- blogs:
- cles::blog

アンチウィルスが効いているか確認するには



アンチウィルスソフトをインストールしたら「それが本当に動作しているのかどうか確認したい」という場合があると思います。まぁ本当のウィルスを使ってチェックをしようとする手もないわけではないのですが、インストールが不完全だった場合ことを考えると怖いですよね。
なんとかリスクゼロでアンチウィルスが効いているかどうか確認したいということになるわけですが、そんなとき活躍するのがEICAR*1が公開しているEICAR-TEST-FILEです。
このファイルはワクチンソフトにて”EICAR-TEST-FILE”としてあたかもウイルスのように検出されますが、あくまでワクチンソフトの検出用のテストファイルであり、ウイルスではありません。
このEICAR-TEST-FILE、中身は何の変哲もないテキストファイルなので危険性がまったくないファイルなんですが、世の中のほとんどのアンチウィルスソフトはこのファイルをウィルスとして検出してくれます。ファイルサーバやメールサーバを作ったりする際には最後の仕上げとしてこのファイルでチェックを行っておくと良いです。
† EICAR-TEST-FILEの作り方
ファイルの入手自体はEICARのサイトからダウンロードするのが一番簡単なのですが、たとえばアンチウィルスソフトがインストールされていると、ダウンロードした瞬間にアンチウィルスソフトが作動してしまったり、会社などでアンチウィルス機能つきのゲートウェイを通してネットを閲覧している場合には、ゲートウェイ上でファイルがウィルスと認識されてページ自体が閲覧できないという場合もあります。自分自身の経験だと、昔、会社で部署のメールサーバにmailmanを導入しようとしたときに、mailmanのアーカイブにこのEICARが含まれていて、mailman自体のアーカイブがダウンロードできなかったということがあります*2。
そんな場合にはテキストエディタを使って自分のPC上でファイルを作ってしまうという手があります。
eicar.com
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
上記の68Byteをテキストエディタで入力し、拡張子を.comに変更すれば出来上がりです。
† 実は実行できるファイルだった
日本F-Secure株式会社 : ウィルス情報 EICAR-test
このファイルはウィルスではありませんが、実行された場合EICAR.COMは「EICAR-STANDARD-ANTIVIRUS-TEST-FILE」というテキストを表示し終了します。
このファイル今まで実行できないファイルだと思っていたんですが、実行できるんですね。知りませんでした。
† Symantec AntiVirusでの検出の様子
ためしに自分のPCでeicar.comを検出したときの画面をの載せておきます。
† 参考
・EICAR_TEST_FILE - 概 要
・日本F-Secure株式会社 : ウィルス情報 EICAR-test
・Symantec Security Response - Eicar Test String
・マカフィー株式会社--セキュリティ情報--
- *1: European Institute for Computer Anti-Virus Research
- *2: そのときは会社にEICARはウィルスではないと説明するための申請書を書いたりとかなかなか大変でした。
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/1718
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112950)
3 . 年次の人間ドックへ(112376)
4 . 2023 年分の確定申告完了!(1つめ)(111945)
5 . 三菱鉛筆がラミーを買収(111819)