Security (b)log: EICAR

EICAR is geen auto van Apple, maar het Europese instituut voor computer antivirus research. Als je ze kent, dan ken je ze – hoewel ze veel meer doen – vanwege één klein bestandje: het EICAR testbestand. Het bestand is slechts 68 bytes groot en heeft de volgende inhoud:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Nou en? Wel, van deze tekens wordt je virusscanner nerveus. Hij denkt namelijk dat dit een echt virus is. En dat is precies de bedoeling. Een virusscanner is ook maar gewoon een computerprogramma, en computerprogramma’s moeten getest worden. En wat wil je dan testen? Je wilt testen of de virusscanner virussen herkent en daar adequaat op reageert. Het testen van een virusscanner is echter niet zonder gevaren, want je hebt virussen nodig om te testen of een virusscanner werkt. Zolang je dat in een geïsoleerde laboratoriumomgeving doet, hoeft dat geen probleem te zijn. Makers van virusscanners kunnen zo te werk gaan. Ze hebben uiteraard enorme collecties echte virussen, die ze op elke nieuwe versie van hun software kunnen loslaten.

Soms wil je buiten die beschermde omgeving testen – dat software in een lab goed functioneert is mooi, maar in het echt moet zij het ook doen. Het is echter bezwaarlijk om daarvoor echte computervirussen te gebruiken. En precies daar springt het EICAR testbestand in de bres. Dat ziet er voor virusscanners uit als een virus, maar het ís geen virus. Werkt de virusscanner goed, dan wordt het EICAR-bestand netjes afgevoerd (‘in quarantaine gezet’). Werkt de virusscanner niet goed, bijvoorbeeld doordat er bij de installatie iets mis ging of doordat je computer – ondanks je virusscanner – is besmet met een virus dat je virusscanner heeft uitgezet, dan veroorzaakt de test geen schade. Je moet je in dat geval alleen realiseren dat het testbestand niet gedetecteerd is en dat er dus iets mis is. En nadat het probleem verholpen is, doe je er goed aan om een volledige scan uit te voeren, want wie weet wat de virusscanner nog meer heeft gemist.

Virusscanners werken van oudsher door de bestanden op je computer te controleren tegen een lijst van ‘vingerafdrukken’ van bekende virussen. Die lijst van virusdefinities moet zeer regelmatig worden bijgewerkt, omdat er dagelijks vele nieuwe virussen bij komen (meer dan 350 duizend, zegt AV-TEST). De meeste virusscanners hebben ook het EICAR testbestand in hun viruslijst staan, maar er is in ieder geval één ‘dissident’: Malwarebytes. Dat bedrijf vindt dat het testbestand niets over de effectiviteit van een product zegt en dat het hele concept van patroon-herkenning sowieso zwaar achterhaald is.

Daar hebben ze niet helemaal ongelijk in. Juist omdat er dagelijks zoveel nieuwe virussen worden losgelaten, is het up-to-date houden van viruslijsten een eindeloze klus. Bovendien kun je niet al die virusdefinities in je viruslijst houden, want dan wordt de lijst te lang en gaat de controle op je computer te lang duren. Oudere virussen worden dus uit de lijst gehaald, waardoor je het risico loopt dat zo’n oud virus je computer alsnog besmet.

Gelukkig vertrouwen virusscanners allang niet meer alleen op viruslijsten. Ze werken ook met heuristische analyse, waarbij onderzocht wordt of een programma instructies bevat die verdacht zijn. Dat kan bijvoorbeeld door het programma eerst in een geïsoleerde omgeving van de computer (een virtuele machine of ‘zandbak’) te laten draaien en het gedrag te analyseren. Dat levert nog wel eens een false positive op: een onterechte detectie. Eén van de virusscanners die wij gebruiken, werkt met een reputatiescore, die onder andere wordt bepaald door de verspreidingsgraad van het onderzochte bestand. In een organisatie waar veel geprogrammeerd wordt, levert dat veel false positives op, die het zicht op de werkelijke dreigingen vertroebelt.

Ondanks het onschuldige karakter van hun testbestand vond EICAR het noodzakelijk om een disclaimer op hun downloadpagina te plaatsen: in paarse letters wijzen ze elke aansprakelijkheid voor schade aan je computer door hun bestand, al dan niet in combinatie met je virusscanner, af. En deze blog heb je ook op eigen risico gelezen.