PDA

Просмотр полной версии : Тестовый вирус (TIFF, PDF, DOC)



ezarubaeva
18.05.2009, 17:17
Здравствуйте,
Я столкнулась со следующей проблемой. Мы установили на сервере систему, позволяющую пользователям закачивать на него файлы в формате TIFF, PDF и DOC (это копии документов). В ходе закачки, помимо прочего, проверяются две вещи:
1. Соответствие расширения формату (т.е. что файл с расширением TIFF - действительно TIFF).
2. Отсутствие вирусов (используем ClamAV).
Для проверки шага 2 мне нужен TIFF файл, который распознается системой как вирус. Можно было бы взять строчку EICAR (eicar.org) и вставить ее внутрь файла. Но тогда формат файла не будет соответствовать расширению и до шага 2 я не дойду.
Может быть, кто-нибудь мне подскажет, где взять файлы этого формата, расцениваемые как зараженные? Или как вставить EICAR строчку, не нарушив TIFF формата?

Ego1st
18.05.2009, 17:36
открываем блокнотом, и в конце прописываем то что прописано в EICAR

Kuzz
18.05.2009, 17:38
В формате TIFF есть поле Copyright
А если попробовать в него вставить EICAR?

ezarubaeva
18.05.2009, 18:37
Спасибо.
Вставить просто в конец не пойдет (портится TIFF формат, мне этого нельзя - получается The selected file is not a valid Microsoft Office Document Imaging file.)
В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?

ALEX(XX)
18.05.2009, 18:52
HEX-редактор надо использовать... Блокнот может много чего не так сохранить, если не ошибаюсь

Kuzz
18.05.2009, 19:05
В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?

Достаточно продвинутые графические редакторы это позволяют.

ezarubaeva
19.05.2009, 12:15
Скачала редактор (Hex Editor Neo) - ничего не разобрать. Какие графические редакторы можно назвать достаточно продвинутыми?
Видимо, мне надо какого-то спеца по формату Tiff поискать, пойду попробую...

Добавлено через 6 минут

Вообще удивительно получилось, я думала поначалу, что мне нужен файл с вирусом, а оказалось, нужна консультация по формату TIFF!

А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.

Damien
19.05.2009, 12:16
Название: Зима.tif
Размер: 1.38 Мб
Доступен до: 2009-06-18 12:15:24
Ссылка для скачивания файла: http://ifolder.ru/12191769

строка EICAR в EXIF и Сводка/Автор

если до и после текста EICAR в блокноте набросать несколько символов, Bitdefender уже ничего не находит...virustotal (http://www.virustotal.com/ru/analisis/d453e1e71faf6327bc94798754ae7467)

Kuzz
19.05.2009, 12:24
А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.

Да и не должен помечать.
Внутри файла строка хранится в другом виде + теги форматирования + описания шрифтов...
В итоге от оригинальной строки почти ничего не остается.

Вообще формат *.doc закрыт. Наверное стоит смотреть в сторону макровирусов...

ezarubaeva
19.05.2009, 13:14
Damien - спасибо огромное!!!
Файл скачала, буду использовать. Будете в Питере - с меня пирожок.
DOC и PDF с тестовыми вирусами мне дали производители антивируса, я им написала. А вот TIFF у них не было.

Damien
19.05.2009, 13:57
у меня сомнения, что с добавлением строки EICAR что-то получится.
Похоже, антивирусам все равно на присутствие в файле этой строки. Они настроены на файл, в котором кроме EICAR ничего нет (т.е. только 68 байт).
Выше уже есть ссылка, где честно прочесали файл только два антивируса.
CAT-QuickHeal+Panda.

ezarubaeva
19.05.2009, 16:52
Да, проверила я своим антивирусом (AVG) - тоже не катит. Не воспринимается EICAR, если кроме него есть еще хоть что-нибудь в файле.
Ну будем искать.