72 replies to this topic

[spywar]

Salut à tous,

 

Les tests CIS 2013 vs malwares inconnus arrivent très bientôt (j'espère 1/semaine) la première arrive ce soir.

Même protocole que pour avast!

J'insiste pour vous dire de ne pas faire de choix à partir de ces tests ils n'ont rien à voir avec les "situation réelles"

On teste juste l’efficacité de l'AV contre des menaces inconnus donc aucuns jugements sur les AV en général on ne tombe pas sur 100 malwares en une journée (1/an voir jamais donc encore une fois, ne faites pas de choix basés sur de tels tests).

 

 

[titanic]

Bonsoir,

 

Comodo on la assez vu en test avec un sujet de pas mal d'enbruuilles pourquoi ne pas changer d'antivirus ? 

[Mandrake]

Re Spywar

interessé de voir comment Comodo (suite que j'utilise) va réagir. Par contre si tu n'augmentes pas le niveau de la sandbox, (en "partiellement limité " par défaut) le test s'arrètera très vite...

Ce message a été modifié par Mandrake - 06 avril 2013 - 18:02 .

[manzai]

Bonsoir,

 

Comodo on la assez vu en test avec un sujet de pas mal d'enbruuilles pourquoi ne pas changer d'antivirus ? 

 

+1 .

 

Comodo est un antivirus qui peut se faire bypasser très rapidement, j'ai déjà eu ce scénario en solo (surtout sur les Zacces ou Ransomwares) .

 

++

[SkyZone]

Très bonne idée de test et ça changerais un peu d'antivirus au lieu de testé du avast quotidiennement. Comme dit vigen sur un autre sujet, il serait préférable de configurer le produit au maximum comme tu vas le mettre en situation pas forcément évidente.

 

@+

[spywar]

Très bonne idée de test et ça changerais un peu d'antivirus au lieu de testé du avast quotidiennement. Comme dit vigen sur un autre sujet, il serait préférable de configurer le produit au maximum comme tu vas le mettre en situation pas forcément évidente.

 

@+

Le premier test était par défaut ... L'avantage c'est que je vais le retest pleins de fois je verrais avec "Limité" ou "Virtualisation totale" en tout cas plus de "partiellement limité" comme je l'ai dit aucun utilisateur va rencontrer xx malwares non détectés à un même instant donc le par défaut est à évité.

Je le passerais 7/10 fois puis ensuite soit NIS 2013 soit BitDefender 2013.

[Valère]

J'ai hâte  

[Valère]

Re Spywar

interessé de voir comment Comodo (suite que j'utilise) va réagir. Par contre si tu n'augmentes pas le niveau de la sandbox, (en "partiellement limité " par défaut) le test s'arrètera très vite...

Bonsoir il faut mettre quoi pour que la sandbox de comodo soit meilleur ?

[spywar]

Re Spywar

interessé de voir comment Comodo (suite que j'utilise) va réagir. Par contre si tu n'augmentes pas le niveau de la sandbox, (en "partiellement limité " par défaut) le test s'arrètera très vite...

Bonsoir il faut mettre quoi pour que la sandbox de comodo soit meilleur ?

Ne pas laisser partiellement limité c'est tout, "limité" ou "restreint" seraient plus adaptés aux menaces mêmes si évidemment des mods n'ont pas mis longtemps à trouver des ransoms qui bypassent sinon virtualisation totale où pour l'instant rien ne bypass (je dis bien pour l'instant il faudrait plus de tests).

[Valère]

 

Re Spywar

interessé de voir comment Comodo (suite que j'utilise) va réagir. Par contre si tu n'augmentes pas le niveau de la sandbox, (en "partiellement limité " par défaut) le test s'arrètera très vite...

Bonsoir il faut mettre quoi pour que la sandbox de comodo soit meilleur ?

Ne pas laisser partiellement limité c'est tout, "limité" ou "restreint" seraient plus adaptés aux menaces mêmes si évidemment des mods n'ont pas mis longtemps à trouver des ransoms qui bypassent sinon virtualisation totale où pour l'instant rien ne bypass (je dis bien pour l'instant il faudrait plus de tests).

Merci mais comment on fait pour mettre virtualisation totale ?

[spywar]

 

 

Re Spywar

interessé de voir comment Comodo (suite que j'utilise) va réagir. Par contre si tu n'augmentes pas le niveau de la sandbox, (en "partiellement limité " par défaut) le test s'arrètera très vite...

Bonsoir il faut mettre quoi pour que la sandbox de comodo soit meilleur ?

Ne pas laisser partiellement limité c'est tout, "limité" ou "restreint" seraient plus adaptés aux menaces mêmes si évidemment des mods n'ont pas mis longtemps à trouver des ransoms qui bypassent sinon virtualisation totale où pour l'instant rien ne bypass (je dis bien pour l'instant il faudrait plus de tests).

Merci mais comment on fait pour mettre virtualisation totale ?

Il faut modifier une clé du registre :

 

"3 - How can I enable automatic virtualization? I dont see such an option. You need to create a special registry value in order to see it. This feature is intended for advanced users only. i. Open Windows registry editor, regedit.exe, and navigate to HKEY_LOCAL_MACHINE\SYSTEM\software\Comodo\Firewall Pro ii. Create a DWORD value and name it "EnableDefaultVirtualization" ii. Set this value to 1"

[Valère]

 

 

 

Re Spywar

interessé de voir comment Comodo (suite que j'utilise) va réagir. Par contre si tu n'augmentes pas le niveau de la sandbox, (en "partiellement limité " par défaut) le test s'arrètera très vite...

Bonsoir il faut mettre quoi pour que la sandbox de comodo soit meilleur ?

Ne pas laisser partiellement limité c'est tout, "limité" ou "restreint" seraient plus adaptés aux menaces mêmes si évidemment des mods n'ont pas mis longtemps à trouver des ransoms qui bypassent sinon virtualisation totale où pour l'instant rien ne bypass (je dis bien pour l'instant il faudrait plus de tests).

Merci mais comment on fait pour mettre virtualisation totale ?

Il faut modifier une clé du registre :

 

"3 - How can I enable automatic virtualization? I dont see such an option. You need to create a special registry value in order to see it. This feature is intended for advanced users only. i. Open Windows registry editor, regedit.exe, and navigate to HKEY_LOCAL_MACHINE\SYSTEM\software\Comodo\Firewall Pro ii. Create a DWORD value and name it "EnableDefaultVirtualization" ii. Set this value to 1"

Ok merci spywar  

[Mandrake]

Au lieu de modifié une clé de registre, je pensais plutôt à se rendre dans les paramètres avancés, "blocage comportemental" et passer le réglage sur "non fiable" qui normalement doit isoler complètement du système.

[spywar]

CIS depuis la V4 :

 

Lorsque l'on exécute un programme avec clic droit "Exécuter dans la SandBox Comodo" ce dernier sera totalement virtualisé.

Mais il n'y a jamais eu de virtualisation totale pour l'AutoSandbox qui n'est pas pareil que la SandBox manuelle.

Depuis la V6, l'utilisateur peut s'il le souhaite modifier la clé registre afin de passer en "Virtualisation totale" pour l'AutoSandbox.

[spywar]

Comodo Internet Security 6 vs 55 malwares inconnus (par défaut pour ce 1er test)

 

http://www.youtube.c...h?v=Ldb4ELLjf2g

[tma86]

Merci, je regarde celà tout de suite

[tma86]

bah il s'en sort pas trop trop mal quand même... et en mode autosandbox restricted, il aurait mieux protégé

 

Ce soft a du potentiel pour moi, il manque "JUSTE" un peu de travail au niveau dev et ergonomie du GUI (plus de sérieux quoi...) et c'est bien là le problème (ca n'engage que moi of course)

[Mandrake]

Merci Spywar pour ce test.

Quelques petites remarques.

Si j'ai bien compris ton dossier "Malware" a été totalement sandboxé ! C'est cela ?

Tu as voulu l'analysé avec l'antivirus de Comodo et comme tu as pu le voir ce dernier ne c'est pas lancé. Tu en a conclut que rien n'était détecté. Ce n'est pas cela, c'est un bug de Comodo qui n'arrive pas à scannner l'intérieur de la sandbox (j'en avait déjà parlé sur VSM). C'est pour cela, et sur le fait que leur sandbox n'est pas encore tout à fait au point que je privilégie le logiciel Sandboxie.

Par ailleurs, je ne pense pas qu'un utilisateur lambda ira modifier une clé de registre.

J'aurai tout de même modifier le blocage comportemental, car quand ce dernier se lancait, s'était en "partiellement limité".

[alexp79]

Merci du test spyware^^

[Valère]

Merci spywar pour le test Comodo s'en sort plutôt bien. 

[spywar]

Comodo Internet Security 6 vs 16 malwares inconnus (Autosandbox set to "Restricted").

 

http://www.youtube.c...h?v=bOlkrBTG8Ro

 

[titanic]

Salut, dommage le ransomawares est passé !!

 

A quand des tests de Bitdefender  2013?

[Valère]

Moi je trouve que comodo devrait empêcher les programmes inconnu de se mettre au démarrage. 

[brandodu31]

pour empecher :

 

il doit suffire d activer le hips , ce qui n est pas fait par defaut pour rassurer madame michu !

[bzh 29]

bonsoir;

merci pour le test on peut voir les limites de l'autosandbox.

[tma86]

Dommage que le ransom passe même en restricted... 

 

Il y a plein de bypass signalés sur leur forums, j'espère qu'ils fixeront cela car ce soft a du potentiel, faut juste qu'il le termine réellement (pas de MAJ et le GUI améliorable)

[Valère]

pour empecher :

 

il doit suffire d activer le hips , ce qui n est pas fait par defaut pour rassurer madame michu !

C'est con que le HIPS n'est pas activé par défaut car ça peut faire une protection supplémentaire. 

[Mandrake]

Merci Spywar pour ce test très intéressant.

Effectivement peut être que le HIPS aurai été un plus !

Par contre elle confirme ce que je craignais, à savoir que la sandbox de comodo est moins efficace que celle de sandboxie. Je connais quelqu'un qui a eu la même infection avec Sandboxie, et il lui a suffit de vider la sandbox.

 

peux tu transmettre cette vidéo sur le forum de Comodo ?

Avais tu testé Avast avec les mêmes échantillons ?

Ce message a été modifié par Mandrake - 13 avril 2013 - 21:21 .

[spywar]

Merci pour les commentaires positifs :

 

HIPS désactivé par défaut : C'est soit ça soit la perte de pas mal d'utilisateurs pour Comodo. La V6 est sensé être une version user friendly afin de pouvoir être utiliser par plus d'utilisateurs mais en contre partie, il faut noter que par défaut CIS 6 n'est plus ce qu'était CIS 5 (du moins pour l'instant et surtout j'ai bien dit par défaut). D'après des mods, la meilleur config pour l'AutoSandbox serait "Virtualisation Totale" à voir dans les prochains tests..

 

La vidéo a bien été posté dans le forum Comodo.

 

Les échantillions testés sont des variantes similaires à celles testés avec avast! précédemment, à noté qu'avast! a été testé sur ma machine réel et non la VM. Les Ransomwares Urausy (donc celui qui a mis fini Comodo lors de ce test) sont globalement bloqués par Evo Gen ou AutoSandbox.

[Mandrake]

ce qui voudrait dire que la sandbox d'Avast isole mieux que celle de Comodo !