search
LoginSignup
0

posted at

EICAR マルウェア対策テストファイルを使ってウイルスチェックソフトが正しく動作しているか検証する

最近は多くの企業でランサムウェアやEmotet(エモテット)のようなマルウェアに感染して業務が継続できない被害が発生している状況。というニュースが多々あります。自分の環境で本当にウイルスチェックソフトウエアが動作しているのか不安になることも多いと思います。そこでウイルスチェックソフトをインストールしているが本当に動作しているのかを確認するためにEICARで作成されている無毒化されているサンプルウイルスを取得してどのような動きになるのか確認してみます。

はじめに

European Institute for Computer Anti-virus Researchは、1991年に欧州コンピュータアンチウイルス研究所(EICAR)として設立された組織。アンチウイルスソフトウェアの応答をテストするためのファイルとして、EICARテストファイル (EICAR Standard Anti-Virus Test File) がある。
詳しくは下記参照
https://www.eicar.org/

ダウンロードしてみる

では、ローカル環境にEICARテストファイルをダウンロードしてウイルスチェックソフトがリアルタイム検知を行うか検証してみましょう。

なお、私の環境はWindows11上でMS標準の Microsoft Defender を利用しリアルタイム保護をONにしています。
image.png

https://www.eicar.org/
にアクセスすると以下のようなページが表示されるので、DOWNLOADをクリックする。
image.png

Download area using the secure, SSL enabled protocol HTTPS にあるリンクをクリックすると以下のようなページが表示される。
image.png

eicar.com または eicar.com.txt をクリックする

eicar.com
68 Bytes というリンクにはテストファイルの文字列がそのまま表示される。
https://secure.eicar.org/eicar.com

eicar.com.txt
68 Bytes というリンクにはテキストファイルが表示される。
(ブラウザによってはダウンロードされるかもしれません。)
https://secure.eicar.org/eicar.com.txt

名前をつけて保存する

これらを名前を付けて保存してみてください。
image.png

保存すると、Windowsセキュリティ(Microsoft Defender)が動作し、
このような表示がされますのでリアルタイム検知が行われていることがわかります。

なおダウンロードされたファイルをクリックすると以下のように表示され該当ファイルが削除されます。
image.png

保護の履歴を確認する

検知した内容はWindowsセキュリティの保護の履歴に格納されていますので見てみましょう。

image.png

というような内容が最終行に記載されているので正しく動作していることがわかります。

zipファイルをダウンロードする

zipファイルをダウンロードしてみましょう。

image.png

圧縮されているファイルの中身もチェックするようでダウンロードは不可能です。
リアルタイム検知が行われていることがわかります。

保護の履歴を確認する

それでは検知した内容の保護の履歴を確認してみましょう。
image.png

というような内容が記載されているので正しく動作していることがわかります。
なお、完全除去するにはOSの再起動が必要なようです。

テキストファイルを作成する

こんどはテキストファイル(eicar_com.txt)を作成してみましょう。
image.png

に記載されている文字列をテキストファイルに書き込んで保存してみます。

image.png

eicar_com.txtというファイルを作成してみます。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

という文字列を記載して保存すると以下のような内容が記載されているので正しく動作していることがわかります。
image.png

エディタを閉じると・・・

image.png

テキストファイルが無くなりましたのでリアルタイム検知が行われていることがわかります。

保護の履歴を確認する

image.png

というような内容が記載されているので正しく動作していることがわかります。

Windows Defenderのログを確認する

Windows Defenderのログは下記に格納されています。
C:\ProgramData\Microsoft\Windows Defender\Support
MPLog-日付.log
というファイルがあるのでテキストエディタで表示してみましょう。

DETECTIONEVENT や、 Virus という文字列で検索すると、

xxxx-xx-xxxx:xx:xx.xxxx DETECTIONEVENT MPSOURCE_REALTIME Virus:DOS/EICAR_Test_File file:C:\Temp\eicar.com\eicar_com.txt;

というような記載があるので正しく検出されていることがわかります。
なお、ウイルスチェックソフト(私の場合はWindows Defender)の定義ファイルに登録されていないような新しいウイルスは検出できませんので過信は禁物です。

以上です。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
0