Antivirusprogramvare er en nøkkelkomponent i enhver anstendig nettsikkerhetsstrategi, enten den brukes til å beskytte en stor organisasjon eller en personlig enhet mot angrep utenfor. Det finnes hundrevis av antivirusprogramvareløsninger der ute, og de fleste av dem fungerer etter samme grunnleggende prinsipp: de oppdager, setter i karantene og fjerner ondsinnet kode.
Men er det en måte å teste om et antivirusprogram fungerer som det skal? Svaret er ja, og det involverer noe som kalles EICAR-testfilen.
Hva er EICAR-testfilen?
Enkelt sagt er EICAR-testfilen en datafil som ble utviklet for å teste responsen til antivirusprodukter (anti-malware). Det er ikke et ekte datavirus, men det etterligner skadelig programvare, og gir dermed mulighet for sikker og effektiv testing.
EICAR-testfilen ble utviklet av European Institute for Computer Antivirus Research (EICAR) og Computer Antivirus Research Organization (CARO). Begge disse organisasjonene har eksistert siden tidlig på 1990-tallet, og er det fokusert på skadevareforskning.
Slik tester du antivirusprogrammet ditt med EICAR-testfilen
For å laste ned EICAR-testfilen og sjekke om antivirusprogrammet ditt er bra, gå over til eicar.org. Nettstedet tilbyr fire forskjellige filer for nedlasting: eicar.com, eicar.com.txt, eicar_com.zip og eicarcom2.zip. Det anbefales sterkt at du laster ned hver, og lar antivirusprogrammet gjøre det det skal.
Den første filen, eicar.com, er 68 byte lang og inneholder følgende ASCII-streng: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H +H*. Den andre filen er en kopi av denne filen, med et annet filnavn. Den tredje filen, eicar_com.zip, er en ZIP-arkivfil som må pakkes ut for å få tilgang til det faktiske "viruset". Den fjerde filen inneholder den tredje filen. Så i eicarcom2.zip er selve EICAR-testfilen skjult under to lag med ZIP-filer.
Hvis du prøver å laste ned noen av disse filene og antivirusprogramvaren blokkerer nedlastingen, gjør den jobben sin ordentlig. Men hvis du virkelig vil teste det, deaktiver antivirusprogrammet et øyeblikk, last ned den fjerde filen (den som har to ZIP-lag), og skann deretter det for å se om produktet du bruker er i stand til å trenge gjennom disse flere lagene og oppdage det som antas å være ondsinnet kode.
Bra antivirusprogramvare vil umiddelbart oppdage, og deretter sette i karantene eller slette EICAR-testfilen.
Hva hvis antivirusprogrammet ditt ikke oppdager EICAR-testfilen?
Hvis antiviruspakken din av en eller annen grunn ikke oppdager EICAR-testfilen, er den sannsynligvis ikke god nok, fungerer ikke som den skal, eller den har bare ikke blitt oppdatert på en stund. Det er imidlertid noen unntak. Malwarebytes, som er et godt og pålitelig produkt mot skadelig programvare, gjenkjenner for eksempel ikke alltid EICAR-testfilen som skadelig.
Malwarebytes sa tilbake i 2016 at "å oppdage EICAR-strengene betyr ikke noe når det gjelder å bevise et produkts virkelige effektivitet mot trusler." Ifølge selskapet kan EICAR-eksperimentet bare vise om et antivirusprogram kan bruke en signatur som samsvarer med mønster, men selv om det kan, betyr det ikke at det kan stoppe mer sofistikerte malware-angrep som bruker viss tilsløring og signaturunndragelse teknikker.
Slik tester du anti-malware-programvaren
Malwarebytes kritikk kan ha en viss fordel, men til side kan EICAR-testfilen fortsatt være nyttig når det gjelder å teste responsen til antivirusprogramvaren din på potensielle trusler.
Likevel sier det seg selv at du bør styre unna lyssky nettsider, unngå å laste ned noe fra ukjente kilder, og aldri klikke på mistenkelige lenker eller e-postvedlegg.
Og uansett hvilket anti-malware-produkt du bruker, sørg for at du oppdaterer det regelmessig og hold øye med de nyeste trendene innen nettsikkerhet. Med alt det sagt, er det flere andre måter å teste antivirusprogramvare på, uten å sette enheten og personlig informasjon i fare.
