Phần mềm chống vi-rút là một phần quan trọng của bất kỳ chiến lược an ninh mạng nào, dù nó được sử dụng để bảo vệ thiết bị cá nhân hay một tổ chức lớn hay khỏi các cuộc tấn công từ bên ngoài. Có hàng trăm giải pháp phần mềm chống vi-rút và hầu hết chúng đều hoạt động dựa trên một nguyên tắc cơ bản: phát hiện, cách ly và loại bỏ mã độc.
Nhưng có cách nào để bạn kiểm tra xem chương trình chống vi-rút có hoạt động bình thường không? Câu trả lời là có, và nó liên quan đến tệp kiểm tra EICAR.
Tệp Kiểm tra EICAR là gì?
Tệp kiểm tra EICAR (EICAR Test File) là một tệp máy tính được phát triển để kiểm tra phản ứng của các phần mềm chống vi-rút và phần mềm độc hại. Nó không thực sự là một loại vi-rút máy tính mà chỉ bắt chước phần mềm độc hại và nhờ đó tạo một cách kiểm tra an toàn và hiệu quả.
Tệp kiểm tra EICAR được tạo ra bởi Viện Nghiên cứu Chống Virus Máy tính Châu Âu (European Institute for Computer Antivirus Research, hay EICAR) và Tổ chức Nghiên cứu Chống Virus Máy tính (Computer Antivirus Research Organization, hay CARO). Cả hai tổ chức này đều tập trung nghiên cứu phần mềm độc hại.
Cách kiểm tra phần mềm chống vi-rút bằng tệp kiểm tra EICAR
Trước hết bạn cần download tệp kiểm tra EICAR từ website eicar.org. Trang web cung cấp bốn tệp để tải xuống: eicar.com, eicar.com.txt, eicar_com.zip, và eicarcom2.zip.
Tệp đầu tiên, eicar.com, dài 68 byte và chứa chuỗi ASCII sau: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*. Tệp thứ hai là bản sao của tệp này, với một cái tên khác. Tệp thứ ba, eicar_com.zip, là tệp lưu trữ ZIP phải được giải nén để có thể tiếp xúc với con “vi-rút” bên trong. Tệp thứ tư chứa tệp thứ ba. Vì vậy, trong eicarcom2.zip, tệp kiểm tra EICAR được ẩn đằng sau hai lớp tệp ZIP.
Nếu bạn cố tải xuống một trong bốn tệp này và phần mềm chống vi-rút của bạn chặn download, thì có nghĩa là nó đang hoạt động bình thường. Tuy nhiên, nếu bạn thực sự muốn kiểm tra, hãy thử tắt phần mềm chống vi-rút trong giây lát, tải xuống tệp thứ tư (tệp có hai lớp ZIP), sau đó quét để xem liệu sản phẩm bạn đang dùng có thể xâm nhập qua nhiều lớp và phát hiện “mã độc” chứa bên trong không.
Phần mềm diệt vi-rút hiệu quả sẽ lập tức phát hiện, sau đó cách ly hoặc xóa tệp kiểm tra EICAR.
Nếu phần mềm chống vi-rút không phát hiện tệp kiểm tra EICAR?
Nếu phần mềm chống vi-rút của bạn không phát hiện ra tệp kiểm tra EICAR, thì có thể là nó không đủ tốt, không hoạt động bình thường hoặc chưa được cập nhật trong một thời gian dài. Tuy nhiên, cũng có một số trường hợp ngoại lệ. Ví dụ, Malwarebytes, một sản phẩm chống phần mềm độc hại đáng tin cậy không phải lúc nào cũng phát hiện ra tệp kiểm tra EICAR.
Vào năm 2016, Malwarebytes cho biết “phát hiện các chuỗi EICAR không có ý nghĩa chứng minh hiệu quả của một sản phẩm trong việc chống lại các mối đe dọa trong thế giới thực.” Theo công ty, thử nghiệm EICAR chỉ có thể cho biết liệu một chương trình chống vi-rút có thể sử dụng chữ ký khớp mẫu (pattern-matching signature) hay không. Ngay cả khi nó có thể, điều này không có nghĩa là nó có thể ngăn chặn các cuộc tấn công phần mềm độc hại tinh vi hơn với các kỹ thuật gây nhiễu và giấu chữ ký.
Cách kiểm tra phần mềm chống phần mềm độc hại của bạn
Lời giải thích của Malwarebytes có thể có một số giá trị. Tuy nhiên, tệp kiểm tra EICAR vẫn có thể hữu ích trong việc kiểm tra phản ứng của phần mềm chống vi-rút của bạn với các mối đe dọa tiềm ẩn. Và dù bạn sử dụng sản phẩm chống vỉ-rút nào, hãy đảm bảo bạn cập nhật nó thường xuyên, cũng như dõi các xu hướng mới nhất trong an ninh mạng.
Vân Nguyễn
Dịch từ: https://www.makeuseof.com/what-is-the-eicar-test-file/
Bình luận (0
)