eicar.com 은 말 그대로 com형식의 실행파일입니다. 요새는 *.com형식의 실행파일이 많지 않지만... 뭐 그건 넘어가구요.

일반적인 사용자들이 직접 멀웨어를 가지고 테스트를 하다가는 컴퓨터가 훅 가버리는 수가 생깁니다. 특히 컴퓨터는 한대밖에 없고, 여기에 온갖 정보가 있는데 멀웨어 테스트 하다가 털리면 안티바이러스 제품군을 사용하는 의미가 없죠. 그래서 대부분의 백신 제작사들은 안티바이러스 테스트의 표준 규약을 만들었는데, 그중 하나가 eicar.com입니다. 사실 유럽에서 만든거지만 표준 규약이래야 별거 없는게 68바이트의 파일에, 파일명과 확장자는 eicar.com으로 규정을 하고, 이게 포함되면 무조건 바이러스로 간주하게 DB로 넣어놓기로 한거죠.

물론 안티바이러스 업체에서 이걸 규정 안했을수도 있습니다. 그런데 이 경우 매우 높은 확률로 백신을 발로 만드는 회사일 가능성이 높으니 사용 안하시면 됩니다. 왜냐면 최소한의 검증이 안된다는 말이니까요 -_-

테스트 규칙은 네가지입니다. 하나만 통과하면 안되고, 넷 다 통과를 해야합니다.

http://www.eicar.org/85-0-Download.html

이런 테스트 프로토콜은 몇가지가 더 있는데, GTUBE, PUA정도만 대충 알겠네요.

GTUBE는 스팸 차단 테스트, PUA는 유해가능 프로그램 차단 테스트 프로토콜입니다. 스팸차단의 경우 DB가 한국은 따로 놀기 때문에 효과가 좀 떨어지는 면이 있고, 유해가능 프로그램이야 뭐... 한국 금융권때문에 안쓸수가 없는 액티브 엑스

http://gigglehd.com/zbxe/12495692

요 글에서의 테스트는 그냥 기초중의 기초 테스트입니다. 바꿔 말하자면 하나라도 떨어지면 뭔가 문제가 있는거죠.

1) 통과 못하는 기능이 있을 경우 백신에서 해당 기능을 켠다.

2) 모두 다 통과를 못하면 백신이 저 규약을 지키고 있는지를 의심해본다. 가장 확실한건 DB에 해당 파일명이 진단 등록되어있는지 찾는겁니다.

3) 수동 스캔에서만 eicar.com을 검출하고, 실시간 감시에서 eicar.com을 검출 못하면 그 백신은 실제로 실시간 감시 기능이 없는겁니다.

4) 작동을 하더라도, 여기에 소요되는 시간을 테스트 하는 용도로 쓸 수 있습니다. 아는만큼 응용이 가능하죠.(...)