EICAR (или EICAR-Test-File — от European Institute for Computer Antivirus Research) — стандартный файл, применяемый для проверки, работает ли антивирус. По сути вирусом не является; будучи запущенным как COM-файл DOS, всего лишь выводит текстовое сообщение и возвращает управление DOS. Программа работает в средах, поддерживающих выполнение 16-битного ПО для DOS, таких как MS-DOS, OS/2, Windows 9x и 32-битные Windows NT. Под 64-битными версиями Windows файл не запускается.
Хотя COM-файлы в общем случае являются двоичными, EICAR содержит только символы ASCII. Поэтому любой пользователь может убедиться в работоспособности своего антивируса, набрав в текстовом редакторе (например, в Блокноте) тестовую строку длиной 68 байт и сохранив её с расширением .EXE или .COM. Символы CR/LF, которые редактор может добавить в конец файла, не влияют на работу EICAR. Обычно, если резидентный монитор антивируса включен, уже после нажатия кнопки «Сохранить» выводится предупреждение.
Антивирус, обнаруживший данную строку, должен поступить в точности так же, как и при обнаружении реального вируса. Поэтому о том, что тревога учебная, антивирус обычно сообщает в названии вируса: EICAR Test-NOT virus!!! (avast!), Реакция антивируса avast! на EICAR EICAR-Test-File (Антивирус Касперского), EICAR Test File (Not a Virus!) (Doctor Web), EICAR-AV-Test (Sophos), EICAR_Test_File (RAV), Eicar_test_file (Trend Micro), Eicar-Test-Signature (Avira AntiVir), EICAR_Test_File (FRISK), EICAR_Test (+356) (Grisoft), Eicar-Test-Signature (ClamAV), Eicar.Mod (Panda Cloud Antivirus), VIRUS:DOS/EICAR_Test_File (Microsoft Security Essentials). Eicar тест файл (NOD32) Teststring.Eicar (Comodo Internet Security, Comodo AntiVirus) EICAR_test_file (Virus) (Outpost Security Suite)
Крайне редко встречаются антивирусы, которые не реагируют на этот тест.
Разумеется, EICAR не проверяет, насколько оперативно разработчики реагируют на вирусы и насколько качественно излечиваются заражённые файлы — для этого нужен «зоопарк» свежих вирусов. Его задача другая: продемонстрировать работоспособность антивирусной системы и указать, какие объекты проверяются антивирусом, а какие — нет. Например: Есть подозрение, что компьютер заражён. Действует резидентный монитор, или вирус сумел его отключить? Обычный почтовый червь наподобие VBS.LoveLetter должен для заражения пройти несколько стадий: загрузиться на компьютер по протоколу POP3; записаться в базу почтового клиента; по команде пользователя распаковаться во временный файл и запуститься. На какой стадии он будет замечен? Существует много способов «протащить» вредоносную программу мимо «глаз» антивируса: закодировать в Base64, вложить в OLE-объект Microsoft Word, в RAR, JPEG, сжать упаковщиком наподобие UPX. Что из этого антивирус распакует? Кроме того, антивирусы бывают не только локальные, но и сетевые — проверяющие сетевой трафик; при ошибке конфигурирования они будут либо загружать сервер излишней работой, либо, наоборот, пропускать вредоносные файлы.
Для того, чтобы проверить, какова будет реакция антивируса, конечно, можно применить и «живой» вирус — но это «как поджигание урны для проверки пожарной сигнализации». Для этого и был предложен стандартизированный файл, не несущий вредоносной нагрузки.
