» Home » Tools » MSXFAQ Public » Eicarsender

Eicarsender

Wenn Sie die Seite nicht komplett sehen, dann kann das daran liegen, dass der Eicar-Testvirus weiter untern von ihrem Proxy irrtümlich als Virus erkannt wird.

EICAR ist kein Virus, sondern nur eine Testdatei, die aber von einem funktionierenden Virenscanner gefunden werden sollte. Dieses Tools ist daher eine Testoption, um die prinzipielle Funktion eines Virenscanners per SMTP zu prüfen. Eicarsender prüft nicht, ob ihre Erkennungsdatenbank aktuell ist !!

Alle Skripte sind Muster ohne jede Gewährleistung oder Funktionsgarantie. Für Schäden bin ich nicht verantwortlich. Achten Sie auf Zeilenumbrüche bei der Übernahme.

Diese Programm ist aus dem Problem entstanden, dass in einem "guten Netzwerk" es sehr schwer ist, einen "Testvirus" gezielt auf ein System zu senden, da z.B. auch der Virenscanner auf dem Versendesystem schon das Senden blockiert. Daher ist dieses Programm so geschrieben, dass es keine Dateien ablegt oder liest und daher die meisten Virenscanner das Programm selbst nicht als Virus erkennen.

Wer heute einen Exchange Server installiert, der muss natürlich auch für einen Virenschutz sorgen. Und da Kontrolle bekanntlich besser ist, gibt es extra einen "unschädlichen" Virus, der gar keiner ist, aber von allen Virenwächtern entdeckt werden sollte. Hinter dem Begriff "EICAR" versteckt sich ein 68-Byte langes MSDOS-Programm, welches einfach nur eine Bildschirmausgabe erzeugt.

Wenn Sie mögen, können Sie den Virus einfach selbst erstellen, indem Sie folgende Zeichenkette in Notepad übernehmen und als EICAR.COM abspeichern:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Allerdings sollte ihr Dateisystemscanner genau dieses Abspeichern schon verhindern.

Das Programm

Das Programm wurde in .NET 2.0 mit Visual Basic Express geschrieben. Sie benötigen daher das .NET 2.0 Framework auf dem Computer, der das Programm ausführt. Nach dem Download müssen die dann einfach die EXE in dem Archiv auspacken und Starten. Es ist keine besondere Installation erforderlich. Sie sehen dann folgendes Fenster:

Sie müssen zuerst die drei Felder mit ihren Daten füttern. Das Programm prüft die Gültigkeit der Eingabe !!

• Mailserver
  Geben Sie hier den Hostnamen ein. Mit jeder Eingabe wird ein Timer gestartet. Wenn Sie daher einige Zeit keine Eingabe mehr machen, dann startet Eicarsender eine DNS-Abfrage. Abhängig vom Ergebnis wird das Feld dann Grün oder entsprechend Rot mit einem Ausrufezeichen. Wenn Sie mit der Maus dann auf das Ausrufezeichen zeigen, sehen Sie den Fehlercode. Eicarsender macht keine Auflösung des MX-Records, d.h. sie müssen einen Server hier angeben.
• RCPT TO
  Geben Sie hier die gültige Mailadresse des gewünschten Empfänger ein. Bitte nutzen Sie das Programm nur für Tests mit ihnen gehörenden Servern. Wenn Sie hier eine falsche Adresse angeben, dann sollte ein gutes System die Mail gar nicht erst annehmen. (Siehe auch NDR Spamming). Die Gültigkeit der Mailadresse wird über einen regulären Ausdruck geprüft. Ob es die Mailbox wirklich gibt, kann zu dem Zeitpunkt nicht überprüft werden.
• MAIL FROM
  Dies ist die Absenderadresse, die bei der Mail verwendet wird. Bitte verwenden Sie hierbei eine Mailadresse, die sie selbst auch abrufen können, da viele Virenschutzprodukte eine Meldung an den vorgeblichen Absender übermitteln. Nutzen Sie keine fremden oder ungültigen Mailadressen, da dies sonst eventuell ihren BADMAIL-Ordner oder das Postfach von unbeteiligten Personen auffüllt.

Zuletzt müssen Sie noch eines der Formate für den Virus bzw. die SPAM-Datei auswählen.

• TXT
  Der Virus wird einfach als Text-Datei an die Mail angehängt. Die meisten Virenscanner prüfen auch solche Anlagen, deren Erweiterung nicht gerade auf ein ausführbares Programm hinweist.
• COM
  Das ist die klassische Mail mit dem direkt ausführbaren EICAR-Programm. Dies sollte von jedem Virenscanner erkannt werden. Ansonsten müssen Sie die Funktion ihres Scanner prüfen. Er scheint nicht zu funktionieren
• ZIP
  Die nächste Steigerung ist der Virus als verpacktes Archiv. Die EICAR.COM wurde dazu in ein ZIP-Archiv verpackt und angehängt
• ZIP2
  Um auch die Rekursion zu prüfen, wurde hier das erste Archiv erneut verpackt.
• GTUBE
  Diese Mustermail wurde vom Team um SpamAssassin analog zu EICAR definiert und sollte von jedem Spamschutzprogramm als "unerwünscht" erkannt werden. Allerdings ist diese Erkennung noch nicht von allen Produkten auch eingebaut worden.

Erst wenn alle Bedingungn für den Versand erfüllt scheinen, wird der "SEND"-Button auch aktiviert. Drücken Sie dann auf SEND, um die gewünschte Nachrichten zu versenden.

In der Textbox finden Sie eine Ausgabe der Aktionen des Programms, so dass ich bei Fehlern die Ursache erkennen kann. Der Erfolg oder auch Misserfolg wird mit einer Messagebox gemeldet.

Sie können auch mehrfach auf SEND drücken oder einfach das Format der Anlage oder Mail ändern.

Fehlerquellen

So einfach das Programm ist (53 Kilobyte) so knifflig können die Fehlerursachen sein.

• .NET 2.0 muss installiert sind
  Ohne das .NET 2.0 Framework erhalten Sie nur einen Fehler. Das Programm verwendet die Klasse "SMTPClient", welche erst ab Version 2.0 verfügbar ist
• Lokale Ausführung
  Wenn Sie das Programm nicht von einer lokalen Festplatte, sondern von einem UNC-Pfad ausführen, dann startet es zwar, aber beim Versand kommt folgendes:
  
  Das ist Teil des Schutzkonzepts von .NET

Download

Laden Sie sich hier das Programm als ZIP-Archiv herunter:

eicarsender.1.0.zip

Es gibt keine gesonderte Installationsroutine. Sie können das Programm direkt nach dem Auspacken aufrufen. Wenn Sie keinen "Unzipper" haben, dann können Sie FilZip (www.filzip.de) oder TugZip (http://www.tugzip.com) zum Auspacken nutzen.

Wo ist der Sourceode

Das Programm ist so einfach und sollte von jedem .NET Einsteiger in wenigen Stunden selbst programmiert werden können. Aber jemand kann damit genauso einfach die Messagebox deaktivieren und eine "Vorschleife" einbauen. Ich weiß, dass dies auch schon lange mit Programmen wie Blat möglich ist. Eventuell werde ich zu einem späteren Zeitpunkt den Code öffentlich machen.

Weiterentwicklung

Folgende Funktionen könnte ich mir in einer der nächsten Versionen vorstellen:

• Multithreaded
  Der Versand mehrerer Mails auch in parallelen Thread wäre für Lasttests sicher interessant
• Eigene Mails
  Denkbar wäre auch, dass z.B. eine oder mehrere EML-Dateien aus einem Verzeichnis als Quelle genutzt werden.
• AUTH
  Eine Anmeldung am SMTP-Server könnte den Einsatzbereich ebenfalls erweitern.  Zumal viele Mailserver für die Anwender eine Authentifizierung erfordern.
• Performancewerte
  Auch die Ausgabe der aktuell übertragenen Datenmenge sollte dann natürlich erfolgen.

Weitere Links

• www.eicar.com
  Hier gibt es den Testvirus in verschiedenen Formaten. Testen Sie durch einen Download doch einfach mal ihren Virenscanner im Webproxy.
• .NET für Admins
• RCPTTO
• NDR Spamming
• Exchange BADMAIL Ordner
• SMTP Telnet
• So versende ich eine Mail per SMTP
  http://www.Microsoft.com/germany/msdn/library/net/vbnet/EMailsMitVBNETPerSMTPVersenden.mspx?mfr=true
• Mailmessage Class
  http://msdn2.Microsoft.com/de-DE/library/system.net.mail.mailmessage.aspx
• Attachment.CreateAttachmentFromString-Methode
  http://msdn2.Microsoft.com/de-de/library/system.net.mail.attachment.createattachmentfromstring.aspx
• http://www.codeproject.com/useritems/EmailApplication.asp
• SMTPDiagPro (Freeware)
  http://www.smtpdiagpro.de/
  SMTP-Diagnose Software mit umfangreichen Tests und kann auch Eicar und GTUBE senden

Keywords:

Code Tools Eicar Virus Eicarsender GTUBE

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
  • MSXFAQ Public
    • Message-ID
    • CatchAll
    • CatchUnknown
    • CatchUnknown2010
    • SpoofDetect
    • FromModify
    • Disclaimer
    • Sink2EML
    • SMTPDebugFix
    • InboxProcessor
    • Get-USNChanges
    • MassUsers
    • Grp2ExInet
    • GRP2CAS
    • Grp2Quota
    • RDNChance
    • Querybased Groups
    • Feiertage
    • AddSelf
    • GalName
    • AddFirma
    • SMTPMail Backup Restore
    • StampLanguage
    • Fix-MailboxGuid
    • Remove-Usercert
    • RunOnPassiveNode
    • OU2Group
    • DynQuota
    • Wipe-Mailbox
    • FixAlias
    • MAPIProfil
    • MoveSubFolder
    • TouchAllItems
    • FixCategories
    • Outlook Send Now
    • OLK-Itemcount
    • FixContactAB
    • Kontaktrename
    • FixContact
    • FixMAPIProfile
    • FindSMTP
    • CheckExObjects
    • CheckRUS
    • RUSMon
    • CheckSMTPFlow
    • CheckGRP
    • ChkDupExtSID
    • Eicarsender
    • 9551-Melder
    • CheckTracking
    • Dump Recipient Policies
    • DumpAddresslist
    • DumpOrt
    • SMTPClients
    • PFReport
    • PFReplCheck
    • PFMailInteg
    • MailboxACL
    • DumpSPN
    • AltRecipient
    • MBQuotaReport
    • DumpServiceAccounts
    • TrackLoginEvents
    • CCRMon
    • Report-PFPermissions
    • Set-PFInfo
    • TEST-ADReplication
    • Get-Routingtable
    • Get-CASUrl
    • CSV2Contact
    • MiniOWA
    • PDF2SMTP
    • SMTPStress
    • MoveDom
    • PWExpire
    • TestASPX
    • Srvcomment
    • DiskTest
    • End2End-File
    • MPP2HTML
    • DNSAge
    • ConfickerCheck
    • NAWLogon
  • MSXFAQ Privat
  • Exchange Tools
  • WinTools
  • 3rd Party Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages