Avast! VS Antivir (2007) - obsolète

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.

Avast! VS Antivir (2007) - obsolète

Messagepar Malekal_morte » 29 Mai 2007 23:51

Ce comparatif est obsolète (2008) - se reporter au dernier comparatif : comparatif-antivirus-2010-t23535.html
Néanmoins vous pouvez lire celui-ci si vous voulez avoir un aperçu de l'évolution des antivirus.








DISCLAIMER :
Je tiens aussi à préciser que je n'ai rien à gagner à promouvoir tel ou tel antivirus, le but avant tout de cette page est de casser certaines idées reçues concernant la sécurité de son PC (comme la page Adwares/Spywares : Comment NE PAS désinfecter son PC ?)
Pour vous faire d'autres idées, vous pouvez lire d'autres comparatifs, aller voir sur les forums de désinfections quels sont les antivirus les plus répandus etc.


DISCLAIMER 2 - Un petit mot concernant cette page et la sécurité informatique : Cette page est un comparatif entre antivirus, certes certains sont "meilleurs" que d'autres "moins bons". Cependant, ce n'est pas parce que certains sont meilleurs qu'il faut les installer et se dire "hop je serai mieux sécurisé, plus de prb de virus" - Les infections ne viennent pas tout seul et si vous êtes infectés c'est que vous n'avez pas de bonne habitude de surf et que vous ne faites pas non plus tout ce qu'il faut pour sécuriser votre PC (la sécurité, ce n'est pas qu'installer un antivirus, antispyware ou autre antitruc").
Bref tout ça pour dire que ce comparatif, ce n'est pas que pour alimenter les trolls en tout genre mais aussi pour vous sensibiliser un peu sur la sécurité informatique, je vous conseille d'ailleurs de commencer par les pages :


Introduction

Ce post fait suite à l'article un point sur les antivirus.. où l'on peut y voir qu'Antivir détecte beaucoup plus de dropper/malwares qu'Avast!

Je voudrais maintenant vous montrer ce que cela peut donner dans la réalité, c'est à dire d'un côté un ordinateur protégé par Avast! de l'autre un ordinateur protégé par Antivir surtout quand on fait n'importe quoi sur internet, à savoir :
-- télécharger des cracks ou visiter des sites de cracks
-- télécharger des cracks et autres fichiers non sûr sur les réseaux P2P
-- visiter des sites ponographiques.

Pour une meilleur compréhension, il est conseillé d'avoir lu l'article : Pourquoi je me fais infecter ?
puisque cet article va traiter des droppers et sites exploitants des failles de sécurités.

Cet article est un mini comparatif entre Avast! & Antivir, à savoir j'ai visité quatre sites exploitants des failles de sécurités et installent des infections sur l'ordinateur.
Ces trois mêmes sites ont été visités avec les deux antivirus afin de tester leurs réactions et pouvoir plus ou moins en déduire lequel est le plus performant en matière de protection.

Un petit mot, les urls testées sont des urls en majorité des URLS de type MPACK ( http://www.symantec.com/enterprise/secu ... dness.html ), vous avez de grande de chance de tomber sur ces urls/infections pour la simple est bonne raison que des milliers de sites WEB hackés pointent vers ces urls via des iframes piégés.
Ce ne sont donc pas des urls isolées !! Ce sont bien des infections courantes !
D'autre part, j'ai ajouté des tests au court du temps pour suivre les variantes sur un intervalle de temps, ça permet donc de tester aussi la réactivité des deux antivirus.

Voici la liste des processus de la machine saine :

Image

Test d'Antivir

On va commencer avec Antivir.

Test 1

Sur le premier site.. Antivir détecte bien les droppers droppers. On peut donc choisir "Delete" (supprimer) afin de supprimer les droppers.
L'infection est donc mort née.
Image

Image

Image

On obtient un message d'erreur disant que le fichier infectieux est introuvable, car l'antivirus l'a supprimé.
Antivir a bien fait son travail

Image

Image

Test 2

Sur le second.. Antivir aussi les htm/JS contenant les exploits.

Image

Image

Les droppers sont aussi bien détectés ce qui permet de les supprimer.

Image

On obtient alors un message disant que le fichier (le dropper) c:\t12eqweqw3.exe est introuvable.
Le message est en parti sur fond blanc.. à cause des freez d'internet explorer du à l'exploitation des failles.

Antivir a bien fait son travail

Image

Test 3

Antivir bloque à nouveau les fichiers htm/JS contenants les exploits.
Le dropper picsb[1].exe est quant à lui détecté et bloqué.

Antivir a bien fait son travail

Image

Test 4

Allez on visite un autre site piégé...
Antivir encore une fois bloque l'exploit.
Image

On voit ensuite un fichier t.inx qui n'est pas détecté par Antivir néanmoins Antivir bloque le fichier at[1].exe infecté par le trojan et qui installe un rootkit.
Antivir bloque donc l'infection.

Image


Test 5

Voici une nouvelle infection toute fraîche..

Antivir bloque les exploits.. sans problème.
Image

On voit ensuite dans la partie de droite, un Trojan.Spy.Banker plus connus sur le nom Haxdoor
Dans la partie de gauche, Antivir voit un fichier msntsrv.exe qui n'est pas connu mais la détection heuristique d'Antivir lance une alerte.

Image

Sur ce test, Antivir a du mal à bloquer ce fichier msntsrv.exe qui a réussi à se lancer.
Antivir a multiplié les alertes mais n'a pu bloquer l'intégralité de l'infection.

L'infection a pu ajouter un processus winlogon.exe qui se lance via la ligne HijackThis : O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\winlogon.exe

Cette effection étant relativement nouvelle.. certains fichiers sont assez mal détectés par Antivir.
Néanmoins il a bloqué le rootkit Haxdoor.
Je vous conseille de comparer les résultats avec ceux d'Avast! dans le même test plus bas.

Test 6

Image

Encore une fois Antivir détecte les exploits et les fichiers responsables de l'installation de l'infection.
Image

En choisissant supprimer.. l'infection est bien bloquée et un fichier d'erreur apparaît disant que le fichier n'a pu être ouvert, ce qui est normal.

Image


Antivir a bloqué l'intégralité de l'infection.

Test 7

Encore une fois.. Antivir bloque les exploits ainsi que les processus à l'origine de l'infection.
L'infection n'a pu s'installer sur le système.

Image

Test 8

Antivir détecte et bloque à nouveau les exploits et les fichiers à l'origine de l'infection.
L'infection n'a pu s'installer sur le système.

Image

Image


Conclusion pour Antivir

On peut voir que sur divers tests, Antivir fait dans l'ensemble bien son travail puisqu'il a détecté les fichiers htm/JS responsables de l'exploitation des failles du navigateur WEB.
Les fichiers droppers ont eu aussi été bien détectés ce qui permet de bloquer l'infection avant l'installation sur le système.
Aucune infection ne s'est donc installé sur l'ordinateur durant les tests.






Test d'Avast!

Test 1

Lors de la consultation du site, nous pouvons voir dans Process Explorer entourées en rouge.
Les droppers (les fichiers .com qui étaient bloqués dans le premier test d'Antivir) faire leurs travail.
On voit très bien le processus IEXPLORER.EXE créé un sous-processus T80JQqom.com qui lui même généré deux sous-processus avp.exe et cmd.exe

Si vous regardez plus bas, deux fichiers avp.exe, l'infection est déjà installé sur le système.
Avast! n'a toujours pas bronché ce qui est très mauvais signe.

Image

Avast! détecte un trojan dans une URL...
Image

....puis un fichier infectieux dans le dossier Windows.
Si vous regardez à gauche, on voit toujours les fichiers avp.exe dans ProcessExplorer mais aussi un nouveau fichier uzcx.exe
Le droppe initiale de l'infection est terminée car nous ne voyons plus de fichier .com

Image

Avast! continue à émettre des alertes.. malheureusement il est maintenant trop tard, l'infection est installée.. et Avast! ne parviendra pas à la supprimer car il ne détecte pas la totalité des fichiers composants cette infection.
D'autre part, nous avons maintenant une icône en triange jaune en bas à droite à côté de l'horloge qui emet de fausses alertes de sécurités afin de vous faire télécharger et acheter des rogues

Image

Avast! a très peu de chance de détecter le fichier infectieux à l'origine de cette icône.. car ce fichier utilise des techniques de rootkit... il est donc caché dans le système, Gmer nous le montre.

Image

Très clairement Avast! n'a pas du tout rempli son rôle puisque l'infection est maintenant installée sur le système.

Dans les nouveaux processus (comparez par rapport à la capture de Process Explorer donnée en début de page), nous pouvons voir :
- avp.exe
- smgr.exe
- uzcx.exe

Voici comment sont détectés le fichiers avp.exe & smgr.exe sont détectés sur VirusTotal

Nous pouvons voir qu'avp.exe est bien détecté par Avast! néanmoins il n'a jamais fait aucune alerte concernant ce fichier..
Image

smgr.exe lui n'est même pas détecté par Avast!

Image

Test 2

Dans ce deuxième essai, Avast! détecté bien le dropper.
Le bouton "Abandonner la connexin" permet de stopper la connexion vers ce site WEB dangereux.

L'infection ne s'est pas installée sur le système.

Avast! a bien fait son travail
Image

Test 3

Avast! détecte des fichiers infectieux ainsi que le site à l'origine de l'exploit.
Il est alors possible de bloquer certains de ces fichiers dangereux.

Néanmoins, si vous regardez dans les processus à gauche, nous pouvons voir un fichier mstsdsc.exe qui n'était pas présent à l'origine sur le système.

Image

Un scan du fichier sur VirusTotal montre que ce fichier est infectieux.
Nous pouvons voir qu'Avast! ne le détecte pas. Ce fichier un est Trojan-Downloader ce qui signifie qu'il est conçu pour télécharger d'autres fichiers infectieux depuis le WEB et les installer sur le système d'où l'importance d'avoir un pare-feu.

Avast! n'a rempli que partiellement son rôle puisqu'un fichier infectieux a pu s'installer sur le système

Image

Test 4

Avast! ne détecte aucun exploit sur la page ce qui est de mauvaise augure.

Image

Après un plantage d'internet explorer, on peut voir que le fichier t.inx lance le fichier alt.exe.exe (bloqué par Antivir dans le même test) qui démarre d'autreS fichiers.
Un rootkit est alors installé sur l'ordinateur qui est utilisé pour envoyer des mails de SPAM.

Image

Les scans :

Complete scanning result of "alt.exe.exe", received in VirusTotal at 06.16.2007, 13:35:59 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.16.0 06.15.2007 no virus found
AntiVir 7.4.0.32 06.16.2007 TR/Small.DBY.DB
Authentium 4.93.8 06.16.2007 no virus found
Avast 4.7.997.0 06.15.2007 no virus found
AVG 7.5.0.467 06.15.2007 no virus found
BitDefender 7.2 06.16.2007 Trojan.Peed.HVR
CAT-QuickHeal 9.00 06.15.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.16.2007 no virus found
DrWeb 4.33 06.16.2007 Trojan.Packed.138
eSafe 7.0.15.0 06.14.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3721 06.15.2007 no virus found
Ewido 4.0 06.16.2007 no virus found
FileAdvisor 1 06.16.2007 no virus found
Fortinet 2.85.0.0 06.16.2007 no virus found
F-Prot 4.3.2.48 06.15.2007 no virus found
F-Secure 6.70.13030.0 06.15.2007 Tibs.gen108
Ikarus T3.1.1.8 06.16.2007 no virus found
Kaspersky 4.0.2.24 06.16.2007 Email-Worm.Win32.Zhelatin.eu
McAfee 5054 06.15.2007 no virus found
Microsoft 1.2607 06.16.2007 no virus found
NOD32v2 2334 06.15.2007 no virus found
Norman 5.80.02 06.15.2007 Tibs.gen108
Panda 9.0.0.4 06.16.2007 no virus found
Prevx1 V2 06.16.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.16.2007 no virus found
Symantec 10 06.16.2007 no virus found
TheHacker 6.1.6.133 06.15.2007 no virus found
VBA32 3.12.0.2 06.15.2007 no virus found
VirusBuster 4.3.23:9 06.15.2007 no virus found
Webwasher-Gateway 6.0.1 06.16.2007 Worm.Win32.Malware.gen

Aditional Information
File size: 133973 bytes
MD5: 6c47d4ceabff9eb0c399c96bafa0e311
SHA1: 3ad21aba1c7180ca81b3952daebf416576626981



Complete scanning result of "t.inx", received in VirusTotal at 06.16.2007, 13:36:07 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.16.0 06.15.2007 no virus found
AntiVir 7.4.0.32 06.16.2007 no virus found
Authentium 4.93.8 06.16.2007 no virus found
Avast 4.7.997.0 06.15.2007 no virus found
AVG 7.5.0.467 06.15.2007 no virus found
BitDefender 7.2 06.16.2007 GenPack:Trojan.Peed.NG
CAT-QuickHeal 9.00 06.15.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.16.2007 no virus found
DrWeb 4.33 06.16.2007 Trojan.Packed.138
eSafe 7.0.15.0 06.14.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3721 06.15.2007 no virus found
Ewido 4.0 06.16.2007 no virus found
FileAdvisor 1 06.16.2007 no virus found
Fortinet 2.85.0.0 06.16.2007 no virus found
F-Prot 4.3.2.48 06.15.2007 no virus found
F-Secure 6.70.13030.0 06.15.2007 Tibs.gen111
Ikarus T3.1.1.8 06.16.2007 no virus found
Kaspersky 4.0.2.24 06.16.2007 Email-Worm.Win32.Zhelatin.eu
McAfee 5054 06.15.2007 no virus found
Microsoft 1.2607 06.16.2007 no virus found
NOD32v2 2334 06.15.2007 no virus found
Norman 5.80.02 06.15.2007 Tibs.gen111
Panda 9.0.0.4 06.16.2007 no virus found
Prevx1 V2 06.16.2007 no virus found
Sophos 4.18.0 06.12.2007 Mal/EncPk-E
Sunbelt 2.2.907.0 06.16.2007 VIPRE.Suspicious
Symantec 10 06.16.2007 no virus found
TheHacker 6.1.6.133 06.15.2007 no virus found
VBA32 3.12.0.2 06.15.2007 no virus found
VirusBuster 4.3.23:9 06.15.2007 no virus found
Webwasher-Gateway 6.0.1 06.16.2007 Worm.Win32.Malware.gen

Aditional Information
File size: 8021 bytes
MD5: e217e39280e6248a4f6317e11a65835d
SHA1: 1c455a2db4a76b2860692a9427cc0f9711a62775
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.




Test 5

Avast! détecte la tentative d'installation de l'infection LDPinch.
Image

Malheureusement un second processus arrive cette fois-ci à se lancer et Avast! ne réagit pas..
S'ensuit un écran bleu et un redémarrage de Windows.. ce qui fait penser à une activité rootkits.
Image

Au redémarrage, on peut voir que le processus Winlogon non bloqué par Antivir est actif lui aussi...
Mais on peut voir aussi, ce qui est très mauvais, que Trojan.Spy.Banker plus connus sur le nom Haxdoor est lui aussi actif (fichier atixdax.dll).

Haxdoor a des fonctionnalités de keylogger, c'est à dire qu'il enregistre les frappes claviers afin de voler les mots de passes, les numéros de carte bancaires, les accès aux sites de banques.. ce qui fait de lui une infection très de dangereuse.

Avast! n'a pas fait son travail.
Image

Voici le scan des fichiers Haxdoor qui sont pourtant bien connus des autres éditeurs d'Antivirus :

File: atixdbxx.sys
SHA-1 Digest: fcfe4999d3ff922f9fb6f2584b06aac9491a2fd7
Packers: Unknown
Status: Infected or Malware

Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 2.93921 secs
avast! 3.0.0 Clean 0.0059278 secs
AVG Anti Virus 7.5.47 Clean 3.00255 secs
BitDefender 7.1 Generic.Malware.SFYdlwdld.05647DF8 5.76013 secs
CAT QuickHeal 9.00 Clean 4.96686 secs
ClamAV 0.90/3507 Clean 0.0492349 secs
Dr. Web 4.33.0 Trojan.PWS.Finanz 8.88466 secs
F-PROT 4.6.7 Clean 0.826868 secs
F-Secure 1.02 Trojan-Spy.Win32.Banker.crq [AVP] 0.189037 secs
H+BEDV AntiVir 2.1.10-48 NULL 8.10886 secs
McAfee Virusscan 5.10.0 Clean 2.57944 secs
NOD32 2.51.1 probably a variant of Win32/Genetik trojan 2.77521 secs
Norman Virus Control 5.70.01 W32/Horst.gen28 7.40722 secs
Panda 9.00.00 Clean 1.70473 secs
Sophos Sweep 4.17.0 Mal/Behav-007 6.99033 secs
Trend Micro 8.310-1002 Clean 0.219203 secs
VBA32 3.12.0.2 Protected File 2.94212 secs
VirusBuster 1.3.3 Clean 2.73613 secs



File: atixdbxx.dll
SHA-1 Digest: 2b7ea28bd9f7a76783365dde0ec11ff11cb10b21
Packers: Unknown
Status: Infected or Malware

Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.82372 secs
avast! 3.0.0 Clean 0.014559 secs
AVG Anti Virus 7.5.47 PSW.Banker3.PZN 3.40553 secs
BitDefender 7.1 Clean 5.7453 secs
CAT QuickHeal 9.00 Clean 4.92977 secs
ClamAV 0.90/3507 Clean 0.0228889 secs
Dr. Web 4.33.0 Trojan.NtRootKit.281 9.1973 secs
F-PROT 4.6.7 Unknown 0.779819 secs
F-Secure 1.02 Trojan-Spy.Win32.Banker.crq [AVP] 0.235307 secs
H+BEDV AntiVir 2.1.10-48 NULL 6.58009 secs
McAfee Virusscan 5.10.0 Clean 3.35782 secs
NOD32 2.51.1 Clean 2.55973 secs
Norman Virus Control 5.70.01 Clean 7.66167 secs
Panda 9.00.00 Clean 2.10034 secs
Sophos Sweep 4.17.0 Troj/Haxdor-Gen 5.16013 secs
Trend Micro 8.310-1002 Clean 0.0230591 secs
VBA32 3.12.0.2 Clean 2.73814 secs
VirusBuster 1.3.3 Clean 2.44405 secs


Test 6

Encore une fois.. Avast! détecte une petite partie de l'infection...
On peut voir dans la partie de droite, les processus de l'infection se lancer..

Image

Quelques secondes après, les processus se sont encore multipliés.. l'ordinateur va redémarrer.. l'infection est maintenant installée.
Avast! n'a pas du tout fait son travail, il n'a pas du tout bloqué l'infection.

Image



Test 7

Avast! détecte une partie de l'infection, malheureusement si vous regardez dans les processus, nous voyons qu'IEXPLORER.EXE (internet explorer) a lancé un processus msntbspr.exe qui lui même a lancé msdrv1.exe
L'infection est en train de s'installer sur le système.

Avast! n'a pu bloquer l'intégralité de l'infection.

Image


Test 8

Avast! détecte des fichiers infectieux.. il est alors possible via le bouclier WEB de bloquer les connexions WEB.

Image

Malheureusement, si nous regardons dans les processus qu'IEXPLORER.EXE lance à nouveau des processus
Nous voyons un fichier avec une suite de chiffre débutant par 3.
Si vous regardez le test 8 d'Antivir vous verrez qu'Antivir avait bien bloqué un fichier avec une série de chiffres débutant par 3.

Ce n'est pas le cas d'Avast!, il est alors trop tard l'infection s'installe sur le système.

Image

Test intermédiaire : Backdoor.Win32.IRCBot.aaq.php

Fin Mai un nouveau ver a vu le jour sur MSN. Sur ce post de Zebulon : http://forum.zebulon.fr/index.php?showtopic=123168
Vous trouverez un scan quotidien du vers Backdoor.Win32.IRCBot.aaq afin de mesurer le temps de réactiver des divers antivirus.

Nous pouvons y lire que :

* Le 7 juin et les choses se corsent puisqu'une nouvelle variante vient de voir le jour.
La variante de fin Mai ajouté le fichier : syshosts.dll
La nouvelle variante ajoute le fichier : syshelps.dll
A la sortie de cette variante, On voit que les utilisateurs d'Avast! n'ont pas été protégés pendant les 7 jours de propagation du ver.

* Le 15 Juin Avast! détecte la variante de Mai, soit donc 15 juin après sa découverte. Cette variante de Mai n'est plus en circulation, elle a été surplantée par la variante de Juin, Avast! ne détecte toujours pas la variante de Juin.

* Le 20 Juin Avast! intègre enfin la seconde variante.


C'est à nouveau le cas avec la variante IRC-Worm.Win32.Agent.a du 22/07
Au bout de 8 jour, l'infection n'est tjrs pas intégrée, voir les scans sur : http://forum.telecharger.com/telecharge ... ges-1.html

* 29 et 30 juillet c'est reparti pour un tour.. avec deux nouvelle variante Backdoor.Win32.IRCBot.acd/Backdoor.Win32.IRCBot.acu, encore une fois Avast! est dans les derniers pour intégrer les variantes : http://forum.zebulon.fr/index.php?showt ... try1059779

Il aura fallu environ à chaque fois 15 jours à Avast! pour intégrer cette variante. 15 jours durant lesquels les utilisateurs Avast! pourtant nombreux n'ont pas été protégé, 15 jours durant lesquels nous avons du les prendre en charge sur les forums de sécurités pour les aider à se désinfecter.

Quinze jours, c'est vraiment ENORME en matière de sécurités.

D'autres infections MSN non détectées par Avast! :
http://www.malekal.com/Win32.Stration.w ... zov.lp.php
http://www.malekal.com/Backdoor.Win32.Agent.aox.php
http://www.malekal.com/Backdoor.Win32.IRCBot.acd.php
http://www.malekal.com/Backdoor.Win32.IRCBot.aaq.php
http://www.malekal.com/Trojan.Downloade ... ad.CCW.php
http://www.malekal.com/Trojan-Downloade ... ad.bej.php
viewtopic.php?f=57&t=5584
viewtopic.php?f=57&t=5569
etc.. etc..

Une autre série de scan avec envoi aux éditeurs d'antivirus :
http://forum.zebulon.fr/index.php?showtopic=131535
http://forum.zebulon.fr/index.php?showtopic=126400
Avast! ne répond même pas aux envoies et n'intègrent pas les nouvelles infections

Il faut savoir que les infections sont mises à jour par les auteurs de malwares tous les WE (en général le dimanche, lorsque la majorité des employés des éditeurs de sécurités sont en congés afin de gagner du temps).

Conclusion Infection MSN

Je reproduis la conclusion disponible à partir de ce lien : http://forum.zebulon.fr/index.php?showt ... =1074106&#
Compte tenu des rapports disponibles sur le sujet.

Pour rappel, ce ver MSN est un ver qui se propage via des zips proposant de visualiser des photos.
La personne ouvre le zip et executer le fichier à l'intérieur, l'infection s'installe.

L'infection est composé d'un fichier DLL et un fichier exe.
La DLL se charge au démarrage de Windows via une clef spécifique de la base de registre visualisable par la ligne O21 sur HijackThis. Ex :
O21 - SSODL: printers - {70810444-A130-4DA8-8653-79F20EC2C3A4} - libwinets.dll (file missing)

Voici les dates d'apparitions des DLL :
* syshosts.dll : 31 mai
* syshelps.dll : 7 juin
* sysprinters.dll : 1er juillet
* libcintle2.dll : 29 juillet
* libcintles3.dll : 30 juillet
* libwinets.dll : 1er août
* libhelps.dll : 06 août
* libmsns.dll : 08 août
* prodigys323.dll : 10 août - http://www.cisrt.org/enblog/read.php?138 - non présent dans le test
* libweb.dlll : 16 août.

Pour stopper l'infection, il faut donc que les antivirus détecte le fichier zip mais aussi les DLL et les fichiers .EXE afin que les personnes qui ont été infectées durant la période où le zip n'était pas détecté puissent se désinfecter.

Que constatons au niveau de la détection ?
- Avast! est toujours dans le ploton de queue pour intégrer l'infection voire le dernier.
- Avast! ne détecte que deux DLL sur les 9 testées.

Compte tenu du nombre important de personnes qui utilisent Avast! en France, surement l'antivirus le plus répandu avec Norton et McAfee.
On peut dire qu'Avast! permet à l'infection de se propager librement puisqu'il a parfois mis entre 6 et 15 jours pour intégrer le zip et qu'il ne détecte que 2 des 9 DLL ce qui laisse un nombre conséquent de machines infectées.
Au vu de la vitesse de propagation de l'infection que permet MSN... Cela donne une idée du potentielle du nombre de PC infectés.

Au 19/08 :
* Une recherche Google sur les mots "virus msn" retourne 12 millions de résultats : http://www.google.fr/search?hl=fr&clie...rcher&meta=
* Sur les mots "msn photos msn" 3,8 millions de résultats : http://www.google.fr/search?hl=fr&clie...rcher&meta=

Avast! ne semble pas détecter les dernières DLL.. ce qui signifie que les internautes qui possèdent Avast! et qui ont été infectés n'ont pu se désinfecter à partir de leur antivirus.
Voici quelques cas relévés au pif sur des forums de sécurités avec des personnes ayant Avast!, bien entendu je ne peux pas poster tous les liens de tous les forums de sécurités (vous avez vu le nombre de retour de Google).
Le but étant que vous puissiez avoir un aperçu de la réalité des désinfections.

Pour ma part, je rajouterai, mais c'est une remarque personnelle, ce n'est pas la première fois que je constate qu'Avast! ne détecte pas le contenu de l'infection mais seulement les fichiers qui entraîne l'infection.
Je ne peux pas le prouver car ce serait trop long... par contre, je vous invite tous à visiter plusieurs liens de désinfections sur les forums de sécurité.
Vous verrez que la majorité du temps, les personnes qui aident à la désinfection passent AVG Antispyware et/ou BitDefender.. et qu'en général... ils détectent beaucoup de choses (le contenu de l'infection qu'Avast! semble laisser de côté).

Autre remarque personnelle, Avast! ne se comporte pas comme cela que sur les infections MSN, je tiens à le préciser ; chose que j'ai tenté de démontrer sur la page de mon forum relayé par ce post : http://forum.zebulon.fr/index.php?showtopic=122975

Pour les néophytes qui crient haut et fort (et surtout qui répètent ce qu'ils entendent autour d'eux), qu'Avast! est le meilleur Antivirus gratuit.
Vous avez tout faux... il suffit de vous promener sur les forums de désinfections pour vous en rendre compte.
Modifié en dernier par Malekal_morte le 19 Aoû 2007 20:23, modifié 9 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Avast! VS Antivir

Messagepar Malekal_morte » 31 Mai 2007 22:02

Un petit scan pour vous montrer la différence.. de détection entre Avast! et Antivir.
Ce sont des fichiers issues d'infection que vous pouvez contracter maintenant et pas des infections d'il y a un mois ou un an qui ne sont plus en circulation... comme doivent le faire la majorité des comparatifs.


Scan au 31/05/2007

Les fichiers ont à tout péter un semaine.

Image




Scan au 17/07/2007

Image
Modifié en dernier par Malekal_morte le 17 Juil 2007 21:12, modifié 2 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Antivir/Avast! contre lop.com/Swizzor - Popups CiD

Messagepar Malekal_morte » 08 Juin 2007 23:05

Nous allons voir les réactions des deux antivirus sur une infection lop.com/swizzor
Cette infection affiche des popups CiD - 895 000 résultats, ce qui est pas mal !

Cette infection s'installe avec
- Des programmes de P2P piégés (BitDownloader, BitGrabber etc..), voir liste sur cette adresse : http://forum.malekal.com/ftopic2841.php - Désinfection voir : http://www.malekal.com/popup_CID_Bitdownload.php
- Le sponsors de MSN Messenger 3 plus : http://www.malekal.com/msnplus_adaware.php


Cette infection est donc un adware, en théorie aucun des deux antivirus n'est censé la détecter puisque les adwares sont censés être détectés par les antispyware ou antimalwares. On sort donc un peu du champs des antivirus.


Voici le rapport HijackThis :
Image

Avast!

BitDownloader s'installe sans problème.. Avast! ne bronche pas.
Image

Nous voyons une nouvelle ligne sur le rapport HijackThis, l'infection est alors installée..

Image

Avast! va alors afficher des alertes mais l'infection est alors installée.. ce qui est trop tard.
Les popups CiD peuvent alors apparaître.

Image

Antivir

Lors de l'installation de BitDownload, Antivir a détecté les tentatives d'installation des fichiers infectés.

Image

De même lors de l'installation du sponsors MSN plus! 3, Antivir a détecté la présence de Swizzor

Image

Dans les deux cas, le rapport HijackThis est resté inchangé, ce qui signifie qu'Antivir a bien protégé le système en empéchant l'installation de l'infection sur le système.


Mini Conclusion

Dans ce test, on ne peut pas blâmer Avast! de ne pas détecter lop.com puisque c'est un adware.
Par contre on notera qu'Antivir le détecte.. ce qui est un petit plus non négligeable.
Modifié en dernier par Malekal_morte le 05 Aoû 2007 19:40, modifié 2 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Avast!/Antivir et les rootkits

Messagepar Malekal_morte » 16 Juin 2007 14:08

Un petit mot sur les rootkits.
Ce mot est surement inconnu pour la majorité.

Les rootkits sont une catégorie de malwares qui sont capables en utilisant certaines techniques de se dissimulé dans le système.
Une fois installé, ils sont invisible pour le système d'exploitation (explorateur de fichiers, gestionnaire de tâches etc..) ainsi que les autres programmes (antivirus, firewall compris).

Votre Antivirus ou antispywares est incapables de les voir. Pour les détecter il faut utiliser des outils spéciaux, les scanners rootkits.
Vous trouverez une liste sur la page Les Anti-Rootkit / Scanner Rootkit
Une démonstration des dangers et fonctionnement des rootkits

Les rootkits depuis quelques mois font partie intégrantes des infections, on en retrouve au moins un voir plusieurs.
Un adware du nom de Magic.Control en installe aussi, c'est pour cela qu'une fois installé, les utilisateurs sont démunis et ne parvienne pas à supprimer l'infection car les antispyware classiques (spybot, adware etc..) ne parviennent pas à détecter le rootkit qui ouvre les popups de pub, voir : http://www.malekal.com/Adware.Magic_Control.php

Avast! ne possede pas de scanner rootkit en revanche la version gratuite d'Antivir en embarque un.

La capture ci-dessous vous montre clairement la différence entre un scan Avast! et un scan Antivir sur un système où un rootkit est présent.
En 1/ nous voyons le scan rootkit Gmer détectant les fichiers cachés poof/koos.exe faisant partie du rootkit Wopla

En 2/ Antivir détecte bien la présence de ces fichiers (voir rapport de scan sur le bloc-note en bas à droite) et le Trojan.Wopla entouré en rouge.
En 3/ Avast! ne détecte la présence d'aucun trojan, pour Avast! le système est propre alors que ce n'est pas le cas!!

On voit très clairement l'avantage de la présence d'un scanner rootkit sur un antivirus ainsi que les dangers des rootkits.
Pour un antivirus "classique" sans scanner rootkit, le système est propre alors qu'un rootkit est présent sur le système.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Antivir et les mails

Messagepar Malekal_morte » 28 Juil 2007 13:29

Un petit mot aussi sur Antivir et les mails.
Souvent on me pose la question "Antivir ne protège pas des mails".

La version gratuite d'Antivir n'embarque pas de scanner de mails, c'est à dire lorsque vous allez relever vos mails à partir de votre client mail (Thunderbird, Outlook Express etc..), Antivir ne va scanner les mails avant leurs arrivés dans vos dossiers.
Cependant, lors de l'ouverture de la pièce jointe, la protection en temps réel va scanner la pièce jointe et vous détecter ou non la présence d'un ver.

Antivir vous protège donc contre les pièces jointe infectées.

Je tiens aussi à faire trois remarques :
- Dans le cas où vous relevez vos mails sur des sites WEB (Gmail, Hotmail, Yahoo mail etc..), le scanner mail d'Avast! ne sert à rien. Seule la protection en temps réel rentre en compte lors du téléchargement de la pièce jointe du mail.
La protection Mail ne sert que pour les clients Mail (Outlook, Thunderbird etc..).
- La protection Mail utilise la base de définition virale de l'antivirus, cela signifie que si le ver est inconnu la protection mail ne réagira pas. Comme vous avez vu le voir Avast! est assez lent pour intégrer de nouvelle variante ( c'est même pour moi l'un des antivirus les plus lent). Avast! peut ne pas vous protégera pas pendant l'intervalle de temps (que semble s'élever de 6 à 15 jours) pendant lequel le ver est en circulation et pendant lequel Avast! n'a pas intégré le ver.
- Enfin même si les mails restent un gros vecteur d'infection, il est de plus en plus délaissé au profit :
- des sites WEB (de même le bouclier WEB d'Avast! repose sur la définition virale.. vous êtes donc encore soumis à la réactivité de l'antivirus).
- de MSN

Enfin et surtout : si les pièces jointes par mails étaient il y a encore 5 ans, le vecteur numéro 1 des infections.
Certes les mails restent un vecteur d'infection mais il y a bien d'autres maintenant..
Les auteurs de malwares tentent plutôt de vous faire cliquer vers des liens infectieux depuis des mails via du social engineering.
Pour plus d'informations, reportez-vous à la page Les vers de messagerie ne sont plus vecteur premier des infections
- du P2P (de même le bouclier P2P d'Avast! repose sur la définition virale.. vous êtes donc encore soumis à la réactivité de l'antivirus).

Donc le fait qu'Antivir n'embarque pas de scan mail dans sa version gratuite, ce n'est pas dramatique.
Modifié en dernier par Malekal_morte le 27 Sep 2007 22:53, modifié 2 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Conclusion

Messagepar Malekal_morte » 28 Juil 2007 13:34

Conclusion Générale

Dans l'article un point sur les antivirus nous constatons qu'Antivir détecte beaucoup plus de fichiers infectieux qu'Avast!
Nous pouvons voir que cela se ressent en pratique puisqu'Antivir a bloqué la totalité des tentatives de connexion ce qui est loin d'être le cas d'Avast!.

Le gros problème d'Avast! est sa lenteur à intégrer de nouvelles infections.
Vous n'êtes pas protégé pendant un intervalle de temps d'environ 6 à 15 jours, ce qui est de nous jours ENORME.
Tout simplement car :
- pour les infection Mpack (sites WEB infectés), il est très simple pour les concepteurs de malwares de mettre à jour une infection (c'est à dire l'intégralité des sites WEB hackés qui pointent vers l'infection).
- L'intervalle de temps d'une mise à jour d'une infection est de plus en plus rapide. Par exemple pour les vers MSN, cela peut être moins d'une dizaine de jours.
Pour les infections MPack, cela peut aller à plusieurs fois par semaine.
- Enfin plusieurs milliers de malwares sortent par jour, voir le post de Prevx : http://www.prevx.com/blog.asp?ID=53

La réactivité des éditeurs d'antivirus est donc TRES importante


Pour ma part, je vous conseille TRES VIVEMENT d'opter pour Antivir qui vous protègera beaucoup mieux sur le WEB qu'Avast!

Cependant, même si dans cet article Antivir a bloqué toutes les connexions, il ne peut bloquer toutes les infections du WEB. Une attitude responsable et de bonnes habitudes (voir la page sécuriser son ordinateur vaut mieux que n'importe quel antivirus.


Pourquoi Avast! est-il aussi répandu ?

Pour commencer : Je tiens à préciser que je n'ai rien à gagner à promouvoir tel ou tel antivirus
Cette constation est le fruit quotidien de désinfection sur les forums de sécurités où l'on peut voir que 90% des personnes infectées possèdent Avast!
Mon avis personnelle est qu'Avast! manque d'une réelle réactivité entre la sortié d'une infection et l'intégration dans sa base de données virale ce qui rend les internautes très vulnérables.

Par contre il a des avantages (interface en Français, ce n'est d'ailleurs pas le cas de la version gratuite d'Antivir, ce qui est bien dommage, mise à jour automatiques, assez simple d'utilisation).
Avast! est un très bon antivirus, mais c'est bien dommage que l'éditeur soit aussi long à incorporer de nouvelles menaces, ce qui le pénalise sur ce comparatif.

Sur ce tutorial on peut voir qu'Avast! protège moins bien qu'Antivir donc Pourquoi Avast! est-il aussi répandu ? Je vais tenter d'apporte un début de réponse à la question

Sur les comparatifs d'antivirus on voit qu'Avast! est bien placé :

Tester des antivirus avec un très grand nombre de malwares souvent vieux et les infections +1 mois, 1 an ? masquent les résultats des tests des infections (et surtout les droppers) que l'on trouve à l'instant présents sur les sites WEB pourris.

Je veux dire par là, il y a quand même de grande chance que la majorité des antivirus détectent des infections vieille d'un mois et surtout un an puisques les éditeurs sécurités ont eu le temps de récupérer le sample et l'intégrer ce qui n'est pas forcemment le cas des infections présentes sur les sites WEB à l'instant présent qui sont très souvent mises à jour par les auteurs de malwares afin de s'assurer une longueur d'avance sur les éditeurs de sécurités.

Ensuite la majorité des comparatifs ne s'arretent pas qu'à la détection des virus, ils testent aussi l'ergornomie, la facilité de prise en main etc..
Avast! a l'avantage d'être en français.. ce qui fait qu'il est très apprécié d'une grand nombre d'internautes.

J'ai Avast! depuis deux ans et j'ai jamais eu de prb :
Voila une des réactions qui fait qu'on "refourgue" Avast! a ses amis.
On en déduit qu'Avast! est un bon antivirus car aucune infection, c'est déjà assez réducteur. Si on ne met pas son ordinateur en péril, je veux dire par là :
-- télécharger des cracks ou visiter des sites de cracks
-- télécharger des cracks et autres fichiers non sûr sur les réseaux P2P
-- visiter des sites ponographiques.
Alors on ne risque absolument rien, c'est pourquoi on peut avoir n'importe quel antivirus... on aura aucune infection. Beaucoup d'internautes ne savent pas comment les infections s'installent sur leur ordinateur, s'ils n'ont pas été infecté ou si leur antivirus détecte un virus une fois l'an, ils en déduisent que leur antivirus est performent.

Il faut aussi noter que la version gratuite d'Antivir a trois points noirs :
- L'interface est en anglais (bon après ça demande pas non plus de grandes connaissances et surtout on s'y fait vite).
- Lors des mises à jour, il affiche une popup pour vous "vendre" la version payante, ce qui peut être pénible à la longue.
- Sur la version gratuite, les mises à jour peuvent ne pas fonctionner, lenteurs des serveurs de mises à jour etc...

Si vous souhaitez passer d'Avast! à Antivir ? (ce n'est bien sûr pas obligatoire).. suivez le guide Abandonner Avast! pour Antivir

Antivir a nettoyé votre ordinateur ?

Vous étiez infecté et vous aviez Avast!
Vous avez installé Antivir et il a nettoyé votre ordinateur ?

Apportez votre témoigagne sur ce lien en postant et faisant part de votre expérience de changement d'antivirus : ftopic4792.php
Modifié en dernier par Malekal_morte le 01 Sep 2007 15:29, modifié 1 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Réaction chez Avast! ?

Messagepar Malekal_morte » 23 Aoû 2007 08:17

Sur le forum d'Avast! quelqu'un a fait un lien vers le sujet : http://forum.avast.com/index.php?topic=30078.0

Une des réponses faites à quelqu'un qui parle de la réactivité lente d'Avast! :

That is something which they are working on to improve the reaction to submissions already reported in the forums. There is a process of new labs people hired but they take time to train and become effective. The plan to introduce a new submission system to make it easier to submit samples. Also being developed a means to automate analyse samples to help in the prioritising for action.


Avast! va ouvrir de nouveaux laboratois et améliorer le système de soumissions de virus afin d'être plus efficace !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Mise à jour 18/10/2007

Messagepar Malekal_morte » 18 Oct 2007 12:29

Source : http://forum.malekal.com/viewtopic.php?p=38757#p38757

bonjour a tous,

je suis nouvelle sur ce forum et ne sachant pas lequel choisir j ai envoye chez avast le resultat du test de Malekal en leur demandant si c etait correct ce qu il disait et si il avait trouver des solutions pour ca et voici ce qu ils m ont repondu:

Madame,l´article est correcte, au moins au moment ou il a ete ecrit. Son auteur a bien fait son travail. Cependant nous aussi on travaille chaque jour pour ammeliorer avast!, je suppose que aujourd´hui le resultat serait different. Mais je ne veux pas vous influencer, le choix est a vous. David Podracky - equipe de soutien avast!


N'empeche applause pour Avast! et leur transparence/honneteté.

Dernier scan d'une infection MSN : http://forum.zebulon.fr/index.php?showtopi...t=0&start=0

Un point courant Octobre

Le scan d'une infection MSN....
Au 18/10 - Trois variantes du virus Nokia 19 sont sorties courants Octobre :
Une recherche sur google "Nokia 19 msn" donne 5 Millions de résultats :
Résultats 1 - 10 sur un total d'environ 4 950 000 pour Nokia 19 msn (0,29 secondes)


En cliquant sur les liens, vous verrez que les utilisateurs les plus touchés ont Avast! ou McAfee (voir les lignes 023 des rapports HijackThis).


Topic posté sur telecharger.com

Retranscription d'un post de telecharger.com : http://forum.telecharger.com/telecharge ... ost5704936


Un site avec un comparatif : http://av-gt.2007.fr/
Dommage qu'il manque de transparence (pas la liste des virus testés etc..)... en tout cas, le test sur les "301 virus sorti dans les 4 derniers jours" semble confirmer ce que nous constatons tous les jours.. à savoir : Kapersky --> Antivir --> AVG --> Avast!

Ca rejoint quelques scans scans que j'ai mis en ligne des fichiers d'infection RECENTES que nous remontons à certains antivirus : sutra20813.php#20813 mais prendre quand même ce site avec des pincettes, puisqu'on ne sait pas ce qui a été testé.

Personnellement, je ne suis pas étonné par le score d'Avast!.

Quelques sujets MSN du forum à un instant T 5 octobre 21h29 :
http://forum.telecharger.01net.com/tele ... ges-1.html
http://forum.telecharger.01net.com/tele ... ges-1.html
http://forum.telecharger.01net.com/tele ... ges-1.html
http://forum.telecharger.01net.com/tele ... ges-1.html

que des infections MSN C:\WINDOWS\usnsvc.exe / C:\WINDOWS\N039_jpg.zip
(regardez bien les fichiers sont présents à chaque fois).

Voir ce lien : http://www.malekal.com/Backdoor.Win32.SdBot.bzn.php
Il contient le scan au 27/09.. ça fait donc 8 jours.. et Avast! ne le reconnait tjrs pas..

Voici une capture du scan :
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Re: Avast! VS Antivir

Messagepar Malekal_morte » 18 Nov 2007 18:38

Infection MSN de Novembre
Courant Novembre, c'est l'infection Backdoor.Win32.SdBot.cha (http://www.Dance_dec_jpg_Msn.com) qui fait parler d'elle.
Découverte vers le 8 nombre, voici le scan au 17/11, ce qui fait que les demandes désinfections pour cette infections perdurent sur les forums de désinfection.

File ccSvcHst.exe received on 11.17.2007 19:19:26 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 24/32 (75%)

Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 Worm/IrcBot.559616
Authentium 4.93.8 2007.11.17 W32/Sdbot.AEEK
Avast 4.7.1074.0 2007.11.17 -
AVG 7.5.0.503 2007.11.17 IRC/BackDoor.SdBot3.UYA
BitDefender 7.2 2007.11.17 Backdoor.Sdbot.BNI
CAT-QuickHeal 9.00 2007.11.17 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.11.17 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.11.17 BackDoor.IRC.Sdbot.2091
eSafe 7.0.15.0 2007.11.14 Win32.SdBot.cha
eTrust-Vet 31.2.5302 2007.11.17 Win32/Petribot.ASG
Ewido 4.0 2007.11.17 Backdoor.SdBot.cha
FileAdvisor 1 2007.11.17 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 W32/Sdbot.AEEK
F-Secure 6.70.13030.0 2007.11.17 Backdoor.Win32.SdBot.cha
Ikarus T3.1.1.12 2007.11.17 Generic.Sdbot
Kaspersky 7.0.0.125 2007.11.17 Backdoor.Win32.SdBot.cha
McAfee 5165 2007.11.16 W32/Sdbot.worm.gen.ca
Microsoft 1.3007 2007.11.17 Backdoor:Win32/Sdbot
NOD32v2 2665 2007.11.17 IRC/SdBot
Norman 5.80.02 2007.11.16 SDBot.gen9
Panda 9.0.0.4 2007.11.17 W32/Sdbot.LJF.worm
Prevx1 V2 2007.11.17 LoveBoom:Worm-a
Rising 20.18.51.00 2007.11.17 -
Sophos 4.23.0 2007.11.17 -
Sunbelt 2.2.907.0 2007.11.17 Backdoor.Sdbot.BNI
Symantec 10 2007.11.17 W32.Spybot.Worm
TheHacker 6.2.9.133 2007.11.17 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.17 Worm.SdBot.TMB
Webwasher-Gateway 6.0.1 2007.11.16 Worm.IrcBot.559616
Additional information
File size: 559616 bytes
MD5: a415126440290c53c7cef48c57854a33
SHA1: 4a2ba20a2d6e72eaa5a52d73b54e90ff13239751


Backdoor.Win32.SdBot.cjn_party_jpg.zip/www.party_jpg_Msn.com

Le scan quatre jours après l'apparition de l'infection (27 novembre)

File msimn.exe received on 12.01.2007 14:02:23 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 18/32 (56.25%)

Antivirus Version Last Update Result
AhnLab-V3 2007.12.1.0 2007.11.30 -
AntiVir 7.6.0.34 2007.11.30 Worm/SdBot.559104.1
Authentium 4.93.8 2007.12.01 -
Avast 4.7.1074.0 2007.11.30 -
AVG 7.5.0.503 2007.12.01 IRC/BackDoor.SdBot3.WBP
BitDefender 7.2 2007.12.01 Trojan.Downloader.JJFD
CAT-QuickHeal 9.00 2007.12.01 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.12.01 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.12.01 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5340 2007.11.30 -
Ewido 4.0 2007.12.01 -
FileAdvisor 1 2007.12.01 -
Fortinet 3.14.0.0 2007.12.01 W32/SDBot.DC!tr.bdr
F-Prot 4.4.2.54 2007.11.30 -
F-Secure 6.70.13030.0 2007.11.30 Backdoor.Win32.SdBot.cjn
Ikarus T3.1.1.12 2007.12.01 Generic.Sdbot
Kaspersky 7.0.0.125 2007.12.01 Backdoor.Win32.SdBot.cjn
McAfee 5175 2007.11.30 W32/Sdbot.worm.gen.n
Microsoft 1.3007 2007.12.01 Backdoor:Win32/Sdbot
NOD32v2 2696 2007.11.30 IRC/SdBot
Norman 5.80.02 2007.11.30 SDBot.gen9
Panda 9.0.0.4 2007.12.01 W32/MSNFunny.D.worm
Prevx1 V2 2007.12.01 IRC/BackDoor.SdBot3.WBP
Rising 20.20.51.00 2007.12.01 -
Sophos 4.23.0 2007.12.01 -
Sunbelt 2.2.907.0 2007.12.01 Trojan-Downloader.JJFD
Symantec 10 2007.12.01 -
TheHacker 6.2.9.146 2007.11.30 -
VBA32 3.12.2.5 2007.12.01 Backdoor.Win32.SdBot.cjn
VirusBuster 4.3.26:9 2007.11.30 -
Webwasher-Gateway 6.6.2 2007.12.01 Worm.SdBot.559104.1
Additional information
File size: 559104 bytes
MD5: 8c6fd714266d8ddf7118672ddf0401fe
SHA1: af67f31b70dba1a099b663d690d4da77a365739f
packers: Themida
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Re: Avast! VS Antivir

Messagepar Malekal_morte » 19 Jan 2008 00:02

Infection MSN Janvier 2008

Toujours le même scénario après une semaine d'infection MSN qui a fait des ravages : "tu es nue?" / "c'est pas toi?"
Les McAfee, Symantec & Avast! sont encore en queue de pleuton pour intégérer l'infection.

Voir : viewtopic.php?p=55934#p55934
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Re: Avast! VS Antivir

Messagepar Malekal_morte » 04 Mar 2008 18:34

Virus MSN fin février / Fin Mars
Message de propagation :
"ta tof fais koi sur ce site :p"
"c'est pas toi"

Voir les informations de l'application et surtout les scans

Deux variantes en l'espace de cinq jours pour cette infection..
Deux scans à 6h d'intervalles le même jours (le 04/03/2008, attention ci-dessous le format de la date est en anglais mm/jj/aaaa) montre la différence de rapidité pour intégrer de nouvelles variantes pour certains antivirus :

Le scan au 04/03 à 11h:

File _arnaudbocquillon-photo5.com received on 03.04.2008 11:13:21 (CET)
Current status: finished
Result: 9/32 (28.12%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.04 -
AntiVir 7.6.0.73 2008.03.04 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.04 -
AVG 7.5.0.516 2008.03.03 -
BitDefender 7.2 2008.03.04 -
CAT-QuickHeal 9.50 2008.03.03 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.04 -
DrWeb 4.44.0.09170 2008.03.04 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5585 2008.03.04 -
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.04 -
Fortinet 3.14.0.0 2008.03.04 -
F-Prot 4.4.2.54 2008.03.03 -
F-Secure 6.70.13260.0 2008.03.04 -
Ikarus T3.1.1.20 2008.03.04 -
Kaspersky 7.0.0.125 2008.03.04 Heur.Trojan.Generic
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.03 -
NOD32v2 2920 2008.03.04 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.03.03 -
Panda 9.0.0.4 2008.03.03 Suspicious file
Prevx1 V2 2008.03.04 -
Rising 20.34.11.00 2008.03.04 -
Sophos 4.27.0 2008.03.04 Sus/UnkPacker
Sunbelt 3.0.906.0 2008.02.28 VIPRE.Suspicious
Symantec 10 2008.03.04 -
TheHacker 6.2.92.232 2008.03.04 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.03 -
Webwasher-Gateway 6.6.2 2008.03.04 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd


File kikujiro-photo5.com received on 03.04.2008 17:10:49 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 13/32 (40.63%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.04 -
AntiVir 7.6.0.73 2008.03.04 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.04 -
AVG 7.5.0.516 2008.03.04 -
BitDefender 7.2 2008.03.04 Win32.Worm.IRC.PIH
CAT-QuickHeal 9.50 2008.03.04 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.04 -
DrWeb 4.44.0.09170 2008.03.04 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5585 2008.03.04 -
Ewido 4.0 2008.03.04 -
FileAdvisor 1 2008.03.04 -
Fortinet 3.14.0.0 2008.03.04 -
F-Prot 4.4.2.54 2008.03.03 -
F-Secure 6.70.13260.0 2008.03.04 Trojan-Dropper.Win32.Agent.fbh
Ikarus T3.1.1.20 2008.03.04 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.03.04 Trojan-Dropper.Win32.Agent.fbh
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.04 -
NOD32v2 2921 2008.03.04 Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.03.04 -
Panda 9.0.0.4 2008.03.03 Suspicious file
Prevx1 V2 2008.03.04 Heuristic: Suspicious File With Anti-Security Technology
Rising 20.34.12.00 2008.03.04 -
Sophos 4.27.0 2008.03.04 Sus/UnkPacker
Sunbelt 3.0.906.0 2008.02.28 VIPRE.Suspicious
Symantec 10 2008.03.04 -
TheHacker 6.2.92.232 2008.03.04 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.04 -
Webwasher-Gateway 6.6.2 2008.03.04 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd
PEiD: -


Conclusion :
Le scan 6h après (17h), la plus part des antivirus l'ont intégré, on passe de 28% de détection à 40%.
Les antivirus les plus courants Avast!, Norton et McAfee ne les détectent pas.
Or ce sont les antivirus les plus utilisés, la sortie régulière de nouvelle variante permet l'infection d'énormément d'ordinateurs puisque certains antivirus mettent de temps à intégrer de nouvelles variantes et sont toujours en retard.

Un petite tour sur le forum de désinfection à ces dates là montrent que ce sont bien des personnes qui ont les antivirus Avast!, McAfee et Norton qui sont infectés : viewforum.php?f=3&st=0&sk=t&sd=d&start=50
Même constat sur les autres forums de désinfection.
Même constat sur les autres scans des infections MSN de ce site : viewforum.php?f=57

Même constat depuis un an, c'est un perpétuel cycle

En pleine infection.... 2 000 000 de réponses sur Google, ce qui montre l'étendu des dégâts.
Voila ce qu'on obtient quand les trois antivirus les plus répandus ne sont pas les plus réactifs sur une infection touchant des utilisateurs non avertis sur les menaces.
Et pourtant, ce n'est pas la première vague de virus MSN, puisque la première grosse infection est de Juin 2007.


Image

Une capture d'un forum de désinfection... où l'on voit casi que des sujets de virus MSN
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Avast4

Messagepar Malekal_morte » 30 Mar 2008 13:57

Note concernant la sortie d'Avast 4.
Il y a très peu de chance que cela change quelque chose au résultat de ce test.
Voir discussion : viewtopic.php?f=36&t=9800
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57

Avast! VS Antivir VS AVG 8

Messagepar Malekal_morte » 01 Juin 2008 15:27

Un an après la page Avast! VS Antivir (que je vous conseille de lire pour mieux apprécier celle-ci), un nouveau point sur ces deux antivirus.

Cette fois-ci, le test sera étendu en ajoutant l'antivirus AVG 8 [Ca permettre par la même occasion de faire taire ceux qui disent que le test précédent était plus ou moins truqué pour refourguer Antivir].

--> Avast! VS Antivir VS AVG 8
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares
Chaîne Youtube - Malekal.com

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 80126
Enregistré le: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Retourner vers Papiers / Articles

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité

Tutoriel Windows Defender
Partenaires du site : supprimer-virus.com - stopvirus.fr - www.malekal.com - stoppublicites.fr - Geekeden