EICAR è un test valido per uno scanner di virus della posta?

Question

EICAR è un test valido per uno scanner di virus della posta?

#1 da (2 voti)
#2 da (0 voti)

1

Abbiamo una configurazione di posta elettronica commerciale abbastanza standard, usiamo Outlook e Exchange e disponiamo di un servizio di terze parti molto noto che fornisce spam & filtraggio del phishing e scansione di virus e malware.

Ho eseguito un test utilizzando la versione Kaspersky del file standard EICAR (per coloro che non sanno che EICAR è un test standard utilizzato per attivare la risposta anti-virus senza alcun rischio di infezione da virus - più qui EICAR di Kaspersky )

Il file com EICAR è compresso in un file zip che ho allegato a una mail e l'ho inviato a più persone, tutti gli utenti hanno ricevuto la posta con l'allegato in tatto e senza messaggi di avviso per l'utente e nessun avviso sulla posta registro dello scanner, il file ha semplicemente bypassato lo scanner. All'apertura dell'allegato, Microsoft Intune ha immediatamente risposto e pulito il "virus". Per fare un confronto, ho inviato la stessa email al mio indirizzo Gmail che ha filtrato il messaggio.

Esistono validi motivi per cui un programma di scansione dei virus della posta non rileva il file EICAR come un virus reale e risponde di conseguenza?

email virus email-attachments

posta iainpb 14.06.2017 - 11:01

fonte

2 risposte

Leggi altre domande sui tag email virus email-attachments

Esiste uno standard per determinare se una chiave / hash segreta è sicura? Secure JSON su websocket - crittografia

score 2 · Answer 1

Il punto di EICAR è che i programmi A-V risponderanno ad esso come se fosse un vero virus, è di uso limitato se non lo fanno.

Ciò che vedi qui probabilmente richiede ulteriori indagini, come suggerisce @schroeder nei commenti.

Consiglierei prima di provare a inviare EICAR senza inserirlo in un archivio. Se viene rilevato a quel punto, sembra che lo scanner non stia riesaminando completamente i file all'interno degli archivi, se non viene rilevato a quel punto sembra che lo scanner sia difettoso o non si attivi correttamente su EICAR.

score 0 · Answer 2

"Esistono validi motivi per cui un programma di scansione dei virus della posta non rileva il file EICAR come un vero virus e risponde di conseguenza?"

Se lo scanner di posta elettronica non ha le capacità per decomprimere il file del pacchetto eseguibile, il file EICAR verrà spostato sotto il radar.

AFAIK, lo scanner di posta elettronica di tutti i principali fornitori di AV (che inviano il proprio prodotto ad AVtest) ha tali capacità. Tuttavia, non vi è alcuna garanzia che il decompressore funzioni sempre, poiché il venditore del packer si guadagna da vivere vendendo questi strumenti "per proteggere il codice proprietario del cliente".

Inoltre, una malvertisement / posta spam può anche svolgere un semplice trucco di ingegneria sociale. Per esempio. archiviare l'EICAR e proteggere la password dell'archivio; inserisci la password nell'e-mail e comunica all'utente di inserirla quando viene visualizzata durante l'estrazione. Ecco perché oltre allo scanner di e-mail è necessario un tipico scanner AV.