안티바이러스 백신

EICAR

흔히들 사용하는 백신은 실시간 파일 분석 서비스를 제공한다. 해당 파일을 분석하여 저장된 악성코드시그니처를 파악하고 이것이 악성인지 아닌지를 판단하여 사용자에게 바이러스 및 기타 악질 프로그램이라는 것을 알려준다.

이에 있어 하나의 표준파일분석시스템을 제공하고자 EICAR라는 가짜(?)바이러스를 만들었다.(사실 바이러스라고는 볼 수 없고 단지 표준 필터링을 제공하는 것이다.)

 

<그림1> 68바이트의 EICAR

총 크기는 68바이트이며 아스키코드로 이루어진 테스트용 파일이다.

<사진 1> 68바이트 eicar 테스트

<사진1>과 같이 68바이트의 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 문자열이 저장된 파일 검사는 각 백신회사에서 기본으로 탑재되어 있다.

즉, 이 68바이트의 문자열은 바이러스를 분석하는 백신이라면 기본적으로 필터링이 되어야 한다.

한 바이러스를 가지고 어떤 회사는 xx라 하고 어떤 회사는 yy라 지칭하고 이를 백신프로그램에 적용한다.

시그니처를 파악하는 것도 백신회사마다 달라서 혼동을 줄 염려도 있고