最近は多くの企業でランサムウェアやEmotet(エモテット)のようなマルウェアに感染して業務が継続できない被害が発生している状況。というニュースが多々あります。自分の環境で本当にウイルスチェックソフトウエアが動作しているのか不安になることも多いと思います。そこでウイルスチェックソフトをインストールしているが本当に動作しているのかを確認するためにEICARで作成されている無毒化されているサンプルウイルスを取得してどのような動きになるのか確認してみます。
はじめに
European Institute for Computer Anti-virus Researchは、1991年に欧州コンピュータアンチウイルス研究所(EICAR)として設立された組織。アンチウイルスソフトウェアの応答をテストするためのファイルとして、EICARテストファイル (EICAR Standard Anti-Virus Test File) がある。
詳しくは下記参照
https://www.eicar.org/
ダウンロードしてみる
では、ローカル環境にEICARテストファイルをダウンロードしてウイルスチェックソフトがリアルタイム検知を行うか検証してみましょう。
なお、私の環境はWindows11上でMS標準の Microsoft Defender を利用しリアルタイム保護をONにしています。
https://www.eicar.org/
にアクセスすると以下のようなページが表示されるので、DOWNLOADをクリックする。
Download area using the secure, SSL enabled protocol HTTPS にあるリンクをクリックすると以下のようなページが表示される。
eicar.com または eicar.com.txt をクリックする
eicar.com
68 Bytes というリンクにはテストファイルの文字列がそのまま表示される。
https://secure.eicar.org/eicar.com
eicar.com.txt
68 Bytes というリンクにはテキストファイルが表示される。
(ブラウザによってはダウンロードされるかもしれません。)
https://secure.eicar.org/eicar.com.txt
名前をつけて保存する
保存すると、Windowsセキュリティ(Microsoft Defender)が動作し、
このような表示がされますのでリアルタイム検知が行われていることがわかります。
なおダウンロードされたファイルをクリックすると以下のように表示され該当ファイルが削除されます。
保護の履歴を確認する
検知した内容はWindowsセキュリティの保護の履歴に格納されていますので見てみましょう。
というような内容が最終行に記載されているので正しく動作していることがわかります。
zipファイルをダウンロードする
zipファイルをダウンロードしてみましょう。
圧縮されているファイルの中身もチェックするようでダウンロードは不可能です。
リアルタイム検知が行われていることがわかります。
保護の履歴を確認する
というような内容が記載されているので正しく動作していることがわかります。
なお、完全除去するにはOSの再起動が必要なようです。
テキストファイルを作成する
こんどはテキストファイル(eicar_com.txt)を作成してみましょう。
に記載されている文字列をテキストファイルに書き込んで保存してみます。
eicar_com.txtというファイルを作成してみます。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
という文字列を記載して保存すると以下のような内容が記載されているので正しく動作していることがわかります。
エディタを閉じると・・・
テキストファイルが無くなりましたのでリアルタイム検知が行われていることがわかります。
保護の履歴を確認する
というような内容が記載されているので正しく動作していることがわかります。
Windows Defenderのログを確認する
Windows Defenderのログは下記に格納されています。
C:\ProgramData\Microsoft\Windows Defender\Support
MPLog-日付.log
というファイルがあるのでテキストエディタで表示してみましょう。
DETECTIONEVENT や、 Virus という文字列で検索すると、
xxxx-xx-xxxx:xx:xx.xxxx DETECTIONEVENT MPSOURCE_REALTIME Virus:DOS/EICAR_Test_File file:C:\Temp\eicar.com\eicar_com.txt;
というような記載があるので正しく検出されていることがわかります。
なお、ウイルスチェックソフト(私の場合はWindows Defender)の定義ファイルに登録されていないような新しいウイルスは検出できませんので過信は禁物です。
以上です。