Chester Wisniewski, a Sophos Canada vezető tanácsadója, a Sophos NakedSecurity blogból
Amikor a Microsoft 2 héttel ezelőtt felfedte a Windows 8 fejlesztői előzetesét, az egyik legnagyobb figyelmet felkeltő elem a beépített nem-menedzselt antivírus megoldás volt.
Érdeklődéssel figyeltem azt, hogy milyen képességekkel rendelkezik és hogyan mutatja magát a felhasználóknak, akik valami rosszindulatú dologba akadnak bele.
Egy virtuális gépre és egy tartalék merevlemezre telepítettem a laboromban. Mit teszteljek először?
Ha egy garantáltan biztonságos és mégis hatásos teszt kellene, akkor az EICAR lenne az.
Az EICAR weboldala szerint az EICAR teszt fájl lehetővé teszi egy „vírus incidens biztonságos előidézését nagyvállalati folyamatok tesztelése esetén vagy azt megmutatni másoknak, hogy mit látnának, ha egy vírus fertőzné meg őket."
Ez tökéletes. Szükségem van egy észlelésre, de nem igazán szeretnék élő kártevőt erre a célra használni. Élő kártevő minta biztonságos tesztelése rémisztően veszélyes.
Ezért használunk mi mindig EICARt, mivel minden antivírus és biztonsági termék az EICAR észlelésével lehetővé teszi a biztonságos tesztelést.
Először is megpróbáltam letölteni az EICAR teszt fájlt az eicar.org oldalról Internet Explorer 10 használatával. Az IE arról tájékoztatott, hogy ez egy rosszindulatú letöltés és nem engedi elmenteni. Átment a vizsgán!
Ezután megnyitottam a jegyzettömböt és beillesztettem a 68 mágikus byte-ot, majd Mentés másként és elneveztem EICAR.COM-nak. Mindenfajta probléma nélkül megjelent az intéző ablakomban.
Ezt követően ráklikkeltem a fájlra és eltűnt!? Semmi figyelmeztetés, semmi üzenet az Eseménynaplóban. Megbukott a vizsgán! Az EICAR-nak mindig riasztást kell kiváltania...
Ezért egy újabb tesztet kezdtem el és bedugtam a gépbe egy USB kulcsot, előre rámásolt EICAR.COM fájllal. Amikor megpróbáltam felmásolni a fájlt az USB kulcsról a Dokumentumok mappába, minden probléma nélkül megtette.
Ha megpróbáltam futtatni az EICAR.COM-ot, hibát dobott, ami várható is volt, mivel az EICAR egy DOS program és nem tud Windows 8 rendszeren elindulni, de vírusfigyelmeztetést „kellene" kapnom, ugye?
Kicsit megzavarodtam és azon kezdtem el tűnődni, hogy a Windows 8-nak tényleg van antivírus védelme ezen a ponton.
Elővettem a tesztlaboromból az egyik virtuális gépemet, és ráeresztettem néhány vírusmintát tesztelés céljából, hogy lássam mi fog történni.
Mindegyik minta hat és 12 hónapos volt, szóval semmi újdonság. Teszteltem Mac, Linux és Windows kártevőket, így vizsgálva kereszt-platform képességeit.
Az eredmény? A bevetett kártevő minták 50%-át fogta el. Tisztán látható, hogy az észlelés területén még sok munka vár a fejlesztőkre.
A tesztelt kártevők közül sikeresen észlelt jónéhány ál-antivírus mintát Mac és Windows esetén, és a Linux/RST-B néhány másolatát is.
Ugyanakkor néhány eseményt is rögzített az Eseménynapló Windows Defender kategóriájában.
Ez egy korai előzetes teszt és biztos vagyok benne, hogy sok fejlesztés lett tervbe véve. Jó látni, hogy a Microsoft a három legnagyobb platform esetén észlel rosszindulatú szoftvereket.
Viszont a Microsoft-nak javítani kell az EICAR észlelését. Ahogy jelenleg működnek a dolgok, csak felbátorítják az embereket arra, hogy szükségtelen kockázatokat vállaljanak a valódi kártevőmintákkal való tesztelésnél.
Ha Ön egy éles hálózati környezetben teszteli a Windows 8-at, azt javaslom, hogy telepítsen mellé egy külső forrásból származó antivírus programot is. Míg a Windows Defender elfogott néhány mintát, még nem áll készen a valódi bevetésre.
További információ angol nyelven