EICAR 테스트 파일
EICAR 안티바이러스 테스트 파일(EICAR Anti-Virus Test File)[1] 또는 EICAR 테스트 파일(EICAR test file)은 유럽 컴퓨터 안티바이러스 연구소(EICAR)와 컴퓨터 안티바이러스 연구 기구(CARO)에서 개발한 컴퓨터 파일이다. 이 파일은 컴퓨터 안티바이러스(AV) 프로그램의 반응을 시험하기 위해 만들어졌다.[2] 실제 피해를 줄 수 있는 악성 프로그램 대신, 이 테스트 파일을 사용하면 실제 컴퓨터 바이러스를 사용하지 않고도 안전하게 안티바이러스 소프트웨어를 시험할 수 있다.[3]
안티바이러스 프로그래머들은 EICAR 문자열을 다른 식별된 시그니처와 유사하게 확인된 바이러스로 설정한다. 이 기준을 준수하는 바이러스 검사 프로그램은 이 파일을 탐지할 때 유해한 바이러스를 발견했을 때와 거의 동일한 방식으로 반응한다. 모든 바이러스 검사 프로그램이 이 기준을 준수하는 것은 아니며, 올바르게 구성되었더라도 이 파일을 탐지하지 못할 수 있다. 파일을 탐지하는 방식이나 표시되는 문구가 표준화되어 있지 않아 실제 악성 프로그램을 표시하는 방식과 다를 수 있지만, 유럽 컴퓨터 안티바이러스 연구소가 설정한 엄격한 사양을 충족하는 한 실행을 방지해야 한다.[4]
EICAR 테스트 문자열의 사용은 단순한 탐지보다 더 다양할 수 있다. EICAR 테스트 문자열이 포함된 파일을 압축하거나 아카이브한 후 안티바이러스 소프트웨어를 실행하여 압축 파일 내의 테스트 문자열을 탐지할 수 있는지 확인할 수 있다. AMTSO 기능 설정 검사의[5] 대부분은 EICAR 테스트 문자열을 기반으로 한다.[5]
설계
[편집]EICAR 테스트 파일은 68 바이트에서 128 바이트 사이의[6] 텍스트 파일로, 정상적인 .com 실행 파일(일반 x86 기계어 코드)이다. 이 파일은 MS-DOS, 일부 호환 운영체제, 그리고 그 후속 버전인 OS/2와 윈도우(64비트 제외, 16비트 제한으로 인해)에서 실행할 수 있다. EICAR 테스트 파일을 실행하면 "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"이라는 문구를 출력한 후 종료된다. 이 테스트 문자열은 저명한 안티바이러스 연구원인 패짓 피터슨과 폴 덕린이 작성했으며, 표준 컴퓨터 키보드로 쉽게 입력할 수 있는 ASCII 인간이 읽을 수 있는 문자로 구성되도록 설계되었다[7]. 이 제약 조건으로 인해 발생하는 기술적 문제를 해결하기 위해 자체 수정 코드를 사용한다.[8]
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
세 번째 문자는 숫자 0이 아닌 대문자 'O'이다.
적용
[편집]EICAR의 사양에 따르면 안티바이러스는 68 바이트 테스트 문자열로 시작하고 128 바이트를 초과하지 않는 경우에만 테스트 파일을 탐지한다. 따라서 안티바이러스 프로그램은 테스트 문자열이 포함된 다른 문서에 대해서는 경고를 발생시키지 않을 것으로 예상된다.[11] 그러나 테스트 파일은 여전히 안티바이러스 소프트웨어의 반응을 이용하여 일부 악의적인 목적으로 사용될 수 있다. 예를 들어, 심볼릭 링크와 관련된 경쟁 조건으로 인해 안티바이러스 프로그램이 자체적으로 삭제되는 경우가 있을 수 있다.[12]
같이 보기
[편집]각주
[편집]- ↑ “Is Your Antivirus Working?”. 《PCMAG》 (영어). 2017년 4월 17일에 확인함.
- ↑ Hay, Richard (2016년 9월 12일). “How To: Test the SmartScreen Filter and Windows Defender Detection Scenarios”. IT Pro Today. 2019년 7월 3일에 확인함.
- ↑ Hess, Ken. “360 Total Security Anti-virus first impressions: Refreshingly subtle but thorough”. 《ZDNet》 (영어). 2017년 4월 17일에 확인함.
- ↑ “The Use and Misuse of Test Files in Anti-Malware Testing” (PDF). AMTSO. 2012년 2월 24일. 2019년 7월 3일에 확인함.
- ↑ 가 나 “AMTSO Security Features Check Tools”. 《AMTSO》.
- ↑ Willems, Eddy (June 2003). “The Winds of Change: Updates to the EICAR Test File” (PDF). 《Virus Bulletin》.
- ↑ Willems, Eddy. “EICAR's Test File History” (PDF). 《Eicar – European Expert Group for IT–Security》. 2015년 12월 16일에 원본 문서 (PDF)에서 보존된 문서. 2020년 5월 9일에 확인함.
- ↑ “Anatomy of the EICAR Antivirus Test File.”. 《NinTechNet's updates and security announcements.》. 2021년 8월 26일.
- ↑ “EICAR-STANDARD-ANTIVIRUS-TEST-FILE”. 2019년 7월 21일에 확인함.
- ↑ “Virus Profile: EICAR test file”. 《McAfee》. 2009년 2월 5일에 원본 문서에서 보존된 문서. 2020년 5월 9일에 확인함.
- ↑ “Download Anti Malware Testfile – Eicar” (독일어). 2022년 4월 28일에 원본 문서에서 보존된 문서. 2020년 9월 22일에 확인함.
- ↑ “Exploiting (Almost) Every Antivirus Software – RACK911 Labs”.
외부 링크
[편집]- EICAR 테스트 파일 - 공식 웹사이트 (also known as the European Expert Group for IT-Security)
- EICAR 표준 안티바이러스 테스트 프로그램 고찰 EICAR 테스트 파일의 어셈블리어 분석
- EICAR 파일을 스캔한 바이러스 토탈 안티바이러스 결과
- “안티멀웨어 테스팅에서의 테스트 파일의 사용과 오용”. 안티멀웨어 테스팅 표준 기구. 2017년 8월 16일에 원본 문서에서 보존된 문서.