36 replies to this topic

[loumax]

TEST PROTECTION TEMPS RÉEL
Partie 1

MALWAREBYTES



Protocole de test temps réel :
Exécution de 10 URLs du jour suivi d'une analyse rapide de Malwarebytes et d'un scan de contrôle de E.C.S (Emsisoft comandline scanner)

Les URLs :
1) fake av ==> bloqué // 2) trojan ==> quarantaine
3) exploit kit ==> bloqué // 4) trojan oficia-sasfi ==> bloqué
5) phénix exploit kit ==> bloqué // 6) trojan TDSS ==> bloqué
7) fake av ==> bloqué // 8) trojan zeus ==> bloqué
9) trojan spyeye ==> bloqué // 10) fake av ==> bloqué

Rien n'est passé, petit tour en mémoire



Une petite url qui n'est pas vraiment malveillante, mais juste pour le fun
et notre ami draven
11) rickrolled.fr ==> pas de réaction de Malwarebytes



Analyse Malwarebytes qui ne trouve rien.
Analyse E.C.S toujours rien.



Scan contextuel sur deux archives :
300 malwares de plus d'un an = reste 78 menaces.
2900 malwares récents = reste 147 menaces.

Conclusion:
Pour le surf et les téléchargements à haut risque, Malwarebytes reste une valeur sûre et vaut n'importe quel antivirus !
Quelques captures des réactions de Malwarebytes sur les urls :



Et d'un simple clic droit sur l'icône dans la barre des tâches , vous aurez accès à ceci :

[loumax]

TEST PROTECTION TEMPS RÉEL SUR MACHINE INFECTÉE
Partie 2

MALWAREBYTES

Protocole : exécution de dix malwares résident de Malwarebytes coupé.
Activation du résident et voir les réactions.
Redémarrage et analyse de Malwarebytes suivit d'une analyse de contrôle de E.E.M.

Les malwares :
1 trojan zeus - 1 trojan TDSS - 1 trojan banker - 1 trojan dropper - 2 backdoors
1 rootkit - 3 rogues.



J'exécute petit tour en mémoire.



Première réaction de Malwarebytes qui bloque des connections sortantes à plusieurs reprises.
Deux réaction du résident :



Je procède au redémarrage sans faire d'analyse, puisque je le connais asses bien pour savoir que le test s'arrêterait là !
Redémarrage, le rogue sécurity tool est là mais Malwarebytes aussi (déjà il ne c'est pas fait "kill").



Mais le rogue (et ceux qui le connaisse le savent bien !) empêche l'ouverture de tous logiciels sécuritaire inclus process explorer.



Je redémare en mode sans échec.
Analyse Malwarebytes = 8 infections, suppression et redémarrage Windows normalement.



Je refais un scan par acquit de conscience, et la surprise il me trouve 7 infections.



Scan de contrôle E.E.K.



Donc voilà rien à redire, Malwarebytes n'est pas seulement un bon outil de désinfection, mais aussi une très bonne protection en temps réel pour votre PC.
Merci à mon ami J.F qui m'as permis de réaliser ce test.

[EboO]

J'aurais deux questions :
- pourquoi désactiver le résident dans la 2e partie ?
- peux-tu comparer les résultats avec d'autres av ? (mbam semble nettement plus efficace que certains av !) Pour le prix de la license antivir j'ai l'impression que mbam est encore plus efficace.

[visualbasic]

la difference que malwarebytes a c'est sa detections des packers, c'est a dire, la ou les antivirus laisserons passer zoulou.exe , malwarebytes arrivera a detecter le malware , son seul probleme, il est facilement tuable si y ne connait pas l'action..

Ce message a été modifié par visualbasic - 25 septembre 2010 - 19:18 .

[EboO]

il vaut mieux un av en somme ? Ou tout doucement mbam entre chez les av et va cartonner ?

[Saul]

Tu as oublié d'effacer ton nom sur le screen Malwarebytes du second post.

Merci pour le test, il est rare de voir des expériences faites avec la version payante de MBAM. Mais s'il fallait vraiment mettre la main à la poche, je recommanderais plutôt Emsisoft Anti-Malware.

[loumax]

J'aurais deux questions :
- pourquoi désactiver le résident dans la 2e partie ?

Pour pouvoir exécuter les malwares tranquillement sans intervention de Malwarebytes, de sorte je suis sûr que les malwares sont bien actifs avant l'activation du résident, et observer plus facilement sa réaction.

- peux-tu comparer les résultats avec d'autres av ? (mbam semble nettement plus efficace que certains av !) Pour le prix de la license antivir j'ai l'impression que mbam est encore plus efficace.

En test comparatif je ne l'ai pas fais, mais il y a qu'à voir ceux que j'ai déjà réalisé sur le même protocole : ici, et tu aura une idée pourquoi un test comparatif avec un antivirus conventionnel aurait un résultat que tu peux déjà deviner !
Et oui si je devais aujourd'hui acheter un antivirus, je préférerais Malwarebytes !

la difference que malwarebytes a c'est sa detections des packers, c'est a dire, la ou les antivirus laisserons passer zoulou.exe , malwarebytes arrivera a detecter le malware , son seul probleme, il est facilement tuable si y ne connait pas l'action..

Tu as raison d'où l'intérêt de coupler Malwarebytes avec un bon pare-feu, qui lui servirait de protection (genre Comodo ou O.A pour éviter qu'il se fasse "kill")

[loumax]

Merci Saul, c'est rectifié !

[EboO]

Merci pour les précisions et le test !
Je me trouve con avec antivir v10 premium, Mbam lui met une sacrée raclée à mon avis.
Il consomme beaucoup en mémoire ?

[loumax]

Regarde les captures de Process explorer sur le système il pèse environ 70000 K ce qui est plus que raisonnable, en scan un peu plus, mais l'ensemble est asses "light"

[EboO]

Je suis surpris qu'il n'y ait pas plus d'utilisateurs de mbam avec le résident vu l'efficacité et le coût.
Vipre et Mbam partagent leur base de données et pourtant Mbam paraît plus efficace : différence dans le mode de détection ?
Dans les défauts (il faut bien qu'il y en ait), hormis le fait d'être facilement killable il est efficace en proactif ?
Ce topic enfonce le clou à propos de Malwarebytes : une référence dans le nettoyage, et avec un sacré résident ! Il reste combien de malwares après le scan de l'archive de shaoran ? (il bat sûrement antivir, qui a le meilleur taux je crois).

Ce message a été modifié par EboO - 25 septembre 2010 - 21:01 .

[loumax]

Je suis surpris qu'il n'y ait pas plus d'utilisateurs de mbam avec le résident vu l'efficacité et le coût.
Vipre et Mbam partagent leur base de données et pourtant Mbam paraît plus efficace : différence dans le mode de détection ?
Dans les défauts (il faut bien qu'il y en ait), hormis le fait d'être facilement killable il est efficace en proactif ?
Ce topic enfonce le clou à propos de Malwarebytes : une référence dans le nettoyage, et avec un sacré résident ! Il reste combien de malwares après le scan de l'archive de shaoran ? (il bat sûrement antivir, qui a le meilleur taux je crois).

La popularité de Malwarebytes c'est faite sur la désinfection, et ils ne font pas beaucoup de propagande sur la protection en temps réel ... ceci explique (peut-être) cela.
Effectivement ils partagent la même base de données après de la façon dont ils travaillent, est certainement différente.
Sa proactivité est asses efficace et son blocage d'urls encore plus, ajouté à sa détection en scan cela fait de lui une excellente protection.
Pour ce qui est des scan d'archive sur "virils" inactifs ce n'est pas le point fort de Malwarebytes pour ça un EEK comme beaucoup d'autres antivirus seront bien meilleurs.
Malwarebytes est conçu pour détecter lorsque le malware est déjà installé (actif), et seulement à ce moment il développera sa pleine efficacité.
Le défaut est que Malwarebytes consomme quand-même pas mal de "proc" en scan, mais il fallait quand-même lui trouver quelques défauts non ?

[loumax]

Pour ce qui des scan d'archive sur "virils" inactifs ce n'est pas le point fort de Malwarebytes pour ça un EEK comme beaucoup d'autres antivirus seront bien meilleurs.
Malwarebytes est conçu pour détecter lorsque le malware est déjà installé (actif), et seulement à ce moment il développera sa pleine efficacité.

Pour étayer ce que je viens de dire, à lire ici.

[vigen]

Merci pour les précisions et le test !
Je me trouve con avec antivir v10 premium, Mbam lui met une sacrée raclée à mon avis.
Il consomme beaucoup en mémoire ?

Il n'ya pas a ce trouver "con" avec antivir premium qui reste le meilleur AV en taux de détection pur.





Malwaresbytes est faillible comme tous autres logiciels fonctionnant principalement par "signatures".

J'ai déja eu des infections que MBAM ne m'as pas vu, Hitman si, et inversement.

Pour moi MBAM est un très bon logiciel, mais ne remplaceras pas un anti-virus, car il n'est tous simplement pas conçu pour ça.

[EboO]

Petite confusion de ma part, les explications de Loumax m'ont éclairé.
Par contre comme tu le dis Vigen antivir a un excellent taux de détection mais un résident pas terrible, au final ne serait-il pas plus judicieux d'utiliser un av avec un meilleur résident ? C'est bien de tout voir en scan après infection mais Mbam le fait très bien.

[noisette]

"virils" inactifs

Les pauvres ...

[Saul]

C'est un peu hors-sujet, mais oui il vaut mieux choisir un programme de sécurité doté d'une bonne protection en temps réel et d'un faible scan plutôt que l'inverse. C'est pour cette raison que j'ai tendance à recommander Avast à la place d'Antivir.

Et je rejoins Vigen sur l'utilisation de MBAM : ce n'est pas un antivirus. On peut l'installer à la place de, mais il faut bien prendre conscience qu'il n'a pas été conçu pour ça à la base. Après, si tu le combines à un bon pare-feu EboO (Online Armor, Comodo Firewall...), ça peut suffire à défendre ton PC.

[EboO]

J'ai antivir premium avec comodo v5 (j'ai un bug avec OA, j'attends de voir le bug est remonté à la team), wot et clearcloud, plus scan de temps en temps de mbam
Par contre j'ai pris une licence antivir en avril et depuis j'ai l'impression qu'il ne fait que régresser...

[loumax]

Malwaresbytes est faillible comme tous autres logiciels fonctionnant principalement par "signatures".

Oui comme tous les logiciels sécuritaires, et pas seulement ceux fonctionnant sur " signatures viral "

Pour moi MBAM est un très bon logiciel, mais ne remplaceras pas un anti-virus, car il n'est tous simplement pas conçu pour ça.

Rapport qualité prix, je choisirais sans hésitation Malwarebytes à la plupart des antivirus actuellement sur le marché !

"virils" inactifs

Les pauvres ...

[EboO]

"virils" inactifs

Les pauvres ...

Lol

[vigen]

Malwaresbytes est faillible comme tous autres logiciels fonctionnant principalement par "signatures".

Oui comme tous les logiciels sécuritaires, et pas seulement ceux fonctionnant sur " signatures viral "

Pour moi MBAM est un très bon logiciel, mais ne remplaceras pas un anti-virus, car il n'est tous simplement pas conçu pour ça.

Rapport qualité prix, je choisirais sans hésitation Malwarebytes à la plupart des antivirus actuellement sur le marché !

"virils" inactifs

Les pauvres ...

Après chacun fait bon lui semble...mais a ce "prix" la justement, il y'a des suites complètes comprenant meme un HIPS et un IDS..





Après Saul a son avis, j'ai le mien, généralement je préfère la prévention que la repression, donc une détection a un résident (l'idéal étant d'avoir les deux)..Mais bon après c'est aussi a chacun de voir selon son utilité/utilisation...

EboO je crois que tu es suffisamment blindé comme ça !!! :-D  On tombe pas non plus sur une menace tous les jours ^^

[EboO]

EboO je crois que tu es suffisamment blindé comme ça !!! :-D  On tombe pas non plus sur une menace tous les jours ^^

En effet, mais j'ai une femme nulle en informatique et qui utilise le même pc que moi
Vigen je ne comprends pas trop quand tu dis que tu préfères une détection à un résident : pour moi une détection c'est lors d'un scan à la demande, un résident c'est la surveillance en continu. Peux-tu préciser stp ?

Ce message a été modifié par EboO - 26 septembre 2010 - 17:38 .

[Saul]

Après Saul a son avis, j'ai le mien

Et ils sont identiques.
Nous privilégions tous deux la prévention à la guérison.

[vigen]

EboO je crois que tu es suffisamment blindé comme ça !!! :-D  On tombe pas non plus sur une menace tous les jours ^^

En effet, mais j'ai une femme nulle en informatique et qui utilise le même pc que moi
Vigen je ne comprends pas trop quand tu dis que tu préfères une détection à un résident : pour moi une détection c'est lors d'un scan à la demande, un résident c'est la surveillance en continu. Peux-tu préciser stp ?

Pour moi une détection, lis le fichier, sois d'une page web ou présent sur ton DD, un résident "l'analyse" soit de manière comportementale (basé principalement sur des règles strictes) ou heuristique ( que l'on pourrais comparer a une "intelligence artificielle")





http://fr.wikipedia....iki/Heuristique

Après Saul a son avis, j'ai le mien

Et ils sont identiques.
Nous privilégions tous deux la prévention à la guérison.

On c'est compris alors !!! 

Ce message a été modifié par vigen - 26 septembre 2010 - 19:00 .

[loumax]

Après chacun fait bon lui semble...mais a ce "prix" la justement, il y'a des suites complètes comprenant meme un HIPS et un IDS..

Des HIPS tu en as de très bons gratuits comme je le disais à EboO au-dessus couplé à OA par exemple, pour le prix je ne suis pas sûr que tu trouves l'équivalent : voir ( redevance unique ).

EboO je crois que tu es suffisamment blindé comme ça !!! :-D  On tombe pas non plus sur une menace tous les jours ^^

En effet, mais j'ai une femme nulle en informatique et qui utilise le même pc que moi
stp ?

Cherche pas des excuses, peut-être aussi parce que tu es un mordu de la sécurité informatique, non ?

[EboO]

Merci vigen pour ces infos.
Lol Loumax il y a surement de ça aussi
Par manque de temps je ne fais pas de test (et puis je n'ai pas non plus de grandes connaissances), je le regrette un peu ça paraît assez sympa !

[loumax]

Lol Loumax il y a surement de ça aussi
Par manque de temps je ne fais pas de test (et puis je n'ai pas non plus de grandes connaissances), je le regrette un peu ça paraît assez sympa !

Quel dommage ...
Plus on est de fou plus on rigoles !

[cvsa]

J'ai testé ce matin MBAM résident +Online Armor free. J'avoue être assez déçu.

Premier point : la mémoire utilisée est énorme : 103 Mb pour OA + Mbam (dont 62 pour Mbam !)
EDIT : Je me plante : c'est 52 Mbs ! dsl

De plus, sur une quinzaine d'URL fraiches, 3 ont pu passer. à l'installation de ces 3 malwares (2 trojan et un fake av), OA réagit bien mais nous noie sous des explication pas très claires pour finalement conclure que le fichier n'est pas dans la base de donnée oasis... A la fin de la lecture, je ne sais toujours pas quoi faire.... vraiment pas terrible !

Mbam ne dit rien et je me retrouve avec une machine infectée..... et un improbable advanced tracks cleaner qui a pu s'installer..

Bon, ben je suis pas près de quitter comodo FW + Avast qui combinent légèreté et efficacité et convivialité

Image(s) jointe(s)

• 
• 
• 

Ce message a été modifié par cvsa - 03 octobre 2010 - 16:12 .

[loumax]

Es-ce que tu avait une consommation excessive en proc ?
A mon avis quelque chose ne tournait pas rond, je les aient gardés en test plus d'une semaine et j'ai pas eu ce genre de comportement.
J'ai réussi à être infecté par ma faute en voulant aller trop loin dans les acceptations, mais le résident de Malwarebytes rattrapait le coup deux fois sur trois, et au pire sur analyse.
Ce qui m'étonnes c'est que Malwarebytes n'est pas détecté les infections sur analyse, car ces derniers temps son taux de détection est supérieur à celui d'Hitman pro.

[cvsa]

Es-ce que tu avait une consommation excessive en proc ?
A mon avis quelque chose ne tournait pas rond, je les aient gardés en test plus d'une semaine et j'ai pas eu ce genre de comportement.
J'ai réussi à être infecté par ma faute en voulant aller trop loin dans les acceptations, mais le résident de Malwarebytes rattrapait le coup deux fois sur trois, et au pire sur analyse.
Ce qui m'étonnes c'est que Malwarebytes n'est pas détecté les infections sur analyse, car ces derniers temps son taux de détection est supérieur à celui d'Hitman pro.

OOOPs désolé, c'est la deuxième fois que ça m'arrive : je confonds "working set" avec "private bytes" dans process explorer... En fait, la conso de ram est moyenne mais pas catastrophique : 52 Mbs (pour comparaison, j'arrive à 38 Mbs avec Comodo FW + avast) . L'activité du proc est normale.

J'avais pris des url sur les dernières de MDL et Malc0de . Ni le scan à la volée , ni l'analyse sur demande ni l'analyse à l'exécution n'ont réagi....

Quand à OA, j'espère que tu seras d'accord avec moi pour dire que les messages sont sibyllins.....

Ce message a été modifié par cvsa - 03 octobre 2010 - 16:11 .