Funktionsfähigkeit testen

Um die Funktion signaturbasierter Antivirenprogramme zu prüfen, wird ein spezieller von EICAR (European Institute for Computer Anti-Virus Research) entwickelter Test verwendet. Der Test ermöglicht es dem Nutzer, zu beobachten, wie der installierte Antivirus Viren erkennt. Der Rechner wird dabei nicht gefährdet.

Das EICAR-Testmuster ist nicht bösartig, wird aber von den meisten Antivirenprogrammen als Virus erkannt. Dr.Web Antivirenprodukte erkennen das Programm als „EICAR Test File (NOT a Virus!)“. In anderen Antivirenprogrammen werden ähnliche Namen verwendet. Das EICAR-Testmuster stellt eine 68-Byte-Zeichenfolge dar, die unter MS DOS/MS Windows als COM-Datei ausgeführt wird. Nach der Ausführung wird die folgende Meldung im Terminalfenster oder in der Konsole angezeigt:

EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Das Testmuster enthält nur einige Zeichen, die die folgende Zeile bilden:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Wenn Sie diese Zeile in eine Textdatei einfügen und dann die Datei speichern, bekommen Sie exakt den oben erwähnten Testvirus.

Wenn Dr.Web für Linux störungsfrei funktioniert, wird diese Datei bei einem beliebigen Scan des Dateisystems erkannt. Dabei muss die Benachrichtigung „EICAR Test File (NOT a Virus!)“ angezeigt werden.

Mit diesem Beispielbefehl testen Sie die Funktionsfähigkeit von Dr.Web für Linux mithilfe des EICAR-Testmusters:

$ tail /opt/drweb.com/share/doc/drweb-se/readme.eicar | grep X5O > testfile && drweb-ctl scan testfile && rm testfile

Dieser Befehl kopiert die Zeile mit der Zeichenfolge des EICAR-Testmusters aus der mit Dr.Web für Linux mitgelieferten Datei /opt/drweb.com/share/doc/drweb-se/readme.eicar in die Datei testfile im aktuellen Verzeichnis, scannt die erstellte Datei und löscht diese anschließend.

Beachten Sie, dass Sie über den Schreibzugriff auf das aktuelle Verzeichnis verfügen müssen. Stellen Sie sicher, dass keine Datei unter dem Namen testfile im Verzeichnis vorhanden ist. Falls nötig, geben Sie im Befehl einen anderen Namen für die Datei an.

Falls der Befehl erfolgreich durchgelaufen ist, wird auf dem Bildschirm folgende Meldung angezeigt:

<Pfad zum aktuellen Verzeichnis>/testfile - infected with EICAR Test File (NOT a Virus!)

Falls ein Fehler auftritt, konsultieren Sie den Abschnitt, in dem alle bekannten Fehler und einige Tipps zur Problembehebung aufgeführt sind.

Wenn der Dateiwächter SpIDer Guard in Ihrem System aktiviert wurde, kann die erstellte Datei sofort bei der Erkennung gelöscht oder (je nach Einstellungen) in die Quarantäne verschoben werden. In diesem Fall erscheint nach der Ausführung des Befehls rm die Meldung, dass die erkannte Datei nicht mehr vorhanden ist. Dies ist kein Fehler. Dieses Verhalten zeugt davon, dass der Dateiwächter störungsfrei funktioniert.