38 replies to this topic

[cvsa]

Bonjour à tous, Je me lance dans les tests et je commence par ma config perso.... comme on est jamais mieux servi que par soi-même.

Configuration : Windows seven x86 - Avast! - Comodo Firewall (sans l'antivirus) - DNS de Clearcloud (petit rappel : 74.118.212.1 et 74.118.212.2 )



Méthode : J'ouvre successivement les 10 dernières URL de ce matin sur Malwaredomainlist et Malc0de. Le cas échéant, j'exécute le fichier téléchargé.

Résultats :

Malwaredomainlist
1ère url : Bloquée par avast
2ème url : Bloquée par avast
3ème url : Bloquée par Clearcloud
4ème url : Bloquée par Clearcloud
5ème url : Bloquée par Clearcloud
6ème url : Bloquée par Clearcloud
7ème url : Bloquée par Clearcloud
8ème url : Bloquée par avast
9ème url : Bloquée par avast
10ème url : Bloquée par avast

cool, non ? Allons voir sur Malc0de.

Malc0de

1ère url : Bloquée par avast
2ème url : Bloquée par avast
3ème url : Bloquée par avast
4ème url : Bloquée par Clearcloud
5ème url : Bloquée par avast
6ème url : Bloquée par Clearcloud
7ème url : Bloquée par Clearcloud
8 ème url : Bloquée par avast
9ème url : Bloquée par Clearcloud
10ème url : Bloquée par avast

Un petit nettoyage du cache avec CCleaner



Et on Vérifie avec MBAM et HITMAN Pro : Rien n'est passé !!



CONCLUSION :

Cette configuration est particulièrement performante sur les menaces venant d'internet. Bien sûr, trop peu d'URL ont ici été testées...mais cela donne néanmoins une bonne idée.

CFW s'est bien reposé dans ce test puisqu'il n'a jamais eu à intervenir. Je le considère comme un filet de protection qui choppe ou bloque ou rend inoffensif tout ce qui passera au travers des 2 autres. Petit rappel : CFW embarque le cloud scan des exécutables un HIPS et la sandbox.....

Le PC ne ralentit pas avec cette config (contrairement à l'utilisation de CIS (avec antivirus)).

J'espère vous avoir intéressé et attends vos commentaires

[visualbasic]

conclusion : on peut desinstalle comodo

[cvsa]

on peut sans doute, mais j'aime bien l'idée du filet de sécurité que constitue la sandbox ..... et j'aime aussi avoir un contrôle du trafic avec le firewall de comodo.....

alors je le garde

[loumax]

Bien cvsa, enfin un test !

Aux vus des derniers tests que j'ai effectués avec Avast, ton résultat ne m'étonne guère !
Pour ClearCloud, son efficacité n'est plus à démontrer.
Si ta configuration sécuritaire ne pèse pas trop sur le système, on peut dire qu'elle est bonne !
En tout cas merci pour le test, une nouvelle configuration à retenir entièrement gratuite et efficace.

[Tchim]

Merci pour ce test, j'aime bien l'idée d'unir plusieurs logiciels de sécurité, je ne crois pas trop aux suites.
L'important c'est qu'il n'y-est pas d'incompatibilité ni de redondance et que cela soit léger.


Peut-être que de faire apparaitre la consommation serait un plus, avec "Process Explorer" et l'option "private bytes" cela donne ces renseignements.

En tout cas très bonne idée que ces tests

[cvsa]

Tes désirs sont des ordres je pense que "working set" est un meilleur indicateur de l'impact mémoire.

Ici, je dirais 41 Mo pour Avast! et 11 Mo pour CFW

[Callisto]

conclusion : on peut desinstalle comodo

Tout a fait

[cvsa]

Pour montrer l'utilité (malgré tout) de CFW, si l'un d'entre vous pouvait me faire passer via MP une archive avec quelques malwares récents. Pas un monstre de 2000 MW, hein, je vais pas y passer la nuit

Et ce pour pouvoir tester à l'exécution et pas uniquement sur des url.....

[loumax]

J'n'ai une p'iote de 350 Mo, ça t'va ?

[cvsa]

Fais un tri et envoie m'en une cinquantaine ou une centaine seulement. Le but est de lancer ceux qui passent à travers Avast!

[visualbasic]

jai un pack que je cultive depuis quelque temps, enfin j'en ai suprimé quelqun quand malwarebytes les detectes.
je te pm ca Surtout ne pas l'utiliser sur une vrai machine, ni avast ni clearcloud te sera d'utiliter, encore moi le comodo mais bon on sait jamais, vue que ces des keyloggers.

Ce message a été modifié par visualbasic - 21 novembre 2010 - 17:43 .

[cvsa]

Ouh là ! 2 packs d'un coup !! merci à Loumax et Visualbasic !

Je teste et je vous dit quoi ....... (Quoi ??!!)

[visualbasic]

le mien le mien ! :-)

[cvsa]

Bon alors à la demande de l'intéressé : le pack Visualbasic qui contenait ..... 3 Malwares (j'imagine sélectionnés avec soin ! )



1°) Désactivation d'avast le temps de dézipper puis scan du répertoire : 1 des virus est intercepté par Avast! 2 restent libres.

2°) Lancement du faux codec Divix.exe.

Le logiciel est sandboxé par CFW car non signé et non reconnu



Puis il semble planter et se ferme (le process disparait de la mémoire) ... fin 'provisoire du film). A noter : pas de réaction du Cloud de CFW.

3°) Lancement du dernier malware : là, les choses se gâtent et deviennent plus intéressantes.

Le logiciel est sandboxé et génère immédiatement une première alerte de Defense + : tentative d'installation d'un Hook Global. Un fichier non signé qui demande cela et la lecture de l'alerte me poussent à bloquer la demande 'j'ai peur, moi )



Une deuxième alerte surgit hors de la nuit....... le firewall me prévient que le méchant essaye de sortir !! (vous voyez pourquoi je désinstalle pas CFW )



Je bloque !

Le bazar est toujours en mémoire dans la sandbox mais ne peut plus me nuire...




4°) pour finir, je redémarre le pc et je constate avec soulagement que ma mémoire est propre . Un coup de ccleaner et c'est parti pour Mbam.

Là, une clé de registre est trouvée . Je pense qu'elle vient du faux codec divx. Je ne pense pas que la sécurité du PC soit compromise par cette simple clé mais c'est clair qu'elle pollue mon registre ........

Le scan de Hitman pro ne donne rien.

Conclusion :

Mon PC est toujours fonctionnel et tourne sans souci. rien en mémoire.... Une clé de registre pourrie a cependant été ajoutée. Grave ou pas, je ne suis pas assez pointu pour en juger mais j'aurais tendance à penser que ce n'est pas trop grave.... à vous de juger.

Dans le cadre de cette configuration, CFW reste pour moi un bon moyen de prévenir des infections par le biais de programme stockés par exemple sur les clés usb des copains.... son hips et son FW me semblent assez efficace et pour cette raison, je ne le désinstallerais pas. Il est clair que s'il n'y avait que des menaces URL, avast et CC serait sans doute suffisants...

Le test a été intéressant car il met également en lumière un des défauts de CFW (et CIS) : il a tendance à laisser des fichiers et des clés de registre polluantes . Pas vraiment dangereuses car souvent inactives mais.... ça fait tache

Image(s) jointe(s)

• 

[visualbasic]

Bon alors à la demande de l'intéressé : le pack Visualbasic qui contenait ..... 3 Malwares (j'imagine sélectionnés avec soin !

bof j'aurais pu te donner un malware qui supprime l'utilisateur windows sans que comodo bronche, mais sa serais triché
Pour ce qui est de la clée de registre, cest pour que le malware se redemare au lancement de windows !

Bon alors à la demande de l'intéressé : le pack Visualbasic qui contenait ..... 3 Malwares (j'imagine sélectionnés avec soin !

bof j'aurais pu te donner un malware qui supprime l'utilisateur windows sans que comodo bronche, mais sa serais triché
Pour ce qui est de la clée de registre, cest pour que le malware se redemare au lancement de windows !

Ce message a été modifié par visualbasic - 21 novembre 2010 - 19:55 .

[cvsa]

je me doutais bien que tu ne me donnerais pas des faciles des fois il vaut mieux 3 méchants que 2000 faciles...

la question est : le malware redémarre-t-il effectivement au reboot ? si oui, où est-il ? je ne le vois pas dans les process ...est-il si bien caché ?

Au fait c'est lequel qui génère cette clé ? que je reteste...... je voudrais quand même bien savoir si la sécurité du pc a été compromise...

[cvsa]

Bon, j'ai trouvé lequel c'est.... à l'exécution, j'ai en fait 2 alertes de plus de D+ concernant un processus olol.exe .. que je n'avais pas vu la 1ere fois... (ptet que je faisais ma capture d'écran).... j'ai tout bloqué, redémarré et je ne vois tjrs rien dans le process explorer

ccl : soit y a rien.... soit c'est très bien caché..... allez, ne soyons pas parano...

Je garde cette config car elle est légère avec peu d'impact sur les perfs et garantit tout de même une bonne sécurité.... à condition de faire le ménage de temps en temps avec un Mbam

[visualbasic]

http://downloads.nov...er_portable.zip
et fait un scan dans les running process : si ya quelque choses si tu es en 32bits test ca : http://downloads.nov..._Free_Setup.exe

[EboO]

Tu n'as pas fais le test avec un machine virtuelle ??

[cvsa]

si si mais je vérifie qu'elle est clean pour savoir si je peux faire confiance à ma stratégie de sécurité

[loumax]

et fait un scan dans les running process : si ya quelque choses si tu es en 32bits test ca : http://downloads.nov..._Free_Setup.exe

Ce lien est bloqué par Panda, visual :

[cvsa]

pas par Clearcloud ni avast!

[visualbasic]

un FP de panda surrement ^^

[EboO]

Tu me rassures cvsa
Ca sent le FP pour panda, je confirme clearcloud ne dit rien et antivir non plus.

[loumax]

Et si je fais "continuer" je tombe sur une erreur 404 ... !

Pour en revenir au test (partie 2), il est évident que Comodo a son utilité.
Une clé de registre obsolète c'est pas méchant, Comodo n'est pas le seul dans ce cas à en laisser derrière lui.
Pour le malware, s'il a bien été sandboxé au départ, logiquement tu ne devrais pas avoir de soucis !

[cvsa]

Bon, après avoir fait tourner ces 2 softs , pas d'infection en vue. Je reste donc sur 3 entrées dans MBAM droppées par le malware au nez et à la barbe de cfw/avast. Sans conséquence apparemment sur l'intégrité de l'ordi.... Toujours ce problème de déchets laissés par Comodo...


Vous êtes bien sûr libres de commenter , d'appuyer ou d'infirmer mes conclusions......

[visualbasic]

Bon, après avoir fait tourner ces 2 softs , pas d'infection en vue. Je reste donc sur 3 entrées dans MBAM droppées par le malware au nez et à la barbe de cfw/avast. Sans conséquence appremment sur l'intégrité de l'ordi.... Toujours ce problème de déchets laissés par Comodo...


Vous êtes bien sûr libres de commenter , d'appuyer ou d'infirmer mes conclusions......

tu peux faire un virustotal de divx.exe et 54556.exe celui qui fait un hook là. tu pourras constater que ces des frais 0/42

Et si je fais "continuer" je tombe sur une erreur 404 ... !

Panda te surveille !!

Ce message a été modifié par visualbasic - 21 novembre 2010 - 21:51 .

[loumax]

Oui pour les déchets laissés derrière Comodo ce n'est pas nouveau, et je me rappelle que vous en avez longuement débattu vigen et toi ici-même.
Mais comme je te le disais il n'est pas le seul et, l'essentiel (c'est le principal ) est que le pc soit protégé et que les malwares soient stoppés et supprimés !
Le reste c'est secondaire, c'est sûr que s'il ne laissait rien derrière lui ce serait mieux ...

[EboO]

Vu la redoutable efficacité de clearcloud il serait intéressant de faire un comparatif clear cloud vs webshield. Et en plus av comparative a déjà dégrosssi le sujet en faisant un comparatif des webshields, il n'y a plus qu'à sélectionner les meilleurs !

[loumax]

Vu la redoutable efficacité de clearcloud il serait intéressant de faire un comparatif clear cloud vs webshield. Et en plus av comparative a déjà dégrosssi le sujet en faisant un comparatif des webshields, il n'y a plus qu'à sélectionner les meilleurs !

Un test asse compliqué à mettre en place pour un particulier !
De plus, les suites sécuritaires possédants un webshield (bouclier ou filtre web) n'ont pas une protection basée uniquement la-dessus (contrairement à un filtre dns), ce n'est qu'une couche supplémentaire de protection, l'approche est un peu différente.
Donc comparer par exemple ClearCloud ou Opendns à une suite sécuritaire donnerait certainement l'avantage à ces derniers, en ce qui concerne le taux de blocage web, mais pour le % de ce qui n'est pas bloqué ?
Alors pour un test digne de ce nom, il faudrait associer ces deux-là à un antivirus, un pare-feu et pourquoi pas une proactivité (pour équilibrer les choses).
Comme tu vois, cela ne serait pas simple à faire !