EICAR(European Institute for Computer Antivirus Research)는 유럽의 바이러스 예방 연구 및 바이러스 검사 소프트웨어 개발 개선을 목표로 하는 기관이다.
특히, EICAR test file은 안티 바이러스(백신 프로그램)가 정상적으로 작동하는지 테스트를 하기 위해 제작되었다.
본인이 직접 개발한 안티 바이러스 또는 실제로 서비스 중인 안티 바이러스가 정상적으로 동작하는지 확인하려면 현재 디렉토리로 악성코드를 복사하거나 실행하는 행위를 하면된다.
하지만, 실제로 악의적인 기능을 수행하는 악성코드를 잘못해서 클릭하다가 백신이 탐지하지 못하고, 악성코드가 실행되면 큰 위협이 발생한다.
이를 방지하기 위해 텍스트 기반의 파일을 사용하면 안전하게 안티 바이러스를 테스트할 수 있다.
EICAR test file은 68바이트의 텍스트로 구성되어 있다. 이 파일을 실행하면 EICAR-STANDARD-ANTIVIRUS-TEST-FILE 문자열이 출력된다.
이는 사람이 읽기 편하도록 만든 파일로 단순히 안티 바이러스를 테스트하기 위한 파일이다. 메모장을 열어 하단의 문자열을 복사해서 .txt, .exe (확장자 무관)로 저장한다.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
파일로 저장하려고 하면 현재 실시간 감시 중인 백신이 반응하여 EICAR test file을 탐지한다.
본인은 알약 백신이 설치되어 있는데 알약은 EICAR-test-file로 진단한다. 물론 백신의 종류에 따라 탐지 메시지는 다르며, 확장자가 .txt인 경우 탐지를 못하는 백신도 존재한다.
바이러스토탈에 EICAR Test 파일을 업로드한 결과를 보면 거의 모든 백신이 해당 파일을 탐지한다.
EICAR test file은 실제로 악의적인 기능을 수행하는 파일이 아닌 백신이 정상적으로 동작하는지 확인하기 위한 테스트 파일이다.
32비트 운영체제 환경에서 EICAR test file을 실행해보면 단순한 문자열을 출력하는 기능임을 확인할 수 있다.
그렇다면 EICAR test file을 어떻게 탐지할까? 파일 시그니처를 검사하는 방법, 파일 해시값을 검사하는 방법 등 다양한 방법이 있다.