# Форум на русском языке  > Аналитика  > Тестирование  >  Тестовый вирус (TIFF, PDF, DOC)

## ezarubaeva

Здравствуйте,
Я столкнулась со следующей проблемой. Мы установили на сервере систему, позволяющую пользователям закачивать на него файлы в формате TIFF, PDF и DOC (это копии документов). В ходе закачки, помимо прочего, проверяются две вещи:
1. Соответствие расширения формату (т.е. что файл с расширением TIFF - действительно TIFF).
2. Отсутствие вирусов (используем ClamAV).
Для проверки шага 2 мне нужен TIFF файл, который распознается системой как вирус. Можно было бы взять строчку EICAR (eicar.org) и вставить ее внутрь файла. Но тогда формат файла не будет соответствовать расширению и до шага 2 я не дойду.
Может быть, кто-нибудь мне подскажет, где взять файлы этого формата, расцениваемые как зараженные? Или как вставить EICAR строчку, не нарушив TIFF формата?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ego1st

открываем блокнотом, и в конце прописываем то что прописано в EICAR

----------


## Kuzz

В формате TIFF есть поле Copyright
А если попробовать в него вставить EICAR?

----------


## ezarubaeva

Спасибо.
Вставить просто в конец не пойдет (портится TIFF формат, мне этого нельзя - получается The selected file is not a valid Microsoft Office Document Imaging file.)
В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?

----------


## ALEX(XX)

HEX-редактор надо использовать... Блокнот может много чего не так сохранить, если не ошибаюсь

----------


## Kuzz

> В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?


Достаточно продвинутые графические редакторы это позволяют.

----------


## ezarubaeva

Скачала редактор (Hex Editor Neo) - ничего не разобрать. Какие графические редакторы можно назвать достаточно продвинутыми?
Видимо, мне надо какого-то спеца по формату Tiff поискать, пойду попробую...

*Добавлено через 6 минут*

Вообще удивительно получилось, я думала поначалу, что мне нужен файл с вирусом, а оказалось, нужна консультация по формату TIFF!

А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.

----------


## Damien

Название: Зима.tif
Размер: 1.38 Мб
Доступен до: 2009-06-18 12:15:24 
Ссылка для скачивания файла: http://ifolder.ru/12191769

строка EICAR в EXIF и Сводка/Автор

если до и после текста EICAR в блокноте набросать несколько символов, Bitdefender уже ничего не находит...virustotal

----------


## Kuzz

> А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.


Да и не должен помечать.
Внутри файла строка хранится в другом виде + теги форматирования + описания шрифтов...
В итоге от оригинальной строки почти ничего не остается.

Вообще формат *.doc закрыт. Наверное стоит смотреть в сторону макровирусов...

----------


## ezarubaeva

Damien - спасибо огромное!!!
Файл скачала, буду использовать. Будете в Питере - с меня пирожок.
DOC и PDF с тестовыми вирусами мне дали производители антивируса, я им написала. А вот TIFF у них не было.

----------


## Damien

у меня сомнения, что с добавлением строки EICAR что-то получится.
Похоже, антивирусам все равно на присутствие в файле этой строки. Они настроены на файл, в котором кроме EICAR ничего нет (т.е. только 68 байт).
Выше уже есть ссылка, где честно прочесали файл только два антивируса.
CAT-QuickHeal+Panda.

----------


## ezarubaeva

Да, проверила я своим антивирусом (AVG) - тоже не катит. Не воспринимается EICAR, если кроме него есть еще хоть что-нибудь в файле.
Ну будем искать.

----------

