کی از دغدغه های مهم کاربران در خصوص امنیت سیستم های یارانه ای، نحوه واکنش و عملکرد آنتی ویروسها در برخود و مواجهه با یک بد افزار و یا انواع مختلف ویروسها است. هرچند کاربران به هر حال در مواقعی – همچون آلوده بودن حافظه جانبی به فایلهای مخرب – در نهایت نحوه عملکرد آنتی ویروسها را درک خواهند کرد، اما ریسک و خطر این موضوع برای کاربران بالا است. زیرا در صورتی که آنتی ویروس به خوبی عمل نکند، نتیجه آن میتواند برای کاربر سنگین باشد.

در این میان کاربران حرفه ای تر البته با مراجعه به پژوهشهای صورت گرفته در خصوص آزمایش آنتی ویروسها میتوانند به خوبی روند تحولات و پیشرفتهای محور امنیت در شرکتهای سازنده ابزار امنیت الکترونیک را دنبال کرده و یا حتی خود اقدام به انجام آزمایشاتی برای تست عملکرد ابزار امنیتی خود کنند.

اما این موضوع برای طیف عظیمی از کاربران امکان پذیر نبوده و اقدام به انجام آزمایشات حرفه ای یا اساسا وجود ندارد و یا منجر به آلوده شدن رایانه کاربر خواهد شد.

بر همین اساس موسسه اروپایی پژوهش و تحقیق پیرامون آنتی ویروسها یا EICAR (European Institute for Computer Antivirus Research) اقدام به طراحی یک ابزار مطمئن و بدون دردسر برای تست آنتی ویروسهای رایانه ای کرده است. ابزاری ه به وسیله آن هر کاربری در هر سطحی از تجربه و تخصص قادر خواهد بود خود در یک فضای مطمئن و بدون ریسک اقدام به تست عملکرد آنتی ویروس خود کند.

ابزاری که این موسسه طراحی کرده است یک فایل شبه ویروس به نام EICAR-STANDARD-ANTIVIRUS-TEST-FILE است. به این معنا که این فایل یک ویروس نیست اما کد متنی آن که یک کد ثابت است، در اختیار اکثر سازندگان آنتی ویروسها قرار گرفته است که به عنوان یک ویروس شناسایی شود و در نتیجه آنتی ویروس در برخورد با آن مشابه با یک شناسایی یک ویروس عمل کند.

توضیح آنکه، آنتی ویروسها از مجموعه ای از شناسه ها و یا Signature ها برای شناسایی فابلهای مخرب استفاده میکنند – البته به جز مواردی که ویروس یا فایل مخرب از طریق عملکرد آن شناسایی میشود. به عبارتی هر زمان که یک فایل به عنوان یک فایل مخرب شناسایی شود، بلافاصله یک کد شناسایی برای آن ساخته میشود و در پایگاه داده های شرکت مربوطه ثبت میشود – پس بروز رسانی آنتی ویروسها به معنی بروز رسانی آخرین کدهای شناسایی است و از این روی اهمیت دارد.

فایل EICAR در نتیجه فایلی است که هرچند عملکرد مخرب ندارد اما، یک کد شناسایی برای آن در پایگاه داده های اکثر قریب به اتفاق شرکت های سازنده آنتی ویروس، ثبت شده است و آنتی ویروسهای این شرکتها در برخورد با این فایل آن را به عنوان یک ویروس و فایل مخرب شناسایی میکنند. یک ابزار بسیار امن و در عین حال واقعی برای تست آنتی ویروسها.

این فایل به سه نوع متنی یا txt و Com و Zip موجود است که نسخه Zip آن در دو سطح فشرده سازی وجود دارد و برای تست عملکرد آنتی ویروس در برخورد با فایلهای آرشیو فشرده شده حاوی ویروس است.

این فایل در اساس یک فایل DOS است که به محض اجرای آن متن "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" به شکل پیام در صفحه CMD نمایش داده خواهد شد. در واقع این فایل تشکیل شده از یک رشته کاراکتر است که خود کاربر نیز با کپی کردن آن در یک فایل متنی و ذخیره آن قادر به ایجاد فایل خواهد بود. متن زیر را در یک فایل txt کپی و ذخیره کنید تا فایل مربوطه ایجاد شود:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

همچنین میتواند با تغییر پسوند فایل از txt به com آن را تبدیل به فایل اصلی DOS کنید.

در آزمایش ما با آنتی ویروس Panda Cloud Free به محض تبدیل این فایل به فایل DOS آنتی ویروس به شناسایی آن پرداخت. اما شناسایی فایل txt از طریق Scan فایل انجام شد. این در حالی است که ممکن است آنتی ویروس شما حتی اجازه ذخیره فایل متنی را نیز ندهد و یا بعد از ذخیره فایل متنی اقدام به شناسایی آن کند.

همچنین آنتی ویروس Panda در برخورد با فایلهای فشرده شده در هر دو سطح - یک سطح فایل Zip حاوی فایل com و یک سطح فایل Zip حاوی یک فایل Zip دیگر که فایل فشرده دوم حاوی فایل com است - به سرعت هر دوی آنها را شناسایی و حذف کرد:

البته همانگونه که پیش از این ذکر شد، ممکن است شناسه این فایل در پایگاه داده آنتی ویروس شما موجود نباشد، که در این صورت این فایل به عنوان یک ویروس شناسایی نخواهد شد و آنتی ویروس در برابر آن هیچ واکنشی نخواهد داشت. در آزمایش ما، تمامی برندهای شناخته شده این فایل را شناسایی کردند.

همچنین مهمترین نکته این است که ممکن است در تنظیمات آنتی ویروس شما اسکن فایلهای آرشیو غیر فعال باشد – زیرا تا زمانی که فایل مخرب به شکل فشرده باشد هیچ خطری برای سیستم ندارد و در نتیجه بسیاری از برندها به شکل پیش فرض اسکن فایلهای آرشیو را برای سرعت بخشیدن به عملکرد نرم افزار غیر فعال میسازند. در این صورت نیاز خواهید داشت که قبل از انجام آزمون این گزینه را از تنظیمات آنتی ویروس خود فعال سازید.

در نهایت اینکه هرچند EICAR یک آزمون جامع برای آنتی ویروس ها نیست، اما سرعت عمل و واکنش آنتی ویروس شما را به خوبی مشخص میکند. از سویی گاهی هرچند به نظر میرسد که آنتی ویروس شما فعال است، اما در اصل یک ویروس هوشمند و حرفه ای آن را از کار انداخته است، که با این ابزار قادر خواهید بود که از فعال بودن آنتی ویروس خود مطمئن شوید.

منبع:تابناک