Viirusetõrjetarkvara on iga korraliku küberjulgeolekustrateegia põhikomponent, olenemata sellest, kas seda kasutatakse suure organisatsiooni või isikliku seadme kaitsmiseks väliste rünnakute eest. Viirusetõrjetarkvaralahendusi on sadu ja enamik neist töötab samal põhimõttel: tuvastavad, asetavad karantiini ja eemaldavad pahatahtliku koodi.
Kuid kas on võimalik testida, kas viirusetõrjeprogramm töötab korralikult? Vastus on jah ja see hõlmab midagi, mida nimetatakse EICAR-i testifailiks.
Mis on EICARi testifail?
Lihtsamalt öeldes on EICARi testfail arvutifail, mis töötati välja viirusetõrje (ründevaratõrje) toodete reageerimise testimiseks. See ei ole päris arvutiviirus, kuid jäljendab pahavara ning võimaldab seega ohutut ja tõhusat testimist.
EICAR-i testfaili töötasid välja Euroopa Arvutiviirusetõrje Uurimisinstituut (EICAR) ja Arvutiviirusetõrje Uurimisorganisatsioon (CARO). Mõlemad organisatsioonid on tegutsenud alates 1990. aastate algusest ja on keskendunud pahavara uurimisele.
Kuidas testida oma viirusetõrjet EICARi testfaili abil
EICAR-i testfaili allalaadimiseks ja viirusetõrje toimimise kontrollimiseks minge aadressile eicar.org. Sait pakub allalaadimiseks nelja erinevat faili: eicar.com, eicar.com.txt, eicar_com.zip ja eicarcom2.zip. Soovitatav on kõik alla laadida ja lasta viirusetõrjel teha seda, mida ta peaks tegema.
Esimene fail eicar.com on 68 baiti pikk ja sisaldab järgmist ASCII stringi: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H +H*. Teine fail on selle faili koopia, millel on erinev failinimi. Kolmas fail eicar_com.zip on a ZIP-arhiivifail mis tuleb tegelikule "viirusele" juurdepääsuks lahti pakkida. Neljas fail sisaldab kolmandat faili. Seega on failis eicarcom2.zip EICAR-i testfail ise peidetud kahe ZIP-failikihi alla.
Kui proovite mõnda neist failidest alla laadida ja teie viirusetõrjetarkvara blokeerib allalaadimise, siis teeb see oma tööd korralikult. Kui aga soovite seda tõesti testida, keelake viirusetõrje hetkeks, laadige alla neljas fail (see, millel on kaks ZIP-kihti) ja seejärel skannige et näha, kas teie kasutatav toode suudab tungida läbi mitme kihi ja tuvastada väidetavalt pahatahtliku koodi.
Hea viirusetõrjetarkvara tuvastab kohe ja seejärel karantiini või kustutab EICAR-i testfaili.
Mida teha, kui teie viirusetõrje ei tuvasta EICAR-i testfaili?
Kui teie viirusetõrjekomplekt ei tuvasta mingil põhjusel EICAR-i testfaili, pole see tõenäoliselt piisavalt hea, ei tööta korralikult või pole seda lihtsalt pikka aega värskendatud. Siiski on mõned erandid. Näiteks Malwarebytes, mis on hea ja töökindel pahavaravastane toode, ei tunnista alati EICAR-i testfaili pahatahtlikuks.
Malwarebytes ütles juba 2016. aastal, et "EICAR-i stringide tuvastamine ei tähenda midagi toodete tegeliku tõhususe tõestamiseks. ähvardused." Ettevõtte sõnul saab EICAR-i eksperiment näidata vaid seda, kas viirusetõrjeprogramm saab kasutada mustrile vastavat allkirja, kuid isegi kui see on võimalik, ei tähenda see, et see suudaks peatada keerukamaid pahavara rünnakuid, mis kasutavad teatud hägustamist ja allkirjadest kõrvalehoidmist tehnikaid.
Kuidas testida oma pahavaravastast tarkvara
Malwarebytesi kriitikal võib olla kasu, kuid peale selle võib EICAR-i testfail siiski kasulikuks osutuda, kui on vaja testida teie viirusetõrjetarkvara reageerimist võimalikele ohtudele.
Siiski on ütlematagi selge, et peaksite hoiduma varjulistest veebisaitidest, vältima millegi allalaadimist tundmatutest allikatest ega klõpsa kunagi kahtlastel linkidel või meilimanustel.
Ja olenemata sellest, millist pahavaravastast toodet te kasutate, värskendage seda regulaarselt ja jälgige küberturvalisuse uusimaid suundumusi. Kõike seda arvesse võttes on viirusetõrjetarkvara testimiseks veel mitmeid viise, seadet ja isikuandmeid ohtu seadmata.
