Antivirussoftware er en nøglekomponent i enhver anstændig cybersikkerhedsstrategi, uanset om den bruges til at beskytte en stor organisation eller en personlig enhed mod angreb udefra. Der er hundredvis af antivirussoftwareløsninger derude, og de fleste af dem arbejder efter det samme grundlæggende princip: de registrerer, sætter i karantæne og fjerner skadelig kode.
Men er der en måde at teste, om et antivirusprogram fungerer korrekt? Svaret er ja, og det involverer noget, der kaldes EICAR-testfilen.
Hvad er EICAR-testfilen?
Enkelt sagt er EICAR-testfilen en computerfil, der blev udviklet til at teste responsen fra antivirus-produkter (anti-malware). Det er ikke en rigtig computervirus, men den efterligner malware og giver dermed mulighed for sikker og effektiv testning.
EICAR-testfilen er udviklet af European Institute for Computer Antivirus Research (EICAR) og Computer Antivirus Research Organization (CARO). Begge disse organisationer har eksisteret siden begyndelsen af 1990'erne, og er det fokuseret på malware-forskning.
Sådan tester du dit antivirus med EICAR-testfilen
For at downloade EICAR-testfilen og kontrollere, om din antivirus er god, skal du gå over til eicar.org. Siden indeholder fire forskellige filer til download: eicar.com, eicar.com.txt, eicar_com.zip og eicarcom2.zip. Det anbefales stærkt, at du downloader hver enkelt, og lader dit antivirus gøre, hvad det skal.
Den første fil, eicar.com, er 68 bytes lang og indeholder følgende ASCII-streng: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H +H*. Den anden fil er en kopi af denne fil med et andet filnavn. Den tredje fil, eicar_com.zip, er en ZIP arkiv fil der skal udpakkes for at få adgang til den faktiske "virus". Den fjerde fil indeholder den tredje fil. Så i eicarcom2.zip er selve EICAR-testfilen skjult under to lag af ZIP-filer.
Hvis du prøver at downloade nogen af disse filer, og din antivirussoftware blokerer overførslen, så gør den sit arbejde ordentligt. Men hvis du virkelig vil teste det, deaktiver dit antivirus et øjeblik, download den fjerde fil (den der har to ZIP-lag) og scan derefter det for at se, om det produkt, du bruger, er i stand til at trænge gennem disse flere lag og opdage, hvad der formodes at være ondsindet kode.
God antivirus software vil straks opdage og derefter sætte EICAR-testfilen i karantæne eller slette den.
Hvad hvis dit antivirus ikke registrerer EICAR-testfilen?
Hvis din antiviruspakke af en eller anden grund ikke registrerer EICAR-testfilen, er den højst sandsynligt ikke god nok, fungerer ikke korrekt, eller den er bare ikke blevet opdateret i et stykke tid. Der er dog nogle undtagelser. For eksempel genkender Malwarebytes, som er et godt og pålideligt anti-malware-produkt, ikke altid EICAR-testfilen som ondsindet.
Malwarebytes sagde tilbage i 2016, at "at opdage EICAR-strengene betyder ikke noget i forhold til at bevise et produkts virkelige effektivitet over for trusler." Ifølge virksomheden kan EICAR-eksperimentet kun vise, om et antivirusprogram kan bruge en mønstermatchende signatur, men selvom det kan, betyder det ikke, at det kan stoppe mere sofistikerede malware-angreb, der anvender en vis sløring og signaturunddragelse teknikker.
Sådan tester du din anti-malware-software
Malwarebytes' kritik kan have en vis fordel, men bortset fra det, kan EICAR-testfilen stadig vise sig at være nyttig, når det kommer til at teste din antivirussoftwares respons på potentielle trusler.
Alligevel siger det sig selv, at du bør styre uden om lyssky hjemmesider, undgå at downloade noget fra ukendte kilder og aldrig klikke på mistænkelige links eller vedhæftede filer i e-mails.
Og uanset hvilket anti-malware-produkt du bruger, skal du sørge for at opdatere det regelmæssigt og holde øje med de seneste trends inden for cybersikkerhed. Med alt det sagt, er der flere andre måder at teste antivirussoftware på uden at sætte din enhed og dine personlige oplysninger i fare.