でーたべーす

セキュリティに関することを書けたらな〜と思っています。

データストリームとして付けたEICARテストファイルをウイルス対策ソフトは検知するかの?

マルウェア

EICARテストファイルとは、ウイルス対策ソフト用のテストファイルです。
http://ja.wikipedia.org/wiki/EICAR%E3%83%86%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB

検証方法は以下のとおりです。
1 メモ帳で、「test.txt」を作成し、内容は「test」とする。
2 「test.txt:test1.txt」を作成し、内容は「test1」とする。
3 「test.txt:eicar.com」を作成し、内容は「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」とする。

このtest.txtを6種類のウイルス対策ソフトで試してみました。
○:検知した、×:検知しなかった
T社:○
N社:×
M社:○
K社:×
S社:×
F社:×
という結果でした。

T社は検知した後、「test.txt:eicar.com」のみ削除され、「test.txt:test1.txt」は削除されませんでした。
M社は検知したのみでしたが、設定によっては削除まで行うのかもしれません。
ちなみに、データストリームとしてではなく、「eicar.com」というファイルを作成し、内容を「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」として保存したファイルで試すと6社とも検知しました。