Тестовый вирус (TIFF, PDF, DOC)

[ezarubaeva]

Здравствуйте,
Я столкнулась со следующей проблемой. Мы установили на сервере систему, позволяющую пользователям закачивать на него файлы в формате TIFF, PDF и DOC (это копии документов). В ходе закачки, помимо прочего, проверяются две вещи:
1. Соответствие расширения формату (т.е. что файл с расширением TIFF - действительно TIFF).
2. Отсутствие вирусов (используем ClamAV).
Для проверки шага 2 мне нужен TIFF файл, который распознается системой как вирус. Можно было бы взять строчку EICAR (eicar.org) и вставить ее внутрь файла. Но тогда формат файла не будет соответствовать расширению и до шага 2 я не дойду.
Может быть, кто-нибудь мне подскажет, где взять файлы этого формата, расцениваемые как зараженные? Или как вставить EICAR строчку, не нарушив TIFF формата?

[Ego1st]

открываем блокнотом, и в конце прописываем то что прописано в EICAR

[Kuzz]

В формате TIFF есть поле Copyright
А если попробовать в него вставить EICAR?

[ezarubaeva]

Спасибо.
Вставить просто в конец не пойдет (портится TIFF формат, мне этого нельзя - получается The selected file is not a valid Microsoft Office Document Imaging file.)
В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?

[ALEX(XX)]

HEX-редактор надо использовать... Блокнот может много чего не так сохранить, если не ошибаюсь

[Kuzz]

В поле Copyright может и получится, а как его найти среди этих квадратиков TIFF файла, не подскажете?

Достаточно продвинутые графические редакторы это позволяют.

[ezarubaeva]

Скачала редактор (Hex Editor Neo) - ничего не разобрать. Какие графические редакторы можно назвать достаточно продвинутыми?
Видимо, мне надо какого-то спеца по формату Tiff поискать, пойду попробую...

Добавлено через 6 минут

Вообще удивительно получилось, я думала поначалу, что мне нужен файл с вирусом, а оказалось, нужна консультация по формату TIFF!

А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.

[Damien]

Название: Зима.tif
Размер: 1.38 Мб
Доступен до: 2009-06-18 12:15:24
Ссылка для скачивания файла: http://ifolder.ru/12191769

строка EICAR в EXIF и Сводка/Автор

если до и после текста EICAR в блокноте набросать несколько символов, Bitdefender уже ничего не находит...virustotal

[Kuzz]

А с DOC файлом как быть, подскажите? Я просто в ворде набрала eicar, сохранила файл - мой антивирус AVG его не помечает как зараженный.

Да и не должен помечать.
Внутри файла строка хранится в другом виде + теги форматирования + описания шрифтов...
В итоге от оригинальной строки почти ничего не остается.

Вообще формат *.doc закрыт. Наверное стоит смотреть в сторону макровирусов...

[ezarubaeva]

Damien - спасибо огромное!!!
Файл скачала, буду использовать. Будете в Питере - с меня пирожок.
DOC и PDF с тестовыми вирусами мне дали производители антивируса, я им написала. А вот TIFF у них не было.

[Damien]

у меня сомнения, что с добавлением строки EICAR что-то получится.
Похоже, антивирусам все равно на присутствие в файле этой строки. Они настроены на файл, в котором кроме EICAR ничего нет (т.е. только 68 байт).
Выше уже есть ссылка, где честно прочесали файл только два антивируса.
CAT-QuickHeal+Panda.

[ezarubaeva]

Да, проверила я своим антивирусом (AVG) - тоже не катит. Не воспринимается EICAR, если кроме него есть еще хоть что-нибудь в файле.
Ну будем искать.