Probando antivirus – Fichero EICAR

Hoy queríamos escribir sobre un tema que lleva muchos años en la seguridad de la información y que nos resulta interesante comentar aquí: el fichero EICAR, conocido como el fichero de texto Anti-malware.

Es un fichero original fue creado por Paul Ducklin en cooperación con CARO, (Computer Antivirus Research Organization) un grupo que ha estado trabajando desde 1990 para estudiar el fenómeno de los virus informáticos y fue redefinido por el EICAR (European Institute for Computer Antivirus Research) con el nombre EICAR Standard Anti-Virus Test File.

Este fichero se creó para probar el software anti-virus contra los virus reales de una manera controlada, dado que no se deben hacer las pruebas en un entorno real. De esta manera podemos probar el software sin tener que utilizar un verdadero virus que pueda causar daño real al no responder el antivirus correctamente.

Con este proyecto, se consiguió un estándar que pudiese utilizarse por todas las compañías de antivirus. Hay que matizar que solo nos sirve para comprobar el comportamiento del programa antivirus y en qué circunstancias detecta el antivirus los archivos infectados, pero no llega a indicar que virus es capaz de detectar el antivirus o el nivel de eficacia del antivirus.

El fichero se crea introduciendo la siguiente cadena en nuestro editor de texto plano:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Aunque la definición nos indica que debe ser nombrado con la extensión .com, los antivurus son capaces de detectar el fichero en otras muchas extensiones. Para demostrarlo vamos a hacer una serie de pruebas con un fichero EICAR con extensión .doc.

Desde nuestro punto de vista, este pequeño fichero es muy interesante, ya que nos ayuda en un pentesting a detectar si la aplicación permite que se suban ficheros sin comprobar si estos presentan un virus o no. Esta situación es más habitual de lo que parece ya que muchas webs controlan la tipología de ficheros que nos permiten subir (pdf,txt,doc,xls,…), pero no envían esos ficheros a ningún tipo de API que controle la posible existencia de virus. Esto habitualmente se hace porque se tiene la creencia de que los virus siempre son ficheros ejecutables y que los documentos de texto o las imágenes no son peligrosas, pero esto no es cierto. Por eso, si eres el administrador de una web te recomendamos que utilices siempre un análisis de los posibles virus que puedan existir en los ficheros que se permite subir a los usuarios. Según el tipo de aplicación que gestionamos, se tienen distintas alternativas. Si es un proyecto sin ánimo de lucro, se puede optar por un API de análisis online gratuito como el que ofrece Virus Total o en caso contrario, se tendrá que utilizar el API de nuestro antivirus favorito, o el que utilice la empresa que estemos administrando en caso de no ser nuestro el proyecto.

Una vez explicado el concepto y su importancia, hemos decidido hacer una serie de pruebas para comprobar el funcionamiento de este pequeño fichero.

La primera de las pruebas ha sido crear nuestro fichero y guardarlo en un equipo que está protegido con Symantec Endpoint Protection.

EICAR_ok

Como se puede ver, el propio antivirus lo detecta de manera online de una manera correcta.

Después de esta prueba, decidimos probarlo en Gmail, para demostrar que el servidor de correo que utilizamos está siendo protegido por un antivirus.

eicar2

En este caso, el resultado era también positivo, por lo que decidimos hacer una ultima prueba, con la que buscar si alguna compañía de antivirus no detectaba el fichero en estas condiciones. Para ello, subimos el fichero a VirusTotal y realizamos su análisis.

eicar1

Como se puede ver en la imagen, aunque parezca sorprendente 4 de los 57 antivirus que tienen en VirusTotal no siguen el estándar establecido y no nos indican que EICAR sea un virus.

A continuación podéis ver parte del resultado obtenido

deteccion 1

Como se puede ver los antivirus alibaba, ByteHero, Malwarebytes y PANDA, por algún motivo no siguen el estándar de EICAR. Si alguno trabajáis en alguno de estos fabricantes o conocéis a alguien que lo haga, preguntarle el motivo 🙂

Esperamos que os haya resultado interesante el post.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *