Oggi sul lavoro mi è stato chiesto di testare il nostro software anti-virus sui nostri server Linux. Ho tentato di creare un file di testo contenente la firma del test EICAR per i virus . Il file è stato cancellato all'istante, indicando che la scansione dei virus in tempo reale stava funzionando. Tuttavia, questo mi ha fatto pensare ... poiché questa è una stringa relativamente breve di caratteri stampabili ASCII, questa potrebbe essere facilmente inserita in molte forme di input dell'utente. Quindi, a seconda di come il software Anti-Virus lo gestisce, potresti essere in grado di usarlo per forzare la cancellazione di un file se sei in grado di aggiungerlo. Ad esempio, supponiamo che un server Web registri tutte le richieste che hai inviato e tu inserisca questa firma del virus EICAR in una richiesta e questa venga registrata in un file e il file venga quindi eliminato. Ho provato a cercare su Google l'uso malevolo del test del virus EICAR ma non sono riuscito a trovare alcun esempio di abuso di questo in natura. Qualcuno sa se questo è stato fatto prima? È un'idea interessante che un software Anti-Virus possa ironicamente rappresentare una minaccia per ciò che altrimenti non sarebbe pericoloso. Pensieri?
[EDIT]
In conclusione, se implementato correttamente nel software AV, il test EICAR aggiunto a un file di log non verrebbe rilevato (che è buono). Tuttavia, ho scoperto che questo non è sempre implementato correttamente. Pertanto, alcuni software antivirus potrebbero ingiustamente intervenire se questo dovesse essere aggiunto a un file di registro. Vedi la mia analisi fatta di seguito:
Software antivirus che rileva con precisione la firma del test EICAR da sola in un file: link
Software antivirus che rileva la firma del test EICAR anche se è stato aggiunto a un file (questo viola la regola EICAR Test e quindi non è stato implementato nel software AV in base al protocollo): link
[/ EDIT]