Le téléchargement du fichier de test Eicar via HTTP a cessé d’être détecté depuis juillet 2020
59109
Created On 08/25/20 02:34 AM - Last Modified 08/03/22 03:14 AM
Symptom
Eicar.org utilisé pour fournir les liens suivants HTTP pour télécharger le fichier de test Eicar.
http://2016.eicar.org/download/eicar.com http://www.eicar.org/download/eicar.com
certains clients
ont gardé les liens et essayer de télécharger les fichiers en utilisant les liens. Lorsque le fichier de test Eicar est téléchargé à l’aide HTTP des liens ci-dessus, il n’est firewall détecté ni sur le par « Eicar File Detected(39040) » (Type: vulnérabilité) ni « Eicar Test File(100000) » (Type: virus).
Cela a commencé à se produire vers la mi-juillet 2020.
Cause
A changement a été apporté Eicar.org vers la mi-juillet 2020.
Voici la capture d’écran du site du portail (https://www.eicar.org/?page_id=3950).
(Capture d’écran a été prise le 25 août 2020)
Eicar.org changé le comportement pour rediriger toutes les demandes « http » vers « https ». (Il peut changer à nouveau à l’avenir.)
Cela peut être confirmé par l’exécution d’une commande de boucle ou en regardant une capture de paquets.
| $ curl http://2016.eicar.org/download/eicar.com <!DOCTYPE HTML PUBLIC « -// IETF // DTD HTML 2.0// EN « > <html><head> <title>301 Déplacé de façon permanente</title> </head><body> <h1>Déplacé en permanence</h1> <p>Le document a déménagé <a href="https://www.eicar.org/download/eicar.com">ici</a>.</p> </body></html> |
Resolution
Puisque le trafic est redirigé vers https, le SSL décryptage est nécessaire pour détecter le fichier de test Eicar sur le firewall .
Comme solution de contournement, nous pouvons télécharger le fichier de test Eicar à partir de notre propre serveur Web à travers le firewall .
Voici l’exemple de l’exécution d’un simple serveur Web par Python.
Python2:
$ python -m SimpleHTTPServer 80
Python3:
$ python -m http.server