
Malwarebytes |
|
20150125 |
|
Derrière le rideau
EICAR est aussi le sigle de l'European Institute for Computer Antivirus Research, fournisseur du test EICAR et ayant certaines responsabilités et initiatives au sein de la communauté des éditeurs de logiciels de sécurité (initialement les antivirus auquels se sont ajoutés, plus récemment, les anti-malwares).
EICAR a été fondée, sous une forme associative, le 23 septembre 1991.
Le site de l'organisation EICAR
Références
Ressources
Requêtes similaires