お久しぶりです!最近仕事が忙しくて、記事を書く暇がありませんでした。。
コロナの影響で仕事が減っている方もいる今の世の中では、とてもありがたいことですね!
今回はウイルス検知テストで有名な、EICAR(エイカー)テストを実施したが、何故か検知されなかった時のお話です。
EICARテストとは?
EICARテストとは、例えば各端末にウイルスバスターやマカフィー、ノートン、ESETなどのセキュリティソフト(アンチウイルスソフト)をインストールした際、正常にウイルスが検知されるか確認するために行います。
方法としては、EICARが提供するテストファイルを任意の場所に保存するだけです。
EICARテストファイルのダウンロードはこちらから。
なぜ検知できなかったのか?
実は、EICARテストファイルの中身は68バイトの文字列が記載された、ただのテキストファイルです。
内容は以下の通りです。
1 |
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* |
この内容はWikiにも掲載されていますので参考までに。。
インターネットに繋がらない環境の場合、先程のサイトからダウンロードすることができないので、手入力することもしばしばあります。
結果的にウイルスが検知されなかったのは、ただの入力ミスだと判明しましたw
どこが間違っていたのか、わかりやすく並べてみました!
1 2 3 4 |
# 誤× X50!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* # 正○ X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* |
もうおわかりでしょう!
そうです、左から3番目は「0(ゼロ)」ではなく、大文字のアルファベット「O(オー)」でした!
いや〜ただの凡ミスでお恥ずかしい限りです。。
皆さんもオフライン環境で手入力しなければならなかった場合は気をつけましょうね!
Windowsや外部メディア媒体
余談ですが、他にもWindows上で検知されない問題もありました。
Windowsには特別にソフトを入れなくても、標準のセキュリティソフト「Windows Defender」があり、当然、EICARテストファイルをウイルスとして検知することができます。
Wikiに書いてある通り、拡張子を「.com」に変更しても検知されない場合は、ファイルをダブルクリックして実行してみてください。その他、オフライン環境で手入力が面倒な場合、外部メディア媒体から取り込むことを考えるでしょう。
しかし、これがまた曲者で、ファイルを作成、またはダウンロードする端末でもウイルスとして検知されるので、外部メディアに書き込む前に隔離されてしまいます。
EICARテストファイルを作る際は、一旦セキュリティソフトを全て停止してから作業を行いましょう。
さらに、USBメモリなどに入れる場合は、セキュリティソフトが起動しているパソコンに差し込むとすぐに隔離してしまうので、読み込み専用のCDまたはDVDに書き込むことをお勧めします!セキュリティソフトのほとんどはリアルタイムスキャンを行っているため、ダウンロード、または作成した時点ですぐに検知され、ファイルを隔離するので、ファイルが突然消えたような印象でした。
本当に検知したの?と思ったらログを確認してみてくださいね。
コメント