Les malwares et les antivirus
#31
Posted 18 February 2009 - 07:38 AM
il n'y a QUE l'efficacité qui m'intéresse.
A ce titre, je ne vois que Kaspersky dans les scanners testés, les autres, même pas trop mal, je ne les vois plus. je suis de loin, disons, au cas où ils feraient un progrès, ou que Kaspersky s'effondre (juste pour DrWeb et Norman, qui sont relativement mauvais, mais pas catastrophiques -les autres testés sont catastrophiques ^^)
En règle générale, surtout pour les protections résidentes, mais également pour les scanners: ceux qui sont inefficaces, je les classe en malwares: car s'ils sont censés te protéger (ou te désinfecter), ils ne le font pas alors même que la vigilance de l'utilisateur est amoindrie (puisqu'il se sent protégé). Ce ne sont pas seulement des logiciels "merdiques", ils sont également dangereux et font perdre du temps, tout au moins.
J'y pense: il pourrait être intéressant de tester a squarred .
#33
Posted 18 February 2009 - 08:15 AM
le télécharge, scan son pc. Et il est content car son scanner n'a rien détecté et se sent protégé. Mais en fait c'est tout à fait
le contraire...
Edited by VIRUS-T, 18 February 2009 - 15:16 PM.
#34
Posted 18 February 2009 - 19:10 PM
rapport à d'autres scanners avec de bon résultats. voir ici:
http://sites.google....anner-antivirus
Bonsoir,
une petite remarque à propos de Stnger: Celui-ci ne me semble pas être un scaner à large spectre, mais plutôt destiné à des infections bien spécifiques.
La meilleure preuve, me semble t'il, est que sur la page d'accueil de Stinger la liste des infections détectées et traitées est bien définie: http://vil.nai.com/v...er/default.aspx
ÉDIT: C'est d'ailleurs confirmé par la FAQ dont voici un extrait:
- A list of the viruses that stinger is configured to detect is displayed when pressing the List Viruses button. This virus list does not contain the results from running a scan.
et
- Stinger is not a substitute for a full anti-virus scanner. It is only designed to detect and remove specific threats.
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#36
Posted 18 February 2009 - 22:54 PM
#37
Posted 19 February 2009 - 09:15 AM
#38
Posted 19 February 2009 - 13:49 PM
Bonjour et merci d'avoir rajouté cette précision.
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#41
Posted 19 February 2009 - 17:00 PM
j'en ajouterais bien une couche, moi. Car le site de VIRUS-T propose un travail personnel et authentique.
Tout le monde n'ayant pas les compétences, le temps ou l'envie de se pencher sur la sécurité à haut niveau et tout le monde étant pourtant confronté à ces problèmes (avec des différences suivant les OS utilisés), la mise à disposition de son savoir et l'effort de vulgarisation est important.
J'en profite pour te remercier aussi, tristan, de faire le détour par chez nous dans un esprit analogue. Je ne te cache pas que j'ai été surpris au début de te trouver parmi nous, me demandant bien ce que nous pouvions bien t'apporter. je pense avoir trouvé la réponse.
Je me suis tenu la même réflexion à la connaissance de Txon, qui est un pilier d'infomars, et de son équipe, et dont on regrette en ce moment l'indisponibilité. C'est l'occasion pour moi de lui faire un coucou officiel: j'ai beaucoup d'estime pour le dévouement que vous mettez dans votre entreprise de protection, d'éducation et d'émancipation des autres.
#42
Posted 19 February 2009 - 17:48 PM
Par contre a tu prévu une fonction pour supprimer le messagebox de la calculatrice dans le cas ou l'antivirus
ne réagit pas?
Pourrai tu m'envoyer ton Test_Hijacking.exe afin que je l'essaye?
Edited by VIRUS-T, 19 February 2009 - 19:33 PM.
#45
Posted 20 February 2009 - 20:39 PM
J'ai essayé ton Test_Hijacking.exe sur deux antivirus, mais le petit problème c'est que l'antivirus ne réagit pas . Testé avec Spyware
Terminator et là ça fonctionne. C'est plutot un test pour les HIPS! ?
Bonne soirée à tous
VIRUS-T
Edited by VIRUS-T, 20 February 2009 - 20:40 PM.
#46
Posted 20 February 2009 - 20:56 PM
Dans le cas des anti-virus de VIRUS-T, sont-ils bien seuls en fonctionnement ?
#47
Posted 20 February 2009 - 21:35 PM
Dans le cas des anti-virus de VIRUS-T, sont-ils bien seuls en fonctionnement ?
Bonsoir noisette,
Les antivirus testés sur LES MALWARES ET LES ANTIVIRUS sont seuls en fonctionnement.
J'ai essayé ton Test_Hijacking.exe sur deux antivirus, mais le petit problème c'est que l'antivirus ne réagit pas . Testé avec Spyware
Terminator et là ça fonctionne. C'est plutot un test pour les HIPS! ?
Bonne soirée à tous
VIRUS-T
Bonsoir Virus-T
C´est inquiétant... Peux-tu me communiquer les noms de ces deux antivirus?
Le mien réagit à ce test-hijacking. C´est bon pour tes tests . Je suis assez surpris du silence de ces deux antivirus.
Je te confirme bien que le programme doit faire réagir toutes les solutions de protection crédibles. Si certains antivirus ne repèrent pas cette menace, il sera nécessaire de le mentionner sur ton site.
Je vais tester plus en détail tout ça demain. J'ai testé sur un antivirus gratuit et un payant.
Je te tien au courant.
Bonne soirée, a demain.
#48
Posted 21 February 2009 - 00:32 AM
Donc: concernant spyware terminator, HIPS désactivé, la protection spyware prend le relais et envoit une notification, malheureusement après la première fenêtre seulement.
Enfin, pour info, je suis passé sur Virus Total:
Fichier Test_Hijacking.zip reçu le 2009.02.21 00:19:24 (CET) | |||
Antivirus | Version | Dernière mise à jour | Résultat |
a-squared | 4.0.0.93 | 2009.02.20 | Trojan-Downloader.Win32.Delf.aas!IK |
AhnLab-V3 | 2009.2.21.0 | 2009.02.20 | - |
AntiVir | 7.9.0.85 | 2009.02.20 | TR/Hijacker.Gen |
Authentium | 5.1.0.4 | 2009.02.20 | W32/SecRisk-ProcessPatcher-Sml-based!Maximus |
Avast | 4.8.1335.0 | 2009.02.20 | - |
AVG | 8.0.0.237 | 2009.02.20 | - |
BitDefender | 7.2 | 2009.02.20 | - |
CAT-QuickHeal | 10.00 | 2009.02.20 | - |
ClamAV | 0.94.1 | 2009.02.20 | - |
Comodo | 983 | 2009.02.20 | - |
DrWeb | 4.44.0.09170 | 2009.02.20 | - |
eSafe | 7.0.17.0 | 2009.02.19 | Suspicious File |
eTrust-Vet | 31.6.6368 | 2009.02.20 | - |
F-Prot | 4.4.4.56 | 2009.02.20 | W32/SecRisk-ProcessPatcher-Sml-based!Maximus |
F-Secure | 8.0.14470.0 | 2009.02.20 | - |
Fortinet | 3.117.0.0 | 2009.02.20 | - |
GData | 19 | 2009.02.20 | - |
Ikarus | T3.1.1.45.0 | 2009.02.20 | Trojan-Downloader.Win32.Delf.aas |
K7AntiVirus | 7.10.638 | 2009.02.20 | - |
Kaspersky | 7.0.0.125 | 2009.02.20 | - |
McAfee | 5530 | 2009.02.19 | - |
McAfee+Artemis | 5530 | 2009.02.19 | - |
Microsoft | 1.4306 | 2009.02.20 | - |
NOD32 | 3873 | 2009.02.20 | - |
Norman | 6.00.06 | 2009.02.20 | - |
nProtect | 2009.1.8.0 | 2009.02.20 | - |
Panda | 10.0.0.10 | 2009.02.20 | - |
PCTools | 4.4.2.0 | 2009.02.20 | - |
Prevx1 | V2 | 2009.02.21 | - |
Rising | 21.17.42.00 | 2009.02.20 | - |
SecureWeb-Gateway | 6.7.6 | 2009.02.20 | Trojan.Hijacker.Gen |
Sophos | 4.39.0 | 2009.02.20 | Mal/Basine-A |
Sunbelt | 3.2.1855.2 | 2009.02.17 | RiskTool.Win32.ProcessPatcher.Sml!cobra (v) |
Symantec | 10 | 2009.02.20 | - |
TheHacker | 6.3.2.3.261 | 2009.02.20 | - |
TrendMicro | 8.700.0.1004 | 2009.02.20 | PAK_Generic.001 |
VBA32 | 3.12.10.0 | 2009.02.20 | suspected of Malware-Dropper.Win32.Inject.gen |
ViRobot | 2009.2.20.1617 | 2009.02.20 | - |
VirusBuster | 4.5.11.0 | 2009.02.20 | - |
Information additionnelle | |||
File size: 9079 bytes | |||
MD5...: c3d94317c9047e36d6bd0827ce4ef0ce | |||
SHA1..: 98e8cae807163dd609a1607baa411b78abaf6269 | |||
SHA256: b4495c2c3a2f204e2e981bf8b0a3b1be640aceda99bb30eb8efa94aded0e40d3 | |||
SHA512: 52acf1c08f3b25e5090713990d617e560ed6479c59371ab356f8d20f04ce5d22 23cd2c8cd47dbea61d4d3700aa4d4cc3eeea5b99d1762cfa071a4703bd7ae3c0 | |||
ssdeep: 192:CRUXXtpaz8kerCY2JQuG8CcCfOrgNr/BeV84VSStDGE5cpStPAqI:CotxkYC Y8XCjOz8QQE5cpSRA/ | |||
PEiD..: - | |||
TrID..: File type identification ZIP compressed archive (100.0%) | |||
PEInfo: - | |||
packers (Kaspersky): PE_Patch.UPX, UPX | |||
packers (Authentium): UPX | |||
packers (F-Prot): UPX |
#49
Posted 21 February 2009 - 06:40 AM
je me permet une réflexion simple: Les virus correspondent à une classe bien particulière de malwares, il est peut être normal qu'un anti-virus ne réagisse pas à autre chose qu'un virus.
La définition d'un virus par wikipédia: http://fr.wikipedia....us_informatique
Définition de Comment ça marche:
d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire
Définition Symantec:
http://www.symantec....p?themeid=virus
A part se répliquer, le virus peut avoir ou non une action plus ou moins néfaste, allant de l’affichage d’un simple message à la destruction de toutes les données.
La réflexion d'un helper:
Pour la plupart des gens, ce qui correspond à un "Malware" est souvent nommé à tort "Virus".
Définition généralement admise pour Malware:
Tu n'as pas programmé un virus mais une sorte de malware, puisque a-squared le détecte comme: Trojan-Downloader.Win32.Delf.aas!IK (un troyen), Antivir comme TR/Hijacker.Gen (hijacker), Authentium comme W32/SecRisk-ProcessPatcher-Sml-based!Maximus(risktool?) etc.
Il est donc normal que certains AV ne détectent pas ton test d'injection, ils ne sont pas conçus pour ça!
D'ailleurs, de plus en plus d'éditeur d'anti-virus essayent avec plus ou moins de succès de d'élargir le champ d'action de leurs productions donnant naissance à des usines à gaz lourdes et perdant en efficacité.
Pour conclure rapidement, à mon sens, ton test devrait s'adresser plutôt à un HIPS.
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#52
Posted 21 February 2009 - 19:21 PM
je me suis mal exprimé: Un anti-virus n'est pas fait pour détecter le genre de malwares que tu essayes d'imiter, il est fait, que ce soit par son heuristique ou sa base de données pour détecter des virus. Ce genre de comportement est surtout ciblé par HIPS
C'est beaucoup plus simple comme ça....
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#53
Posted 21 February 2009 - 20:29 PM
Re,
je ne confond pas les deux: j'ai un HIPS et un anti-spywares.
Bonjour,
je me suis mal exprimé: Un anti-virus n'est pas fait pour détecter le genre de malwares que tu essayes d'imiter, il est fait, que ce soit par son heuristique ou sa base de données pour détecter des virus.
Re Neuromancien,
Les antivirus complets possèdent tous un moteur heuristique.
Relis bien, ai je dit le contraire?
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#54
Posted 21 February 2009 - 20:50 PM
Par exemple, dans mon cas, J'ai
-Un Antivirus: NOD32 -Très léger et très efficace dans son domaine.
-Un Anti-spyware: MBAM
-Un HIPS: DSA.
Et bien sûr un FW: Commodo.
Pour moi chacun de ces éléments a un rôle bien particulier, et, par exemple, je me fiche éperdument que NOD ne réagisse pas à ton test, mais en revanche cela m'inquiéterais que DSA fasse la même chose et qu'il ne réagisse pas à la tentative d'injection.
Comprends tu ce je cherche a dire depuis le début?
Quant à la charge contre les éditeurs de solutions de sécurité, je pense qu'il voudraient que leurs différents produits fassent aussi le café ce qui nuit finalement au résultat final.
Je n'ai pas attaqué ton test ( au contraire, c'est une approche originale et je t'en félicite, même si cela ne se voit pas toujours et que j'aurais pû l'exprimer plus clairement) mais le fait que tu sembles vouloir qu'un AV réagisse alors que ce n'est pas strictement son rôle mais celui d'autres logiciels dédiés.
Suis je un peu plus clair ou suis je condamné a être incompris?
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#55
Posted 21 February 2009 - 21:14 PM
Bon, nous avançons, continuons :
Tout à fait, là nous sommes d'accord.
Quand tu essayes de modifier un programme en lui injectant un code, l'AV ne doit pas obligatoirement t'alerter(Bien sûr si le bout de code que tu injectes quelque soit la méthode a la comportement d'un virus, il se doit de réagir), en revanche L'HIPS s'il ne le fait pas est en faute.
Je suis certain que nous arriverons a nous entendre.
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#56
Posted 22 February 2009 - 03:23 AM
Un nouveau test sur A-Squared Free est à votre disposition ici:
http://sites.google....quared-free-4-0
Edited by VIRUS-T, 22 February 2009 - 03:28 AM.
#57
Posted 22 February 2009 - 04:59 AM
Bonjour,
non, pas la version que j'utilise (2.4.18.184), les versions suivantes étant réservées à XP et Vista, et je précise que je suis sous W2K.
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#58
Posted 22 February 2009 - 05:13 AM
Penseras-tu que le keylogger n´a pas à être détecté par un antivirus?
Après un petit café: En fait cela ne me choquerais pas plus que ça qu'un antivirus ne reconnaisse pas un keylogger
Après tout ce type de programme appartient à la famille des spywares, pas des Virus.
"Nous sommes des nains juchés sur des épaules de géants. Nous voyons ainsi davantage et plus loin qu'eux, non parce que notre vue est plus aiguë ou notre taille plus haute, mais parce qu'ils nous portent en l'air et nous élèvent de toute leur hauteur gigantesque." (Bernard de Chartres, XIIe siècle)
#59
Posted 22 February 2009 - 10:56 AM
Penseras-tu que le keylogger n´a pas à être détecté par un antivirus?
Après un petit café: En fait cela ne me choquerais pas plus que ça qu'un antivirus ne reconnaisse pas un keylogger
Après tout ce type de programme appartient à la famille des spywares, pas des Virus.
Au final ont s'en fou, puis ce que c'est un élément indésirable voir dangereux
"Deux choses sont infinies : l'univers et l'imbecilites humaines".
Albert Einstein.
#60
Posted 22 February 2009 - 11:52 AM
A la fois pour éviter la redondance, voire les conflits. Ainsi que pour ne pas laisser trop de trous.
1 user(s) are reading this topic
0 members, 1 guests, 0 anonymous users