3分で作るコンピュータウイルスの作り方3:脅威の発見編※EICARの無害なウイルス？※

ここではブラウザクラッシャー編に引き続いて、コンピュータウイルスの検出テストをするためのファイルであるEICAR test file（エイカーテストファイル）を作ってみましょう。それを通じて、アンチウイルスソフトに脅威として発見されるファイルを作ってみようという試みです。

初めに書いておきますが、

※公序良俗に反する使用法を進めるものではありません。
※これらの記事を参考にしてソフトを動作させ、システムの不良が起こったとしても、責任は負いかねます。
※これらの記事を参考にしてイタズラなどを行い、人間関係の不和が起こったとしても、責任は負いかねます。

もっとも、このプログラム自体はテスト用の無害なものです。

必ず準備編を先にお読みください↓

ウイルスの亜種「EICARテストファイル」を作ってみる

EICARテストファイル（EICAR test file）とは、普通のコンピュータ上で制作・実行できる一種のウイルスとも呼べるプログラムです。

なお、検証用のプログラムであるため、これ自体は無害です。

その目的は開発したウイルス対策ソフトが正常に作動しているかどうかをテストすることにあります。

最初からウイルスの駆除をさせるのではなく、無害な検証用プログラムを使ったほうが、万一のことがなくて安全ということですね。

どのように動作するかというと、中身は単純な文字列なのですが、ウイルス対策ソフトでスキャンなどをすると「脅威」とみなされ、削除されます。

このファイルは単純なものなので、特別な環境なく簡単に制作することができ、メモ帳などで制作することができます。

EICARとは、”European Institute for Computer Antivirus Research”の頭文字をとったものであり、つまりは「欧州コンピュータウイルス対策研究所」のことを指します。

この組織は、1991年に設立された、コンピュータウイルスなどの情報セキュリティに関する研究をする組織です。

この組織の取り組みとしては、

などがあります。

作り方は実に簡単です。テキストエディタ「メモ帳」などに書き込んで作ることができます。

たったの1行でコード自体は終了です。これは最大128バイトのテキストファイルとして作られたためです。

以下、コピペできます。この文字列は世界共通なので、ここで見なくても、ほかのページなどでも同様の文字列が取得できます。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

テキストエディタに書き終わったら、保存をします。

このとき、文書として保存しても動かせないので、実行ファイル「.com」の拡張子として保存します。

方法は、名前を付けて保存から「すべてのファイル」を選択し、この状態で「eicartestfile.com」などCOMファイルとして保存します。

COMファイルとは、実行ファイルという種類のファイルで、作成に成功するとアイコンは以下のようになります。

動作確認は、お手持ちのウイルス対策ソフトを使うことで行います。

右クリックから「スキャン」を選択します。

するとウイルス対策ソフトが動作し、脅威が発見されました、というメッセージが数秒後に表示されます。

また、詳細を見ていくと、ファイルを保存したフォルダの場所を見ることができます。

このスキャンをした後で、保存したフォルダを見てみると、勝手に削除されていることがわかります。

ファイルの復元をするという項目をクリックすると、元あった場所にファイルが復活します。

このファイル自体は無害なので、そのままでもよいのですが、手動でゴミ箱に捨ててしまったり、完全に削除することも自由にできます。

ここで使ったウイルス対策ソフトはマカフィーでしたが、ウイルス対策ソフトによっては、文字列をコピーしただけで警告が出る、という情報もあるようです。

・文字列は正確にコピーして、改変などはしないほうが良いでしょう。

これだけのプログラムで、ウイルス対策ソフトが脅威とみなすものが作れてしまうことがわかります。また、ウイルス対策ソフトが脅威を発見してから削除する働きもわかりました。