Je jistě dobré mít nainstalován nějaký antivirový program. Funguje ale doopravdy tak, jak má a jak se od něj očekává? Mám ho opravdu správně nastaven? To jsou otázky, které si klade většina zodpovědných uživatelů. Jak ho bezpečně vyzkoušet? Řadu lidí jistě hned napadne, že pomocí skutečného počítačového viru, to ale opravdu není nejlepší nápad – pokud něco nebude fungovat tak, jak má, může takový test způsobit veliké škody. Jaké je jiné řešení? Touto otázkou se zabývali antiviroví odborníci již před deseti lety. Výsledkem jejich dohody je speciální soubor, kterému se dnes budeme věnovat. Tuto iniciativu zastřešila nezisková organizace EICAR (European Institute for Computer Anti-virus Research), a proto soubor nese její název.

Cílem bylo vytvořit jednoduchý spustitelný program, který by se celý skládal z normálních znaků tak, aby jej bylo možno napsat na klávesnici, popřípadě zobrazit na obrazovce a uložit pomocí funkce zkopíruj/ulož (cut’n’paste). Jak z jeho obsahu tak z jeho činnosti musí být jasné, o jaký soubor se jedná. Tento soubor pak mohou antivirové programy detekovat a jejich uživatelé mohou zcela bezpečně otestovat jejich chování. To se hodí nejen při vlastním spouštění programů ale i pro testy archívů, zálohování, elektronické pošty, zasílání informací o nalezeném viru a podobně.

Uživatelům se tento program velmi zalíbil a brzy požadovali podobně funkční testovací soubory i pro další platformy – konkrétně pro 32bitové výkonné programy, pro makroviry, skripty či stránky HTML. Jejich návrh však přináší neřešitelné problémy, a proto se dodnes nerealizovaly. O jaké problámy jde? Například jak Win32 programy tak dokumenty s makry obsahují binární čísla, která nejde zadat z klávesnice či uložit ze zobrazené stránky (třeba hodnota 00), nemají jediný pevně daný vstupní bod, kterým program či makro vždy začíná. Řada makrovirů se navíc šíří společně s uživatelskými makry, které cestou potká a to by mohlo způsobit veliké nepříjemnosti.

Dnes jsou schopny jej detekovat snad všechny antivirové programy – například avast! jej nalezne pod jménem “EICAR Test-NOT virus!!”. Ne všechny to ale dělají správně. Detekují jej i v okamžiku, kdy se vyskytne někde uprostřed jiného souboru, popř. detekují pouze jeho část. To vše brzy začali zneužívat tvůrci virů, kteří například pouhou náhradou dvou posledních znaků zajistili , že program neskončil ale pokračoval dalším kódem, tentokrát patřícím jinému viru. I když takové výtvory nemají velkou šanci se nějak rozšířit, mohou znamenat jisté nebezpečí jak pro uživatele tak pro reputaci celé myšlenky testovacího souboru. Dnes většina antivirových programů detekuje tento testovací soubor pouze tehdy, když je na začátku souboru všech 68 znaků.

Objevily se ale další problémy: například s dávkovými soubory či skripty, které sice začínají 68 znaky souboru EICAR, ale protože jej neinterpretují jako strojový kód, neukončí se a normálně pokračují dále. Proto se objevil požadavek změnit definici tak, že soubor MUSÍ být 68 znaků dlouhý. To však není tak jednoduché – řada programů například při použití funkce zkopíruj/ulož přidá na konec minimálně jeden nový řádek, často i znak pro konec textového souboru. Také implementace takového omezení v některých antivirových programech nemusí být vůbec jednoduchá. Navíc tímto omezením přestanou antivirové programy chytat některé soubory, které dosud u uživatelů detekovaly, a to může znamenat zvýšenou zátěž pro technickou podporu. Některé hlasy celkem rozumně říkají, že s novou definicí je nutno změnit i vlastní obsah souboru (minimálně přidat číslo verze), další říkají, že se musí vymyslet něco úplně nového. Jednání o nové definici testovacího souboru EICAR budou probíhat i na nadcházející konferenci Virus Bulletin, která se koná koncem září v New Orleans. O jejich výsledku Vás určitě budu v budoucnu informovat, svůj antivirový program si ale můžete bezpečně otestovat už dnes!

Ani srpen nepřinesl na virové scéně žádnou novinku a nebezpečí pro uživatele počítačů, poslední dobou to vypadá, že autoři virů na vytváření a hlavně šíření virů rezignovali. Nebo je to tím, že všichni uživatelé začali k problematice virů přistupovat zodpovědněji? To je možná příliš velký optimismus, jak dokazuje stále se velice úspěšně šířící virus Klez-H. Kromě výše zmíněné konference Virus Bulletin 2002, která se koná v New Orleans, se koná jedna daleko dostupnější - v Brně během Invexu ji pořádá časopis Chip. Přijdte si poslechnout přední české odborníky na problematiku virů!