Die komplette Wahrheit über Viren & Co.

Dienstag, 5. März 2019

Jeder kennt die Eicar-Datei. Mit Hilfe dieser Datei können Sie leicht überprüfen, ob der Datei-Wächter funktioniert und Ihre Virenschutzsoftware das Herunterladen von bösartigen Dateien aus dem Netz verhindert. Tatsächlich besitzt diese Datei aber noch mehr Möglichkeiten.

Angenommen, Sie möchten wissen, ob unsere Virenschutzsoftware Webseiten mit böswilligen Skripts erkennt. Rufen Sie dafür bitte diese Webseite auf.

Hierbei handelt es sich um eine ziemlich primitive Webseite mit nur ein paar Zeilen:

<HTML> <meta http-equiv=”Content-Type” content=”text/html”>
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>
</BODY>
</HTML>

Wenn der Scan durch SpIDer Gate aktiviert ist, funktioniert Dr.Web korrekt:

Glauben Sie, dass es hierbei um einen primitiven Test geht und alle Browser diesen bestehen müssen?

Kopieren wir zunächst diesen Inhalt in die Datei eicar.html:

Versuchen wir nun, die Datei über den Browser zu laden:

Es ist seltsam, dass die Datei wie eine Textdatei hochgeladen wurde. Wir schauen uns die Adressleiste des Browsers genau an und sehen: Wir haben die Datei eicar.html.txt hochgeladen – und nicht eicar.html! Warum das?

Das Betriebssystem Windows zeigt standardmäßig keine Erweiterungen an. In der Tat haben wir eicar.html anstelle von eicar.html.txt erstellt, sehen aber nicht die tatsächliche Erweiterung.

Öffnen Sie die Systemsteuerung und gehen Sie anschließend auf All Control Panel Items:

Gehen Sie dann auf Tab View → Advanced Settings → Hide extensions for known file types... und entfernen Sie das Häkchen:

Wir benennen nun die Datei in eicar.html um und versuchen, diese auszuführen. Das System bittet uns, die Anwendung anzugeben, die diese Art von Dateien verarbeitet. Nun wählen wir den entsprechenden Browser:

Internet Explorer:

Mozilla Firefox:

Stimmt etwas nicht? Wenn wir eine Datei ausführen, anstatt diese über das Netz herunterzuladen, wird sie durch SpIDer Guard gescannt. So testen wir den Traffic-Scan und deaktivieren SpIDer Guard.

Und wieder sehen wir keine Bedrohung – der Browser zeigt eine leere Textseite an!

Unser Fehler besteht darin, dass wir die Datei von der Festplatte in den Browser hochgeladen haben und der Traffic nur vor dem Laden in den Browser geprüft wird. Wir passen uns der Situation an, indem wir die Datei auf eine externe Ressource hochladen und starten.

Was haben wir mit diesem Test bewiesen? Das System für den Traffic-Scan erkennt bösartige Skripte, bevor sie in den Browser hochgeladen werden. Das ist sehr wichtig, weil Dateien durch unterschiedliche Systeme heruntergeladen werden können – nicht nur durch den Browser. Das Schutzsystem macht die Bedrohung ausfindig, bevor sie geladen wird und sich ausführt.

Da wir das Funktionsprinzip jetzt verstanden haben, können wir nun ein bisschen experimentieren.

VBScript ist weniger verbreitet als JavaScript. Nun passen wir die Webseite an:

<HTML>
<meta http-equiv="Content-Type" content="text/html">
<meta http-equiv="Content-Language" content="ru" charset="windows-1251">
<BODY onload="javascript:history.back()">
<SCRIPT type="text/javascript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>
<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT> 
</BODY>
</HTML>
	

SpIDer Gate erwischt auch diese Version des Skripts.