アンチウィルスが効いているか確認するには

アンチウィルスソフトをインストールしたら「それが本当に動作しているのかどうか確認したい」という場合があると思います。まぁ本当のウィルスを使ってチェックをしようとする手もないわけではないのですが、インストールが不完全だった場合ことを考えると怖いですよね。

なんとかリスクゼロでアンチウィルスが効いているかどうか確認したいということになるわけですが、そんなとき活躍するのがEICAR^*1が公開しているEICAR-TEST-FILEです。

各製品共通テストウイルス

このファイルはワクチンソフトにて”EICAR-TEST-FILE”としてあたかもウイルスのように検出されますが、あくまでワクチンソフトの検出用のテストファイルであり、ウイルスではありません。

このEICAR-TEST-FILE、中身は何の変哲もないテキストファイルなので危険性がまったくないファイルなんですが、世の中のほとんどのアンチウィルスソフトはこのファイルをウィルスとして検出してくれます。ファイルサーバやメールサーバを作ったりする際には最後の仕上げとしてこのファイルでチェックを行っておくと良いです。

† EICAR-TEST-FILEの作り方

ファイルの入手自体はEICARのサイトからダウンロードするのが一番簡単なのですが、たとえばアンチウィルスソフトがインストールされていると、ダウンロードした瞬間にアンチウィルスソフトが作動してしまったり、会社などでアンチウィルス機能つきのゲートウェイを通してネットを閲覧している場合には、ゲートウェイ上でファイルがウィルスと認識されてページ自体が閲覧できないという場合もあります。自分自身の経験だと、昔、会社で部署のメールサーバにmailmanを導入しようとしたときに、mailmanのアーカイブにこのEICARが含まれていて、mailman自体のアーカイブがダウンロードできなかったということがあります^*2。

そんな場合にはテキストエディタを使って自分のPC上でファイルを作ってしまうという手があります。

eicar.com

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

上記の68Byteをテキストエディタで入力し、拡張子を.comに変更すれば出来上がりです。

† 実は実行できるファイルだった

日本F-Secure株式会社 : ウィルス情報 EICAR-test

このファイルはウィルスではありませんが、実行された場合EICAR.COMは「EICAR-STANDARD-ANTIVIRUS-TEST-FILE」というテキストを表示し終了します。

このファイル今まで実行できないファイルだと思っていたんですが、実行できるんですね。知りませんでした。

† Symantec AntiVirusでの検出の様子

ためしに自分のPCでeicar.comを検出したときの画面をの載せておきます。



† 参考

・EICAR_TEST_FILE - 概　要
・日本F-Secure株式会社 : ウィルス情報 EICAR-test
・Symantec Security Response - Eicar Test String
・マカフィー株式会社--セキュリティ情報--

• ^*1: European Institute for Computer Anti-Virus Research
• ^*2: そのときは会社にEICARはウィルスではないと説明するための申請書を書いたりとかなかなか大変でした。