Eicarsender

Wenn Sie die Seite nicht komplett sehen, dann kann das daran liegen, dass der Eicar-Testvirus weiter untern von ihrem Proxy irrtümlich als Virus erkannt wird.

EICAR ist kein Virus, sondern nur eine Testdatei, die aber von einem funktionierenden Virenscanner gefunden werden sollte. Dieses Tools ist daher eine Testoption, um die prinzipielle Funktion eines Virenscanners per SMTP zu prüfen. Eicarsender prüft nicht, ob ihre Erkennungsdatenbank aktuell ist !!

Alle Skripte sind Muster ohne jede Gewährleistung oder Funktionsgarantie. für Schäden bin ich nicht verantwortlich. Achten Sie auf Zeilenumbrüche bei der Übernahme.

Diese Programm ist aus dem Problem entstanden, dass in einem "guten Netzwerk" es sehr schwer ist, einen "Testvirus" gezielt auf ein System zu senden, da z.B. auch der Virenscanner auf dem Versendesystem schon das Senden blockiert. Daher ist dieses Programm so geschrieben, dass es keine Dateien ablegt oder liest und daher die meisten Virenscanner das Programm selbst nicht als Virus erkennen.

Wer heute einen Exchange Server installiert, der muss natürlich auch für einen Virenschutz sorgen. Und da Kontrolle bekanntlich besser ist, gibt es extra einen "unschädlichen" Virus, der gar keiner ist, aber von allen Virenwächtern entdeckt werden sollte. Hinter dem Begriff "EICAR" versteckt sich ein 68-Byte langes MSDOS-Programm, welches einfach nur eine Bildschirmausgabe erzeugt.

Wenn Sie mögen, können Sie den Virus einfach selbst erstellen, indem Sie folgende Zeichenkette in Notepad übernehmen und als EICAR.COM abspeichern:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Das geht auch per PowerShell

[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')

Allerdings sollte ihr Dateisystemscanner genau dieses Abspeichern schon verhindern.

Das Programm

Das Programm wurde in .NET 2.0 mit Visual Basic Express geschrieben. Sie benötigen daher das .NET 2.0 Framework auf dem Computer, der das Programm ausführt. Nach dem Download müssen die dann einfach die EXE in dem Archiv auspacken und Starten. Es ist keine besondere Installation erforderlich. Sie sehen dann folgendes Fenster:

Sie müssen zuerst die drei Felder mit ihren Daten füttern. Das Programm prüft die Gültigkeit der Eingabe !!

  • Mailserver
    Geben Sie hier den Hostnamen ein. Mit jeder Eingabe wird ein Timer gestartet. Wenn Sie daher einige Zeit keine Eingabe mehr machen, dann startet Eicarsender eine DNS-Abfrage. Abhängig vom Ergebnis wird das Feld dann Grün oder entsprechend Rot mit einem Ausrufezeichen. Wenn Sie mit der Maus dann auf das Ausrufezeichen zeigen, sehen Sie den Fehlercode. Eicarsender macht keine Auflösung des MX-Records, d.h. sie müssen einen Server hier angeben.
  • RCPT TO
    Geben Sie hier die gültige Mailadresse des gewünschten Empfänger ein. Bitte nutzen Sie das Programm nur für Tests mit ihnen gehörenden Servern. Wenn Sie hier eine falsche Adresse angeben, dann sollte ein gutes System die Mail gar nicht erst annehmen. (Siehe auch NDR Spamming). Die Gültigkeit der Mailadresse wird über einen regulären Ausdruck geprüft. Ob es die Mailbox wirklich gibt, kann zu dem Zeitpunkt nicht überprüft werden.
  • MAIL FROM
    Dies ist die Absenderadresse, die bei der Mail verwendet wird. Bitte verwenden Sie hierbei eine Mailadresse, die sie selbst auch abrufen können, da viele Virenschutzprodukte eine Meldung an den vorgeblichen Absender übermitteln. Nutzen Sie keine fremden oder ungültigen Mailadressen, da dies sonst eventuell ihren BADMAIL-Ordner oder das Postfach von unbeteiligten Personen auffüllt.

Zuletzt müssen Sie noch eines der Formate für den Virus bzw. die SPAM-Datei auswählen.

  • TXT
    Der Virus wird einfach als Text-Datei an die Mail angehängt. Die meisten Virenscanner prüfen auch solche Anlagen, deren Erweiterung nicht gerade auf ein ausführbares Programm hinweist.
  • COM
    Das ist die klassische Mail mit dem direkt ausführbaren EICAR-Programm. Dies sollte von jedem Virenscanner erkannt werden. Ansonsten müssen Sie die Funktion ihres Scanner prüfen. Er scheint nicht zu funktionieren
  • ZIP
    Die nächste Steigerung ist der Virus als verpacktes Archiv. Die EICAR.COM wurde dazu in ein ZIP-Archiv verpackt und angehängt
  • ZIP2
    Um auch die Rekursion zu prüfen, wurde hier das erste Archiv erneut verpackt.
  • GTUBE
    Diese Mustermail wurde vom Team um SpamAssassin analog zu EICAR definiert und sollte von jedem Spamschutzprogramm als "unerwünscht" erkannt werden. Allerdings ist diese Erkennung noch nicht von allen Produkten auch eingebaut worden.

Erst wenn alle Bedingungn für den Versand erfüllt scheinen, wird der "SEND"-Button auch aktiviert. Drücken Sie dann auf SEND, um die gewünschte Nachrichten zu versenden.

In der Textbox finden Sie eine Ausgabe der Aktionen des Programms, so dass ich bei Fehlern die Ursache erkennen kann. Der Erfolg oder auch Misserfolg wird mit einer Messagebox gemeldet.

Sie können auch mehrfach auf SEND drücken oder einfach das Format der Anlage oder Mail ändern.

Fehlerquellen

So einfach das Programm ist (53 Kilobyte) so knifflig können die Fehlerursachen sein.

  • .NET 2.0 muss installiert sind
    Ohne das .NET 2.0 Framework erhalten Sie nur einen Fehler. Das Programm verwendet die Klasse "SMTP-Client", welche erst ab Version 2.0 verfügbar ist
  • Lokale Ausführung
    Wenn Sie das Programm nicht von einer lokalen Festplatte, sondern von einem UNC-Pfad ausführen, dann startet es zwar, aber beim Versand kommt folgendes:

    Das ist Teil des Schutzkonzepts von .NET

ClickOnce Version

Ich habe das Programm zur direkten Ausführung per "ClickOnce" bereit gestellt

setup.exe

Das Programm sollte so direkt ausführbar sein

Download

Für den Einsatz auf Systemen ohne Internet-Verbindung oder Testfeldern können Sie das Programm natürlich auch offline nutzen. Laden Sie sich hier das Programm als ZIP-Archiv herunter:

eicarsender.1.0.zip

Es gibt keine gesonderte Installationsroutine. Sie können das Programm direkt nach dem Auspacken aufrufen. Wenn Sie keinen "Unzipper" haben, dann können Sie 7Zip (www.7zip.org), FilzZip (www.filzip.de) oder TugZip (http://www.tugzip.com) zum Auspacken nutzen.

Wo ist der Sourcecode

Das Programm ist so einfach und sollte von jedem .NET Einsteiger in wenigen Stunden selbst programmiert werden können. Aber jemand kann damit genauso einfach die Messagebox deaktivieren und eine "Vorschleife" einbauen. Ich weiß, dass dies auch schon lange mit Programmen wie Blat möglich ist. Eventuell werde ich zu einem späteren Zeitpunkt den Code öffentlich machen.

Weiterentwicklung

Folgende Funktionen könnte ich mir in einer der nächsten Versionen vorstellen:

  • Multithreaded
    Der Versand mehrerer Mails auch in parallelen Thread wäre für Lasttests sicher interessant
  • Eigene Mails
    Denkbar wäre auch, dass z.B. eine oder mehrere EML-Dateien aus einem Verzeichnis als Quelle genutzt werden.
  • AUTH
    Eine Anmeldung am SMTP-Server könnte den Einsatzbereich ebenfalls erweitern.  Zumal viele Mailserver für die Anwender eine Authentifizierung erfordern.
  • Performancewerte
    Auch die Ausgabe der aktuell übertragenen Datenmenge sollte dann natürlich erfolgen.

Weitere Links