EICAR stand ursprünglich für „European Institute for Computer Antivirus Research“. Der gemeinnützige Verein mit Sitz in München hat sein Arbeitsgebiet in den letzten Jahren wesentlich erweitert und befasst sich heute mit nahezu allen Gebieten der Informationssicherheit. Seither steht EICAR als Eigenname. Besonderes Interesse gilt aber nach wie vor der Erforschung von Computerviren und der Entwicklung von Antivirenprogrammen.

Das weltweit bekannteste, von EICAR entwickelte Produkt ist jedoch kein Antivirenprogramm, sondern ein Testmuster, mit dem man schnell und einfach die Funktion von Antiviren- und Anti-Malware-Programmen prüfen kann. Die EICAR-Testdatei (auch „anti-virus test file“ oder „anti-malware test file“ genannt) besteht aus einem 68-stelligen Zeichencode, der speziell so gewählt worden ist, weil die Wahrscheinlichkeit, ihn zufällig in einer richtigen Datei zu finden, gering ist. Er gilt als Industriestandard um Antivirenprogramme zu testen und  sollte dementsprechend bei allen Antivirenprogrammen Alarm schlagen. Dabei ist die Datei gutartig und richtet keinerlei Schaden an.

Einsatzgebiete der EICAR-Testdatei

Die EICAR-Testdatei dient dazu, ohne Sicherheitsrisiko zu testen, ob das Antivirenprogramm aktiv ist. Das macht die Datei vor allem für 3 Zielgruppen interessant:

• Antivirussoftware-Entwickler: Wer Antivirenprogramme entwickelt, muss sie im Laufe der Entwicklung auf Performanz testen. Hier schafft die EICAR-Testdatei Abhilfe und kann zumindest im Entstehungsprozess praktische Dienste leisten. Die bei echten Viren notwendigen Schutzmaßnahmen sind hier nicht relevant. (In einer späteren Phase kann und sollte das Antivirenprogramm dann in einem abgesicherten Umfeld auf richtige Malware getestet werden.)

 

• Antivirus-Nutzer: Jeder, der einen Computer benutzt, egal ob privat oder beruflich, sollte ein funktionierendes und aktualisiertes Antivirenprogramm installiert haben. Er sollte aber auch wissen, wie dieses Programm reagiert, bzw. wie es aussieht, wenn es Alarm schlägtMit der EICAR-Testdatei kann man auch ausprobieren, wie das E-Mail-Programm, bzw. der Mailserver mit einer infizierten Datei umgeht, wenn sie per Mail verschickt werden soll, oder im Posteingang landet. So erfährt man einiges über die aktuelle Sicherheit des eigenen Geräts.

 

• IT-Sicherheitsbeauftragte: Sie können den Test-Virus benutzen, um Server-seitige Antivirenprogramme zu testen (Fileserver, Web-Proxy oder Mail-Server). Sie benutzen die EICAR-Datei aber auch in Schulungen, um Mitarbeitern vorzuführen, wie ihr Computer reagiert, wenn er einen Virus erwischt. So sind sie auf die Eventualität einer tatsächlichen Verseuchung durch Schadprogramme vorbereitet. Allerdings sollte vor dem Einschleusen der EICAR-Testdatei die IT-Abteilung des Unternehmens informiert werden. Je nach Einstellungen kann der „Virusalarm“ nämlich an die Administratoren weitergeleitet werden.

 

Die allermeisten von uns benutzen ein Antivirenprogramm, wissen aber nicht genau, wie es reagiert, wenn es tatsächlich ein Schadprogramm entdeckt. Allein diese Tatsache sollte jeden von uns dazu veranlassen, die EICAR-Datei auf unserem PC auszuprobieren. So wissen wir, wie unser Antivirus funktioniert, und wie es Warnmeldungen anzeigt. Dies ist wichtig, denn viele Schadprogramme zirkulieren, als Virenmeldungen getarnt und hinter Links versteckt, im Internet. Wenn wir wissen, wie eine richtige Viren-Warnung aussieht, ist die Wahrscheinlichkeit geringer, auf die falsche hereinzufallen.

 

 

So reagieren Antivirenprogramme auf die EICAR-Datei

Die EICAR-Testdatei ist kein Virus und enthält auch keine Fragmente eines viralen Codes. Die allermeisten Antivirenprogramme reagieren jedoch auf die Datei, als sei sie ein Virus. Der Benutzer erhält eine Virus-Warnmeldung. Am Namen der gefundenen Virus-Datei  (z.B. „EICAR-AV-Test“ oder „EICAR test file“) erkennt man jedoch, dass es sich um die EICAR-Testdatei handelt.

So funktioniert der Test

EICAR bietet die Datei in 4 verschiedenen Formaten an:

• eicar.com enthält den 68-stelligen Zeichencode
• eicar.com.txt ist eine Kopie des ersten, aber mit einem anderen Dateityp

(txt-Formate werden von einigen Antivirenscannern nicht berücksichtigt, da eine Textdatei theoretisch keinen Virus haben kann. Hier wird jedoch nicht bedacht, dass eine txt-Endung lediglich als Tarnung einer verseuchten Nicht-Text-Datei fungieren kann.)

• eicar_com.zip enthält die Datei in einem Zip-Archiv. Ein guter Antivirenscanner wird auch hier das vermeintliche Schadprogramm entdecken.
• eicarcom2.zip enthält dieselbe Zip-Datei, jedoch etwas tiefer, in einer weiteren Datei verschachtelt. So kann man feststellen, ob der Antivirenscanner mehr als nur eine Stufe der Zip-Datei analysiert.

Hat das Antivirenprogramm den „Virus“ entdeckt, kann es sein, dass es keinen Zugriff mehr auf die Datei gewährt. Es kann sogar sein, dass man die Datei nicht mehr löschen kann, weil das Antivirus sie unter „Quarantäne“ gesetzt hat. Die Testdatei wird genauso behandelt, wie jeder richtige Virus, der das System verseucht. Lässt sie sich nicht auf normalem Weg vom Computer entfernen, sollte man sich an den Hersteller oder Verkäufer des Antivirenprogramms wenden.

Der 68-stellige Zeichencode

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

 
Dieser 68-stellige Zeichencode von EICAR kann zum Beispiel in E-Mails kopiert und dann verschickt werden, um zu testen, wie der Mail-Server auf potenzielle Malware-Angriffe reagiert.