Simovits

Simpelt test för ditt antivirusprogram

Ibland förekommer idén att testa sin säkerhet mot skadlig kod utifrån ett beteendeperspektiv. Frågeställningar som ”Är mitt antivirusprogram implementerat så som jag önskar?”, ”Hur ser ett larm ut när skadlig kod detekteras på min enhet?”, ”Hur ser en loggningen ut?”, ”Vad kan jag göra efter att skadlig kod identifierats på min enhet?” kan dyka upp hos användare. Tanken kan förekomma att ladda ner exempel på skadlig kod och därefter undersöka sina frågeställningar. För Blue Teams kan det vara relevant för SIEM (Security Information and Event Management) system att identifiera hur det ser ut när skadlig kod detekteras. Dock finns det en metod att emulera skadlig kod utan att använda sig av ”riktig” skadlig kod överhuvudtaget. Denna metod använder sig av s.k. EICAR file test [1] och vi kommer visa ett exempel på Windows 10 med Defender aktiverat på hur simpelt antivirusprogrammet kan testas.

Säkerhetsforskare har tagit fram en fil som inkluderar en sträng som ska trigga igång antiviruslösningen. Denna sträng är inte skadlig och är specifikt framtagen för att testa antiviruslösningen utan att behöva använda sig av riktig skadlig kod. Strängen i filen är endast 68 tecken långt och finns i [1], så att användare kan skapa filen på egen hand också. Nedan går vi igenom testet steg för steg.

  1. Kopiera följande EICAR-sträng och lägg det i en textfil:
    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
EICAR-strängen kopierat in i textredigerare.
  1. Spara filen som ”eicar.com
Spara fil som ”eicar.com”
  1. Efter sparande av fil triggar antivirusprogrammet ett larm där skadlig kod identifierats.
Larm angående skadlig kod.

När testet är genomfört kan man sedan dyka in i larmet för att få mer information eller bestämma åtgärder för identifierad fil. I detta fall skickas filen till karantän.

Mer detaljerad information samt utförd åtgärd kan fås från larmet.
Trycker man på ”Learn more” [2] från föregående bild så hamnar på Microsofts webbplats som beskriver EICAR-filen.

Är man intresserad av att kolla efter hur en loggrad ser ut, kan man göra det i Event Viewer:

Loggning av identifiering av skadlig kod i Event Viewer.

[1] – Anti Malware Testfile, https://www.eicar.org/?page_id=3950
[2] – Virus:DOS/EICAR_Test_File, https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Virus:DOS/EICAR_Test_File