Eicarsender
Wenn Sie die Seite nicht komplett sehen, dann kann das daran liegen, dass der Eicar-Testvirus weiter untern von ihrem Proxy irrtümlich als Virus erkannt wird.
EICAR ist kein Virus, sondern nur eine Testdatei, die aber von einem funktionierenden Virenscanner gefunden werden sollte. Dieses Tools ist daher eine Testoption, um die prinzipielle Funktion eines Virenscanners per SMTP zu prüfen. Eicarsender prüft nicht, ob ihre Erkennungsdatenbank aktuell ist !!
Alle Skripte sind Muster ohne jede Gewährleistung oder Funktionsgarantie. für Schäden bin ich nicht verantwortlich. Achten Sie auf Zeilenumbrüche bei der Übernahme.
Diese Programm ist aus dem Problem entstanden, dass in einem "guten Netzwerk" es sehr schwer ist, einen "Testvirus" gezielt auf ein System zu senden, da z.B. auch der Virenscanner auf dem Versendesystem schon das Senden blockiert. Daher ist dieses Programm so geschrieben, dass es keine Dateien ablegt oder liest und daher die meisten Virenscanner das Programm selbst nicht als Virus erkennen.
Wer heute einen Exchange Server installiert, der muss natürlich auch für einen Virenschutz sorgen. Und da Kontrolle bekanntlich besser ist, gibt es extra einen "unschädlichen" Virus, der gar keiner ist, aber von allen Virenwächtern entdeckt werden sollte. Hinter dem Begriff "EICAR" versteckt sich ein 68-Byte langes MSDOS-Programm, welches einfach nur eine Bildschirmausgabe erzeugt.
Wenn Sie mögen, können Sie den Virus einfach selbst erstellen, indem Sie folgende Zeichenkette in Notepad übernehmen und als EICAR.COM abspeichern:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Das geht auch per PowerShell
[io.file]::WriteAllText("test.txt",'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*')
Allerdings sollte ihr Dateisystemscanner genau dieses Abspeichern schon verhindern.
Das Programm
Das Programm wurde in .NET 2.0 mit Visual Basic Express geschrieben. Sie benötigen daher das .NET 2.0 Framework auf dem Computer, der das Programm ausführt. Nach dem Download müssen die dann einfach die EXE in dem Archiv auspacken und Starten. Es ist keine besondere Installation erforderlich. Sie sehen dann folgendes Fenster:
Sie müssen zuerst die drei Felder mit ihren Daten füttern. Das Programm prüft die Gültigkeit der Eingabe !!
- Mailserver
Geben Sie hier den Hostnamen ein. Mit jeder Eingabe wird ein Timer gestartet. Wenn Sie daher einige Zeit keine Eingabe mehr machen, dann startet Eicarsender eine DNS-Abfrage. Abhängig vom Ergebnis wird das Feld dann Grün oder entsprechend Rot mit einem Ausrufezeichen. Wenn Sie mit der Maus dann auf das Ausrufezeichen zeigen, sehen Sie den Fehlercode. Eicarsender macht keine Auflösung des MX-Records, d.h. sie müssen einen Server hier angeben. - RCPT TO
Geben Sie hier die gültige Mailadresse des gewünschten Empfänger ein. Bitte nutzen Sie das Programm nur für Tests mit ihnen gehörenden Servern. Wenn Sie hier eine falsche Adresse angeben, dann sollte ein gutes System die Mail gar nicht erst annehmen. (Siehe auch NDR Spamming). Die Gültigkeit der Mailadresse wird über einen regulären Ausdruck geprüft. Ob es die Mailbox wirklich gibt, kann zu dem Zeitpunkt nicht überprüft werden. - MAIL FROM
Dies ist die Absenderadresse, die bei der Mail verwendet wird. Bitte verwenden Sie hierbei eine Mailadresse, die sie selbst auch abrufen können, da viele Virenschutzprodukte eine Meldung an den vorgeblichen Absender übermitteln. Nutzen Sie keine fremden oder ungültigen Mailadressen, da dies sonst eventuell ihren BADMAIL-Ordner oder das Postfach von unbeteiligten Personen auffüllt.
Zuletzt müssen Sie noch eines der Formate für den Virus bzw. die SPAM-Datei auswählen.
- TXT
Der Virus wird einfach als Text-Datei an die Mail angehängt. Die meisten Virenscanner prüfen auch solche Anlagen, deren Erweiterung nicht gerade auf ein ausführbares Programm hinweist. - COM
Das ist die klassische Mail mit dem direkt ausführbaren EICAR-Programm. Dies sollte von jedem Virenscanner erkannt werden. Ansonsten müssen Sie die Funktion ihres Scanner prüfen. Er scheint nicht zu funktionieren - ZIP
Die nächste Steigerung ist der Virus als verpacktes Archiv. Die EICAR.COM wurde dazu in ein ZIP-Archiv verpackt und angehängt - ZIP2
Um auch die Rekursion zu prüfen, wurde hier das erste Archiv erneut verpackt. - GTUBE
Diese Mustermail wurde vom Team um SpamAssassin analog zu EICAR definiert und sollte von jedem Spamschutzprogramm als "unerwünscht" erkannt werden. Allerdings ist diese Erkennung noch nicht von allen Produkten auch eingebaut worden.
Erst wenn alle Bedingungn für den Versand erfüllt scheinen, wird der "SEND"-Button auch aktiviert. Drücken Sie dann auf SEND, um die gewünschte Nachrichten zu versenden.
In der Textbox finden Sie eine Ausgabe der Aktionen des Programms, so dass ich bei Fehlern die Ursache erkennen kann. Der Erfolg oder auch Misserfolg wird mit einer Messagebox gemeldet.
Sie können auch mehrfach auf SEND drücken oder einfach das Format der Anlage oder Mail ändern.
Fehlerquellen
So einfach das Programm ist (53 Kilobyte) so knifflig können die Fehlerursachen sein.
- .NET 2.0 muss installiert sind
Ohne das .NET 2.0 Framework erhalten Sie nur einen Fehler. Das Programm verwendet die Klasse "SMTP-Client", welche erst ab Version 2.0 verfügbar ist - Lokale Ausführung
Wenn Sie das Programm nicht von einer lokalen Festplatte, sondern von einem UNC-Pfad ausführen, dann startet es zwar, aber beim Versand kommt folgendes:
Das ist Teil des Schutzkonzepts von .NET
ClickOnce Version
Ich habe das Programm zur direkten Ausführung per "ClickOnce" bereit gestellt
Das Programm sollte so direkt ausführbar sein
- ClickOnce Deployment für Windows Forms
Applications
https://msdn.microsoft.com/en-us/library/wh45kb66(v=vs.90).aspx - Übersicht über die ClickOnce-Bereitstellung
https://msdn.microsoft.com/de-de/library/142dbbz4%28v=vs.90%29.aspx - How to: Publish a ClickOnce Application
using the Publish Wizard
https://msdn.microsoft.com/de-de/library/31kztyey.aspx - Wikipedia - ClickOnce
https://de.wikipedia.org/wiki/ClickOnce
Download
Für den Einsatz auf Systemen ohne Internet-Verbindung oder Testfeldern können Sie das Programm natürlich auch offline nutzen. Laden Sie sich hier das Programm als ZIP-Archiv herunter:
Es gibt keine gesonderte Installationsroutine. Sie können das Programm direkt nach dem Auspacken aufrufen. Wenn Sie keinen "Unzipper" haben, dann können Sie 7Zip (www.7zip.org), FilzZip (www.filzip.de) oder TugZip (http://www.tugzip.com) zum Auspacken nutzen.
Wo ist der Sourcecode
Das Programm ist so einfach und sollte von jedem .NET Einsteiger in wenigen Stunden selbst programmiert werden können. Aber jemand kann damit genauso einfach die Messagebox deaktivieren und eine "Vorschleife" einbauen. Ich weiß, dass dies auch schon lange mit Programmen wie Blat möglich ist. Eventuell werde ich zu einem späteren Zeitpunkt den Code öffentlich machen.
Weiterentwicklung
Folgende Funktionen könnte ich mir in einer der nächsten Versionen vorstellen:
- Multithreaded
Der Versand mehrerer Mails auch in parallelen Thread wäre für Lasttests sicher interessant - Eigene Mails
Denkbar wäre auch, dass z.B. eine oder mehrere EML-Dateien aus einem Verzeichnis als Quelle genutzt werden. - AUTH
Eine Anmeldung am SMTP-Server könnte den Einsatzbereich ebenfalls erweitern. Zumal viele Mailserver für die Anwender eine Authentifizierung erfordern. - Performancewerte
Auch die Ausgabe der aktuell übertragenen Datenmenge sollte dann natürlich erfolgen.
Weitere Links
-
www.eicar.com
Hier gibt es den Testvirus in verschiedenen Formaten. Testen Sie durch einen Download doch einfach mal ihren Virenscanner im Webproxy. - .NET für Administratoren
- RCPTTO
- NDR Spamming
- Exchange BADMAIL Ordner
- SMTP Telnet
- So versende ich eine Mail per SMTP
http://www.Microsoft.com/germany/msdn/library/net/vbnet/EMailsMitVBNETPerSMTPVersenden.mspx?mfr=true - Mailmessage Class
http://msdn2.Microsoft.com/de-DE/library/system.net.mail.mailmessage.aspx - Attachment.CreateAttachmentFromString-Methode
http://msdn2.Microsoft.com/de-de/library/system.net.mail.attachment.createattachmentfromstring.aspx - http://www.codeproject.com/Useritems/EmailApplication.asp
-
SMTPDiagPro (Freeware)
http://www.smtpdiagpro.de/
SMTP-Diagnose Software mit umfangreichen Tests und kann auch Eicar und GTUBE senden