Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

IT-Sicherheits-Küche

Кухня

Andere Ausgaben dieser Rubrik (11)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Die Möglichkeiten von Eicar

Gelesen: 2668 Kommentare: 4 Rating: 9

Dienstag, 5. März 2019

Jeder kennt die Eicar-Datei. Mit Hilfe dieser Datei können Sie leicht überprüfen, ob der Datei-Wächter funktioniert und Ihre Virenschutzsoftware das Herunterladen von bösartigen Dateien aus dem Netz verhindert. Tatsächlich besitzt diese Datei aber noch mehr Möglichkeiten.

Angenommen, Sie möchten wissen, ob unsere Virenschutzsoftware Webseiten mit böswilligen Skripts erkennt. Rufen Sie dafür bitte diese Webseite auf.

Hierbei handelt es sich um eine ziemlich primitive Webseite mit nur ein paar Zeilen:

<HTML> <meta http-equiv=”Content-Type” content=”text/html”>
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>
</BODY>
</HTML>

Wenn der Scan durch SpIDer Gate aktiviert ist, funktioniert Dr.Web korrekt:

#drweb

Glauben Sie, dass es hierbei um einen primitiven Test geht und alle Browser diesen bestehen müssen?

Kopieren wir zunächst diesen Inhalt in die Datei eicar.html:

#drweb

Versuchen wir nun, die Datei über den Browser zu laden:

#drweb

Es ist seltsam, dass die Datei wie eine Textdatei hochgeladen wurde. Wir schauen uns die Adressleiste des Browsers genau an und sehen: Wir haben die Datei eicar.html.txt hochgeladen – und nicht eicar.html! Warum das?

Das Betriebssystem Windows zeigt standardmäßig keine Erweiterungen an. In der Tat haben wir eicar.html anstelle von eicar.html.txt erstellt, sehen aber nicht die tatsächliche Erweiterung.

Öffnen Sie die Systemsteuerung und gehen Sie anschließend auf All Control Panel Items:

#drweb

Gehen Sie dann auf Tab ViewAdvanced SettingsHide extensions for known file types... und entfernen Sie das Häkchen:

#drweb

Wir benennen nun die Datei in eicar.html um und versuchen, diese auszuführen. Das System bittet uns, die Anwendung anzugeben, die diese Art von Dateien verarbeitet. Nun wählen wir den entsprechenden Browser:

#drweb

Internet Explorer:

#drweb

#drweb

Mozilla Firefox:

#drweb

Stimmt etwas nicht? Wenn wir eine Datei ausführen, anstatt diese über das Netz herunterzuladen, wird sie durch SpIDer Guard gescannt. So testen wir den Traffic-Scan und deaktivieren SpIDer Guard.

#drweb

Und wieder sehen wir keine Bedrohung – der Browser zeigt eine leere Textseite an!

Unser Fehler besteht darin, dass wir die Datei von der Festplatte in den Browser hochgeladen haben und der Traffic nur vor dem Laden in den Browser geprüft wird. Wir passen uns der Situation an, indem wir die Datei auf eine externe Ressource hochladen und starten.

#drweb

Was haben wir mit diesem Test bewiesen? Das System für den Traffic-Scan erkennt bösartige Skripte, bevor sie in den Browser hochgeladen werden. Das ist sehr wichtig, weil Dateien durch unterschiedliche Systeme heruntergeladen werden können – nicht nur durch den Browser. Das Schutzsystem macht die Bedrohung ausfindig, bevor sie geladen wird und sich ausführt.

Da wir das Funktionsprinzip jetzt verstanden haben, können wir nun ein bisschen experimentieren.

VBScript ist weniger verbreitet als JavaScript. Nun passen wir die Webseite an:

<HTML>
<meta http-equiv="Content-Type" content="text/html">
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT type="text/javascript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT> 
</BODY>
</HTML>
	

SpIDer Gate erwischt auch diese Version des Skripts.

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Versuchen Sie das Skript selbständig anzupassen und überzeugen Sie sich von den Möglichkeiten der Dr.Web Virenschutzsoftware.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer