Fichier de test Eicar

Informations
Nom technique	Bitdefender :; EICAR-Test-File (not a virus); ESET :; Eicartest; FProt :; Eicar_test_file; Kaspersky :; EICAR-Test-File; Microsoft :; Virus:DOS/EICAR_Test_File; Sophos :; EICAR-AV-Test; Trend Micro :; Eicar_test_file;
Type	Fichier de test de logiciel antivirus, non malveillant
Auteur	European Institute for Computer Antivirus Research (EICAR)
Système(s) d'exploitation affecté(s)	MS-DOS, Windows

Le fichier de test Eicar est une chaîne de caractères, écrite dans un fichier informatique, destiné à tester le bon fonctionnement des logiciels antivirus. Il a été développé par l'European Institute for Computer Antivirus Research (EICAR) et par la Computer Research Organization Antivirus (en) (CARO), pour tester la réponse des logiciels antivirus à certains programmes. Il dispense des développeurs de l'antivirus ou ses utilisateurs finaux d'utiliser des logiciels véritablement malveillants — ce qui pourrait avoir des conséquences réelles néfastes.

Utilisation

L'utilisation de la chaîne de test EICAR peut être plus polyvalente que la détection simple : un fichier contenant la chaîne de test EICAR peut être comprimé ou archivé, puis le logiciel antivirus peut être exécuté pour voir si elle peut détecter la chaîne de test dans le fichier compressé. Elle permet de tester aussi bien la détection du fichier que les mesures curatives prises par l'antivirus (suppression, mise en quarantaine (en), analyse approfondie…), ainsi que la journalisation de l'événement^[2].

Reconnaissance

Ce fichier est édité par le centre de recherche EICAR (European Institute for Computer Antivirus Research), un organisme indépendant. Il a été publié quelques années après la première conférence de l'EICAR à Bruxelles en 1991^[3].

Il est ainsi reconnu par la majorité des éditeurs d'antivirus, tant commerciaux que libres. Cette détection est un standard de facto, mais n'est pas obligatoire^[4].

Sur VirusTotal en 2018, il est détecté par 61 antivirus sur 62^[5].

Chaîne de caractères

Pour tester un antivirus, il suffit de créer un fichier texte de 68 octets contenant les caractères suivants^[6] :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Note : Le troisième caractère est la lettre 'O' majuscule et non le chiffre zéro.

Le fichier peut contenir plus de 68 caractères, mais la chaîne à détecter doit constituer les 68 premiers caractères du fichier ; si elle est située ailleurs dans le fichier, elle sera le plus souvent ignorée^[7].

Ce fichier ne contient pas de virus, mais une signature qui doit être détectée par le logiciel antivirus si celui-ci repose sur une méthode de recherche par signature. Il peut être renommé en fichier .COM, pour en faire un fichier exécutable sous MS-DOS valide, inoffensif et affichant « EICAR-STANDARD-ANTIVIRUS-TEST-FILE! ».

Propriété inusuelle pour un programme en langage machine, le code ne contient que des caractères ASCII affichables, ce qui lui permet d'être saisi dans un éditeur de texte standard. Cette contrainte entre en conflit avec le fait que la seule manière d'afficher du texte à l'écran pour un programme DOS est d'utiliser une interruption ; or toutes les interruptions x86 commencent par l'octet 0xCD (205) qui est hors de la plage ASCII (0–127)^[8]. Ce problème est contourné en utilisant du code automodifiable^[9].

Références

1 2 3 4 5 6 7 (en) « Virus:DOS/EICAR_Test_File », sur microsoft.com, Microsoft Security Intelligence, 10 janvier 2005, mise à jour 5 septembre 2017.
↑ Dunham 2004, p. 7.
↑ Eddy Willems, « The Winds of Change: Updates to the EICAR Test File » [PDF], Virus Bulletin (en), juin 2003, p. 13–15.
↑ AMTSO 2012, p. 5.
↑ (en) Randy Abrams, « EICAR, – The Most Common False Positive in the World », Webroot (en), 5 septembre 2018.
↑ « eicar.com.txt », sur secure.eicar.org.
↑ Abrams 1999, p. 275.
↑ (en) « A Tutorial in x86 Assembly Language: An Examination of the EICAR Standard AV Test Program », sur thestarman.pcministry.com, dernière mise à jour le 22 février 2006.
↑ (en) Jérôme Bruandet, « Anatomy of the EICAR Antivirus Test File », sur blog.nintechnet.com, The Ninja Technologies Network, 26 août 2021.

Annexes

Bibliographie

[Abrams 1999] (en) Randy Abrams, « Giving the EICAR test file some teeth », dans Proceedings of the Ninth International Virus Bulletin Conference (actes de la 9^e conférence du Virus Bulletin (en)), Vancouver, 30 – 1^er octobre 1999 (lire en ligne [PDF]), p. 275–280.
[AMTSO 2012] (en) « The Use and Misuse of Test Files in Anti-Malware Testing » [PDF], sur amtso.org, Anti-Malware Testing Standards Organization (en), 24 février 2012.
[Dunham 2004] (en) Ken Dunham, « EICAR Test File Security Considerations », Information Systems Security, vol. 12, n^o 6,‎ 2004, p. 7–11 (DOI 10.1201/1086/44022.12.6.20040101/79780.2, S2CID 8951072, lire en ligne ).

Articles connexes

Liens externes

(en) « Anti Malware Testfile », documentation officielle et lien de téléchargement du fichier de test , sur eicar.org.

Portail de la sécurité informatique

[microsoft-1] 1 2 3 4 5 6 7 (en) « Virus:DOS/EICAR_Test_File », sur microsoft.com, Microsoft Security Intelligence, 10 janvier 2005, mise à jour 5 septembre 2017.

[Dunham20047-2] Dunham 2004, p. 7.

[3] Eddy Willems, « The Winds of Change: Updates to the EICAR Test File » [PDF], Virus Bulletin (en), juin 2003, p. 13–15.

[AMTSO20125-4] AMTSO 2012, p. 5.

[5] (en) Randy Abrams, « EICAR, – The Most Common False Positive in the World », Webroot (en), 5 septembre 2018.

[6] « eicar.com.txt », sur secure.eicar.org.

[Abrams1999275-7] Abrams 1999, p. 275.

[8] (en) « A Tutorial in x86 Assembly Language: An Examination of the EICAR Standard AV Test Program », sur thestarman.pcministry.com, dernière mise à jour le 22 février 2006.

[9] (en) Jérôme Bruandet, « Anatomy of the EICAR Antivirus Test File », sur blog.nintechnet.com, The Ninja Technologies Network, 26 août 2021.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Nom technique	Bitdefender^[1] : EICAR-Test-File (not a virus) ESET^[1] : Eicartest FProt^[1] : Eicar_test_file Kaspersky^[1] : EICAR-Test-File Microsoft^[1] : Virus:DOS/EICAR_Test_File Sophos^[1] : EICAR-AV-Test Trend Micro^[1] : Eicar_test_file
Type	Fichier de test de logiciel antivirus, non malveillant
Auteur	European Institute for Computer Antivirus Research (EICAR)
Système(s) d'exploitation affecté(s)	MS-DOS, Windows