Antivirussoftware is een belangrijk onderdeel van elke fatsoenlijke cyberbeveiligingsstrategie, of het nu wordt gebruikt om een grote organisatie of een persoonlijk apparaat te beschermen tegen aanvallen van buitenaf. Er zijn honderden antivirussoftwareoplossingen en de meeste werken volgens hetzelfde basisprincipe: ze detecteren, plaatsen en verwijderen schadelijke code.
Maar is er een manier om te testen of een antivirusprogramma goed werkt? Het antwoord is ja, en het gaat om iets dat het EICAR-testbestand wordt genoemd.
Wat is het EICAR-testbestand?
Eenvoudig gezegd is het EICAR-testbestand een computerbestand dat is ontwikkeld om de respons van antivirusproducten (antimalware) te testen. Het is geen echt computervirus, maar het imiteert malware en maakt zo veilig en effectief testen mogelijk.
Het EICAR-testbestand is ontwikkeld door het European Institute for Computer Antivirus Research (EICAR) en Computer Antivirus Research Organization (CARO). Beide organisaties bestaan al sinds het begin van de jaren negentig, en dat zijn ze ook gericht op malware-onderzoek.
Hoe u uw antivirus kunt testen met het EICAR-testbestand
Om het EICAR-testbestand te downloaden en te controleren of uw antivirus goed is, gaat u naar eicar.org. De site biedt vier verschillende bestanden om te downloaden: eicar.com, eicar.com.txt, eicar_com.zip en eicarcom2.zip. Het wordt ten zeerste aanbevolen om ze allemaal te downloaden en uw antivirusprogramma te laten doen wat het moet doen.
Het eerste bestand, eicar.com, is 68 bytes lang en bevat de volgende ASCII-string: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H +H*. Het tweede bestand is een kopie van dit bestand, met een andere bestandsnaam. Het derde bestand, eicar_com.zip, is een ZIP-archiefbestand dat moet worden uitgepakt om toegang te krijgen tot het daadwerkelijke 'virus'. Het vierde bestand bevat het derde bestand. Dus in eicarcom2.zip is het EICAR-testbestand zelf verborgen onder twee lagen ZIP-bestanden.
Als u een van deze bestanden probeert te downloaden en uw antivirussoftware blokkeert de download, dan doet het zijn werk goed. Als u het echter echt wilt testen, schakelt u uw antivirus even uit, downloadt u het vierde bestand (het bestand met twee ZIP-lagen) en scant u vervolgens om te zien of het product dat u gebruikt in staat is om door deze meerdere lagen heen te dringen en te detecteren wat verondersteld wordt schadelijke code te zijn.
Goede antivirussoftware zal het EICAR-testbestand onmiddellijk detecteren en vervolgens in quarantaine plaatsen of verwijderen.
Wat als uw antivirusprogramma het EICAR-testbestand niet detecteert?
Als uw antivirussuite om de een of andere reden het EICAR-testbestand niet detecteert, is het hoogstwaarschijnlijk niet goed genoeg, werkt het niet goed of is het gewoon al een tijdje niet bijgewerkt. Er zijn echter enkele uitzonderingen. Zo herkent Malwarebytes, een goed en betrouwbaar antimalwareproduct, het EICAR-testbestand niet altijd als kwaadaardig.
malwarebytes zei in 2016 dat "het detecteren van de EICAR-strings niets betekent in termen van het bewijzen van de effectiviteit van een product in de praktijk tegen bedreigingen." Volgens het bedrijf kan het EICAR-experiment alleen aantonen of een antivirusprogramma een patroonherkenningshandtekening kan gebruiken, maar zelfs als het kan, betekent dat niet dat het meer geavanceerde malware-aanvallen kan stoppen die bepaalde verduistering en ontduiking van handtekeningen gebruiken technieken.
Hoe u uw antimalwaresoftware kunt testen
De kritiek van Malwarebytes heeft misschien enige verdienste, maar afgezien daarvan kan het EICAR-testbestand nog steeds nuttig zijn als het gaat om het testen van de reactie van uw antivirussoftware op mogelijke bedreigingen.
Toch spreekt het voor zich dat je schaduwrijke websites moet vermijden, niets moet downloaden van onbekende bronnen en nooit op verdachte links of e-mailbijlagen moet klikken.
En welk antimalwareproduct u ook gebruikt, zorg ervoor dat u het regelmatig bijwerkt en let op de nieuwste trends op het gebied van cyberbeveiliging. Dat gezegd hebbende, er zijn verschillende andere manieren om antivirussoftware te testen, zonder uw apparaat en persoonlijke informatie in gevaar te brengen.
