Malekal's forum

Forum entraide informatique

Vers le contenu

Avira AntiRootkit (intégré à Antivir)

Poster ici les programmes utiles que vous avez découverts
Répondre

Avira AntiRootkit (intégré à Antivir)

Messagede Malekal_morte » 22 Avr 2007 12:46

Avira l'éditeur de l'antivirus Antivir vient de lancer son scanneur rootkit.
Ce dernier est intégré à Antivir dans sa dernière version ce qui est assez interressant puisque Antivir est un antivirus gratuit.

Dans la partie Scan de l'antivirus, vous trouverez un nouvel onglet "Rootkit Search" qui permet de lancer la recherche de rootkit.

Image

Il est aussi possible dans la configuration de l'antivirus, en expert mode, d'activier la recherche de rootkit systématiquement dans le scan de virus ce qui est recommandé.
L'antivirus fera en premier en scan rootkit suivi d'un scan antivirus.

Image

J'ai essayé le scanneur sur deux rootkits assez répandu à savoir:
- Pe386/Rustock qui est un rootkit kernel-mode assez corriace.
- Une variante de Zlob / Trojan.DNS (fichier kdxxxx.exe) qui est un rootkit assez répandu effectuant des redirections lors des recherches sur Google

Lors du Scan Antivir détecte bien le driver caché de Rustock
Image

Le rapport de scan, montre bien :
- le service pe386
- le driver caché
- le fichier caché de Zlob kdxxxx.exe
On déplace tout en quarantaine pour nettoyer.
Image

Un deuxième scan histoire de confirmer la désinfection.
Malheureusement, Antivir détecte à nouveau les rootkits.
En les déplaçant en quarantaine.. cela ne les supprimer pas.
Image

Il semblerait donc que le scanner détecte bien les rootkits mais ne parvient pas à les mettre en quarantaine.
A noter que McAfee Avert Labs Rootkit Detective détectait aussi pe386 sans parvenir à le supprimer.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 44610
Inscription: 10 Sep 2005 13:57
Haut

Re: Avira AntiRootkit (intégré à Antivir)

Messagede Contact75 » 02 Avr 2008 21:11

A noter, pour ceux qui ne souhaitent que tester l'anti-Rootkit (postérieur à l'article de Malekal) que le programme seul, est téléchargeable sur le site d'AVIRA

http://dl.antivir.de/down/windows/antivir_rootkit.zip

Les fichiers sont du 10 Mai 2007, aucune mise à jour possible. Juste pour information.

Petite curiosité, au lancement on a droit à ce petit avertissement :

http://cjoint.com/data/ecu15kMW1n.htm

qui indique que seuls les Rootkits actifs sont détectés et pas ceux, inactifs cachés au sein des fichiers
Pour ces derniers il vaut mieux utiliser AVIRA "on demand scanner".

Que d'autres, ne seront pas détectés non plus car étant des programmes commerciaux (Sony ? :-)

Cela laisse dubitatif... Par extension on peut imaginer tout ce que l'on veut.

Du reste j'ai eu droit à un faux positif :

http://cjoint.com/data/ecvdLcA8vu.htm

Il ne s'agit sur ce poste que du proxy crée par BitDefender lié à la boite mail (scan et antiSpam)
Evidemment ce genre de "boite à sable" peut etre considéré comme un rootkit ou un "objet caché" (ce qui est le cas)
Néanmoins ce genre d'application existe depuis déja quelques années.
Only Amiga... was possible :-)
Avatar de l’utilisateur
Contact75
Geek à longue barbe
Geek à longue barbe
 
Messages: 968
Inscription: 03 Sep 2007 18:22
Localisation: Partout et nulle part :-)
Haut
Répondre

Retourner vers Programmes utiles

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Partenaires du site : Geekeden - OxygenePC.com - Les partenaires du site
Hadopi vous surveille McAfee you Suck Securiser votre ordinateur contre les menaces