# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  Тестовая проверка антивируса

## SDA

Откройте любой .txt файл, вставьте туда эту строчку: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
и нажмите «сохранить». Любой (нормальный) антивирус должен сообщить о найденном вирусе, потому что эта строка является стандартным тестовым сообщением. Если же постоянная проверка на вирусы  отключена, то нужно сделать сканирование файла. Если и тогда вирусов найдено не будет, остается попробовать последнее – переименовать расширение этого текстового файла на .com или .exe. Если и в этом случае программа промолчит, значит стоит задуматься о смене антивируса

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

http://www.eicar.org/anti_virus_test_file.htm

----------


## Rene-gad

> Если и в этом случае программа промолчит, значит стоит задуматься о смене антивируса


... и о зловредах, которые гуляют по машине и заблокировали АВ  :Wink: 
@DVi
Угу, он самый  :Wink: .

----------


## borka

> Откройте любой .txt файл, вставьте туда эту строчку: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
> и нажмите «сохранить».


Уточнение - размер файла должен быть 68 байт.

----------


## psw

> Откройте любой .txt файл, вставьте туда эту строчку: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
> и нажмите «сохранить». Любой (нормальный) антивирус должен сообщить о найденном вирусе, потому что эта строка является стандартным тестовым сообщением. Если же постоянная проверка на вирусы  отключена, то нужно сделать сканирование файла. Если и тогда вирусов найдено не будет, остается попробовать последнее – переименовать расширение этого текстового файла на .com или .exe. Если и в этом случае программа промолчит, значит стоит задуматься о смене антивируса


Возникают следующие вопросы:
1. Почему любой антивирус при *любых* настройках должен проверять заведомо неисполняемый файл? Правильно - выбрать "Сохранить как" и выбрать например расширение .com
2. Почему антивирус должен проверять содержимое файла при переименовании его расширения? При перименовании как такового чтения файла не производится, меняются только его атрибуты. Правильно - скопировать этот текстовый файл в .com или .exe.

----------


## sergey888

Переименование расширения не потребовалось Avira AntiVir PersonalEdition Classic удалил .txt файл. С расширениями .COM .EXE и RAR вирус определяется сразу, а вот в архиве 7-ZIP вирус не виден  :Angry:

----------


## DVi

Нашел интересную статью по проверке работоспособности антивируса Касперского: http://www.intuit.ru/department/secu...uskasp_13.html

Ну и вообще весь учебный курс: http://www.intuit.ru/department/security/antiviruskasp/
Вдруг кому-то будет интересно.

----------


## XP user

> X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


Кому интересно - вот тоже самое в виде x86 Assembly Code Listing (все цифры шестнадцатиричные):


```
xxxx:0100 58            POP     AX
 xxxx:0101 354F21        XOR     AX,214F
 xxxx:0104 50            PUSH    AX
 xxxx:0105 254041        AND     AX,4140
 xxxx:0108 50            PUSH    AX
 xxxx:0109 5B            POP     BX       ;--> Places 0140 in BX

 xxxx:010A 345C          XOR     AL,5C
 xxxx:010C 50            PUSH    AX
 xxxx:010D 5A            POP     DX       ;--> Places 011C in DX

 xxxx:010E 58            POP     AX
 xxxx:010F 353428        XOR     AX,2834
 xxxx:0112 50            PUSH    AX
 xxxx:0113 5E            POP     SI
 xxxx:0114 2937          SUB     [BX],SI  ;--> changes bytes at 140-141

 xxxx:0116 43            INC     BX
 xxxx:0117 43            INC     BX
 xxxx:0118 2937          SUB     [BX],SI  ;--> changes bytes at 142-143

 xxxx:011A 7D24          JGE     0140     ;--> Jumps over data string to
                                             ; the last two instructions

 xxxx:011C  45 49 43 41 52 2D 53 54 41  EICAR-STA
 xxxx:0125  4E 44 41 52 44 2D 41 4E 54  NDARD-ANT        DATA  STRING
 xxxx:012E  49 56 49 52 55 53 2D 54 45  IVIRUS-TE     which is displayed
 xxxx:0137  53 54 2D 46 49 4C 45 21 24  ST-FILE!$       by the program.


 xxxx:0140 CD21          INT     21       ;--> DOS Function 09h:
                                             ; Displays the text.
 xxxx:0142 CD20          INT     20       ;--> Program Termination funct.
```

Paul

----------


## natalas

> Нашел интересную статью по проверке работоспособности антивируса Касперского: http://www.intuit.ru/department/secu...uskasp_13.html
> 
> Ну и вообще весь учебный курс: http://www.intuit.ru/department/security/antiviruskasp/
> Вдруг кому-то будет интересно.


Спасибо что указали (сама бы я не решилась подсказывать).Я прошла этот курс и самое большое сожаление было, что не с него начала. Многое мне было уже понятно благодаря тому,что я узнала на virusinfo. А для тех кто совсем начинает очень бы порекомендовала. Кстати там и экзамен есть. 

С уважением

----------


## santy

вообще, забавный тест... неужели разработчики антивирусов не знают о нем?

----------


## DVi

> вообще, забавный тест... неужели разработчики антивирусов не знают о нем?


О чем Вы?

----------


## santy

> О чем Вы?


несколько лет назад, когда выбирал для себя антивирус, запросил бета версию программы в одной сибирской компании, и (по наивности) попросил у них библиотеку вирусов для тестирования - они мне и прислали  ейкар... с тех пор собрал достаточно большую коллекцию, опять же... в целях тестирования... Я так думаю, что для антивирусных компаний детект ейкара - это даже  не азбука умножения, это как первое слово, которое ребенок произносит после рождения.

----------


## DVi

santy, о каком тесте Вы написали вот тут: http://virusinfo.info/showpost.php?p...8&postcount=10 ?

----------


## dr.Faust

Этот "вирус" есть в стандартной комплектации Dr.Web. Валяетс где-то в его папке. Только вот имя файла не помню.
Только вот не понятно как он позволяет проверить антивирус...

----------


## borka

> Этот "вирус" есть в стандартной комплектации Dr.Web. Валяетс где-то в его папке. Только вот имя файла не помню.


Примерно так и называется - test.txt




> Только вот не понятно как он позволяет проверить антивирус...


Понимание наступает после прочтения текста.  :Smiley:

----------

