web-dev-qa-db-fra.com

Le test de virus EICAR utilisait malicieusement pour supprimer des journaux?

Aujourd'hui au travail, on m'a demandé de tester notre logiciel anti-virus sur nos serveurs Linux. J'ai tenté de créer un fichier texte contenant le Signature du test de virus EICAR . Le fichier a été supprimé instantanément, indiquant que l'analyse du virus en temps réel fonctionnait. Cependant, cela m'a fait penser ... Comme il s'agit d'une chaîne relativement courte de ASCII caractères imprimables, cela pourrait être facilement inséré dans de nombreuses formes d'entrée utilisateur. Donc, en fonction de la façon dont l'anti- Le logiciel Virus gère cela, vous pourrez peut-être l'utiliser pour forcer une suppression d'un fichier si vous êtes en mesure de l'ajouter à cela. Par exemple, disons qu'un serveur Web enregistre toutes les demandes que vous l'envoyez et vous insérez cette eicar. Signature du virus dans une demande et il est connecté dans un fichier, et le fichier est ensuite supprimé. J'ai essayé de chercher google d'une utilisation malveillante du test de virus EICAR, mais n'a pas été en mesure de trouver des exemples d'utilisation abusive de cela à l'état sauvage. Toute personne Sachez si cela a été fait auparavant? C'est une idée intéressante qu'un logiciel anti-virus pourrait être une menace pour ce qui serait autrement non menaçant. pensées?

[ÉDITER]

En conclusion, si elle est mise en œuvre correctement dans le logiciel AV, le test EICAR ajouté à un fichier journal ne serait pas détecté (ce qui est bon). Cependant, j'ai découvert que cela n'est pas toujours mis en œuvre correctement. Par conséquent, certains logiciels antivirus peuvent agir à tort si cela devait être ajouté à un fichier journal. Voir mon analyse effectuée ci-dessous:

Un logiciel anti-virus qui détecte avec précision la signature de test EICAR par lui-même dans un fichier: https://www.virustotal.com/fr/file/56606AD869484CCBB4D012F9863351741AAB96763345AB96763345209567/Analysis/1409779284/ == ==

Software antivirus qui détecte la signature de test EICAR même s'il a été ajouté à un fichier (ceci viole la règle de test EICAR et n'a donc pas été implémenté dans le logiciel AV conformément au protocole): HTTPS: // www. Virustotal.com/fr/file/f5B88459F4B2C6425BDFC5C8F4F17027E0BFCCC65A4C39DBB48F96C81CE17369C/Analysis/1409779665/ ===

[/ÉDITER]

20
ansichart

Non, ça ne fonctionnera pas de cette façon.

Lecture la documentation de Eicar nous pouvons voir pourquoi:

Les 68 premiers caractères sont la chaîne connue. Il peut être éventuellement annexé par toute combinaison de caractères blancheurs avec la longueur totale de fichier ne dépassant pas 128 caractères.

Donc, le fichier doit démarrer avec ladite chaîne et ne doit pas dépasser 128 octets. Tous vos journaux vont probablement commencer par un horodatage et avoir plus de 128 octets dessus.

11
ThoriumBR