Descarga del archivo de prueba de Eicar por HTTP dejar de detectarse desde julio de 2020
59101
Created On 08/25/20 02:34 AM - Last Modified 08/03/22 03:14 AM
Symptom
Eicar.org utilizado para proporcionar los siguientes vínculos para descargar el HTTP archivo de prueba Eicar.
http://2016.eicar.org/download/eicar.com http://www.eicar.org/download/eicar.com
Algunos clientes
mantuvieron los enlaces e intentan descargar los archivos mediante los enlaces. Cuando eicar archivo de prueba se descarga utilizando los HTTP enlaces anteriores, no se detecta en el firewall por "Eicar Archivo detectado(39040)" (Tipo: vulnerabilidad) ni "Eicar Test File(100000)" (Tipo: virus).
Esto comenzó a suceder desde mediados de julio de 2020.
Cause
A cambio se hizo el Eicar.org alrededor de mediados de julio de 2020.
Aquí está la captura de pantalla del sitio del portal (https://www.eicar.org/?page_id=3950).
(La captura de pantalla se tomó el 25 de agosto de 2020)
Eicar.org cambiado el comportamiento para redirigir todas las solicitudes 'http' a 'https'. (Puede cambiar de nuevo en el futuro.)
Esto se puede confirmar ejecutando un comando curl o mirando una captura de paquetes.
| $ curl http://2016.eicar.org/download/eicar.com <!DOCTYPE HTML PUBLIC "-// IETF // DTD HTML 2.0// EN "> <html><head> <title>301 Se movió permanentemente</title> </head><body> <h1>Movido permanentemente</h1> <p>El documento se ha movido <a href="https://www.eicar.org/download/eicar.com">aquí.</a></p> </body></html> |
Resolution
Puesto que el tráfico se redirige a https, SSL el descifrado es necesario para detectar el archivo de prueba eicar en el archivo de prueba firewall .
Como solución alternativa, podemos descargar el archivo de prueba Eicar desde nuestro propio servidor web a través de firewall la .
Este es el ejemplo de la ejecución de un servidor web simple por Python.
Python2:
$ python -m SimpleHTTPServer 80
Python3:
$ python -m http.server