Comparatif Antivirus gratuits 2010

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.

Comparatif Antivirus gratuits 2010

Messagepar Malekal_morte » 22 Fév 2010 21:15

EDIT - un comparatif plus global des antivirus 2012 est disponible sur les adresses :
http://comparatif-antivirus.malekal.com/index.php
http://www.malekal.com/2011/10/23/compa ... lekal-com/


Image

Voici une nouvelle édition du comparatif des antivirus gratuits.
Avant de foncer voir les chiffres je vous conseille de :
  • Lire attentivement les commentaires car les chiffres en soit ne veulent rien dire. J'essayerai aussi d'expliquer certaines différences de détection/efficacité de par le choix de la stratégie des éditeurs.
  • Le comparatif en lui même n'est pour moi, pas intéressant. Mais comme vous en raffolez, on va partir du principe que vous allez lire tout le contenu, ça reste donc un bon moyen de vous sensibiliser sur la sécurité de votre PC, quand vous aurez compris que la sécurité de votre PC c'est vous qui la faite au quotidien et non dans le choix de votre antivirus, vous aurez fait un grand pas. Les commentaires et explications peuvent vous aider à mieux comprendre le fonctionnement des infections et donc vous en protéger.
  • Enfin les explications peuvent aussi vous aider à mieux critiquer certains autres comparatifs. Je ne vais pas vous faire le blabla habituel sur les comparatifs de scan à la demande (Il existe d'ailleurs maintenant une page : Comparatif Antivirus : Scan à la demande, c'est débile!), néanmoins, certains trouvent le moyen de proposer des "comparatifs" avec des vidéos où ils balancent trois/quatre liens (hyper connus en plus) et tirent ensuite des conclusions sur l'efficacité ou non de certains antivirus. Vous verrez que c'est beaucoup plus compliqué que cela.

Lire aussi Antivirus VS Malwares afin d'avoir un minimum de connaissances sur les antivirus et les malwares.

Bref tout ça pour dire, que je vous conseille de lire car vous allez apprendre certainement des choses et c'est cela le but!
Cela risque parfois de rentrer un peu dans le technique, j'essayerai d'être le plus clair possible pour que tout le monde comprenne, si ce n'est pas le cas, n'hésitez pas à poster dans la partie Discussions Sécurité du forum pour poser des questions sur certaines notions.
Nous apporterons alors des explications et éventuellement éditerons le comparatif pour mieux expliquer.

Introduction Générale

Voici la liste des antivirus testés :


Désolé pour les fans de Comodo Antivirus mais je n'ai que deux mains et dix doigts et cela prend vraiment du temps à tout tester donc pas de Comodo.
Éventuellement, j'éditerai le comparatif dans le courant de l'année pour rajouter un test de l'antivirus afin d'avoir une idée où il se situe!.

Voici une liste des modules de protection offerts par ces antivirus - pour les mots savants se reporter à la page Index des protections :

Image

Voici les liens des tableaux comparatifs des fonctionnalités entre les versions gratuites et payantes des produits suivants :

Notez que le nombre de modules ne veut rien dire quant à l'efficacité du produit (marketting powa!), car on peut être moyen partout et avoir un antivirus qui donne une protection "moyenne" au final et avoir un antivirus avec un module de protection en temps réel efficace qui finalement protège convenablement.

Il faut aussi prendre en compte, pour la majorité des modules, la réactivité du laboratoire de l'éditeur. Dans le cas du WebGuard si l'éditeur n'ajoute pas la détection du javascript malicieux ou ne connait pas l'URL malicieuse, il ne vous sera d'aucune utilité.

Que les choses soient claires - Vous ne pouvez rien déduire de ce test quant à l'efficacité/différences entre les versions payantes de ces mêmes produits et notamment entre Antivir et Avast!, Antivir intégrant un WEB Guard dans sa version payante

Les conditions du test : Le test a été conduit avec mes petites mains sur une période d'un mois environ afin d'avoir une idée réelle de l'efficacité des antivirus (comme dit plus haut c'est pas avec 4 liens que l'on peut juger de quoi que ce soit).
Cela inclut aussi les WE (là où certains labos sont fermés et donc l'efficacité de protection est réduite).
Les antivirus sont configurés par défaut (aucune modification) afin d'être au plus proche de l'utilisation quotidien par la majorité des internautes.
Enfin les antivirus sont régulièrement mis à jour.

Retrouvez d'autres antivirus sur la page des Comparatifs Antivirus malekal.com
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57

Re: Comparatif Antivirus 2010

Messagepar Malekal_morte » 22 Fév 2010 21:16

Test Blocage URL Malicieuses

Voici le premier test qui consiste à tester l'efficacité de protection des antivirus contre les malwares qui se propagent par des URLS, ceci inclut :

90% des URLS testées sont des exploits sur des sites WEB et la majorité qui suit sont des Virus MSN et des Faux Codecs.
Avant de continuer nous allons faire un petit Zoom sur le fonctionnement des exploits sur des sites WEB afin que vous compreniez bien la problématique qui se pose quant à la protection contre ces menaces et les difficultés qui en découlent.
Je vous conseille donc, pour ceux qui ne savent pas de quoi on parle, de lire d'abord le lien des exploits puis ce qui suit.

Le principe des exploits sur des sites WEB est d'hacker un grand nombre de sites WEB légitimes afin de provoquer lors des visites, des connexions vers des sites WEB malicieux qui tirent parti de vulnérabilités présentes sur l'ordinateur (exploit) de l'internaute afin de télécharger et exécuter automatiquement un malware (payload/dropper).

Image

Le blocage par l'antivirus peut se faire donc à plusieurs niveaux :
  • soit dès la visite du site WEB légitime, l'antivirus va détecter la présence d'un javascript malicieux (ou iframe) va éventuellement bloquer la connexion (si Web Guard) et cela s'arrête là.
  • soit au niveau de l'exploit - l'antivirus détecte l'exploit, le téléchargement du dropper et surtout son exécution ne se fait pas et cela s'arrête là :
    • La détection peut se faire par le WEB Guard qui détecte l'exploit sur une page WEB et coupe la connexion au site WEB malicieux.
    • la protection en temps réel détecte la présence de l'exploit sur l'ordinateur, soit dans le cache internet, soit par exemple dans le cas d'un PDF/SWF malicieux simplement le PDF ou le SWF malicieux sur l'ordinateur.
  • soit tout à la fin de la chaîne, lors du téléchargement (ou exécution) du Dropper.

En pratique, cela donne :
Code: Tout sélectionner
1265218985.977   1030 192.168.1.120 TCP_MISS/200 3535 GET http://anandbazaar.com/ - DIRECT/74.52.35.98 text/html
    1265218986.767    169 192.168.1.120 TCP_MISS/302 297 GET http://77.221.153.178/go2/in.php? - DIRECT/77.221.153.178 text/html
    1265218990.800   3863 192.168.1.120 TCP_MISS/302 319 GET http://gythynfuwt.com/ld/tuta8/ - DIRECT/72.51.41.83 text/html
    1265218992.062   1263 192.168.1.120 TCP_MISS/200 7090 GET http://gythynfuwt.com/nte/tuta8%20.asp - DIRECT/72.51.41.83 text/html
    1265218994.292   1460 192.168.1.120 TCP_MISS/200 19487 GET http://gythynfuwt.com/nte/tuta8%20.asp/jH9e9cb060V0100f060006R816af5f6102Td5f5259d203L66720000000000000000Keeb7c3f1 - DIRECT/72.51.41.83 text/javascript
    1265218996.854   2562 192.168.1.120 TCP_MISS/200 38372 GET http://gythynfuwt.com/nte/tuta8%20.asp/oH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f1317 - DIRECT/72.51.41.83 application/pdf
    1265218997.827   2301 192.168.1.120 TCP_MISS/200 111354 GET http://gythynfuwt.com/nte/tuta8%20.asp/eH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f13020 - DIRECT/72.51.41.83 application/octet-stream


Le site hxxp://anandbazaar.com/ est légitime, en s'y connectant on se connecte à l'adresse hxtp://77.221.153.178/go2/in.php? qui renvoie vers hxtp://gythynfuwt.com/ld/tuta8/
hxtp://gythynfuwt.com/ld/tuta8/ renvoie vers hxtp://gythynfuwt.com/nte/tuta8%20.asp/ ... 0Keeb7c3f1 - DIRECT/72.51.41.83 text/javascript
On voit ensuite une connexion vers hxtp://gythynfuwt.com/nte/tuta8%20.asp/ ... eb7c3f1317 - DIRECT/72.51.41.83 application/pdf
puis le téléchargement d'un binaire hxtp://gythynfuwt.com/nte/tuta8%20.asp/ ... b7c3f13020 - DIRECT/72.51.41.83 application/octet-stream

Le javascript a téléchargé un PDF malicieux qui exploite une vulnérabilité sur Acrobat Reader pour permettre le téléchargement d'un binaire (Dropper) qui sera exécuté sur la machine. Si cela réussit, l'infection est installée sur le système.
C'est exactement ce qui est décrit sur cette page : d'un PDF/SWF malicieux.

Généralement les tests de scan à la demande comptabilisent le nombre de détections sur les droppers or le dropper peut ne pas être détecté par un antivirus mais vous pouvez tout de même être protégé si l'antivirus détecte le javascript malicieux ou l'exploit avant (ou qu'un autre module de protection coupe court à l'infection).
Or il existe des différences de stratégies chez les éditeurs, certains se focalisent sur les javascript malicieux et tardent à ajouter des détections sur les droppers.

Il faut comprendre que plus l'infection est bloquée tôt, et moins les chances d'infection sont fortes.
En effet, si l'antivirus bloque la connexion sur le site légitime qui a été hacké et que la connexion au site malicieux ne se fait pas vous êtes tranquille. Si le blocage se fait à l'étape d'après, il reste tout de même une chance que l'infection s'installe car l'antivirus peut détecter l'exploit mais ne pas pas parvenir à le stopper.
Pire si la détection se fait au niveau du dropper, ce dernier peut ne pas parvenir à bloquer le malware qui peut en télécharger d'autres (souvent on arrive à de multiples alertes).
Plus tôt c'est... mieux c'est!

Reste que la majorité des antivirus se focalisent tout de même sur le dropper final, voici un exemple de détection de PDF malicieux "standard" :

File readme_2_.pdf received on 2010.02.04 10:44:58 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/40 (17.5%)

Antivirus Version Last Update Result
BitDefender 7.2 2010.02.04 Exploit.PDF-JS.Gen
eTrust-Vet 35.2.7281 2010.02.04 PDF/Pidief!generic
F-Secure 9.0.15370.0 2010.02.04 Exploit.PDF-JS.Gen
GData 19 2010.02.04 Exploit.PDF-JS.Gen
McAfee-GW-Edition 6.8.5 2010.02.04 Heuristic.BehavesLike.PDF.Obfuscated.Z
Sophos 4.50.0 2010.02.04 Troj/PDFJs-GA
Sunbelt 3.2.1858.2 2010.02.04 Exploit.PDF-JS.Gen (v)
Additional information
File size: 3028 bytes
MD5...: 33bcae7922e21adba04f07f51e0ca17b
SHA1..: 13d7bc57be3b9e81a0dc2472b01731b597d527e3


File randomDeFor.pdf received on 2010.02.03 17:23:08 (UTC)
Current status: finished
Result: 6/39 (15.38%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
Avast 4.8.1351.0 2010.02.02 JS:Pdfka-gen
BitDefender 7.2 2010.02.03 Exploit.PDF-JS.Gen
eTrust-Vet 35.2.7278 2010.02.03 PDF/Pidief!generic
F-Secure 9.0.15370.0 2010.02.03 Exploit.PDF-JS.Gen
GData 19 2010.02.03 Exploit.PDF-JS.Gen
Sophos 4.50.0 2010.02.03 Troj/PDFJs-HC
Additional information
File size: 32802 bytes
MD5 : 2c8c4ccb3d930b7db3346f2d07b658b3
SHA1 : eb468ad2209408a181d42c73314bb8af44b9ea25


et d'un Exploit en JavaScript/HTML :
File hihih.html received on 2010.02.04 14:49:14 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/40 (20%)

Antivirus Version Last Update Result
AntiVir 7.9.1.158 2010.02.04 JS/Agent.8124
Avast 4.8.1351.0 2010.02.02 HTML:IFrame-LJ
AVG 9.0.0.730 2010.02.04 Script/Exploit
eTrust-Vet 35.2.7283 2010.02.04 JS/Iframe!exploit
GData 19 2010.02.04 HTML:IFrame-LJ
Kaspersky 7.0.0.125 2010.02.04 Trojan.JS.Iframe.ef
McAfee-GW-Edition 6.8.5 2010.02.04 Heuristic.BehavesLike.JS.Obfuscated.H
Sophos 4.50.0 2010.02.04 Mal/ObfJS-CF
Additional information
File size: 32005 bytes
MD5...: 75e92c756c54693672c9a73353f747b9
SHA1..: 1f9aed9b320a8369dc34048107f01c22063f9606


File test2..html received on 2010.02.04 14:51:34 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/39 (15.39%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.04 Trojan.JS.IFrame!IK
Avast 4.8.1351.0 2010.02.02 HTML:IFrame-LJ
eTrust-Vet 35.2.7283 2010.02.04 JS/Iframe!exploit
GData 19 2010.02.04 HTML:IFrame-LJ
Ikarus T3.1.1.80.0 2010.02.04 Trojan.JS.IFrame
Kaspersky 7.0.0.125 2010.02.04 Trojan.JS.Iframe.ef
Additional information
File size: 2852 bytes
MD5...: 211eb08df78d63890382cc4e93c29dc9
SHA1..: 24ec52da140e803c92b79e3df8ace3629e19712e


Comme vous pouvez le voir la détection reste vraiment moyenne.

Ensuite il faut comprendre que c'est la course.... :
Vous pouvez être protégés d'un site WEB malicieux à un instant T et l'instant d'après non, tout simplement parce que les auteurs de malwares peuvent mettre à jour les exploits et le dropper, on tombe alors à une détection de 0 ce qui peut permettre l'infection sur le système.
C'est ce qui est posté dans la partie Remontées d'infection : fichiers infectieux, liens infectieux etc
Tout cela est à multiplié par le nombre conséquent de sites malicieux en ligne à un instant T.

Méthodologie du test :
Quels sont les difficultés ?

Dans un premier temps, il faut aussi comprendre que la configuration de la machine peut influer sur les tests, en effet, tester avec une machine XP pas à jour avec IE 6, Acrobat Reader, Java et Flash pas à jour ne donnera pas les mêmes résultats qu'avec un XP SP3 et seulement Adobe Reader pas à jour. Pourquoi ?
Car pour les cas où on arrive aux exploits, avec la seconde machine on ne testera que le blocage des PDF alors que dans le premier cas un exploit mdac, PDF malicieux, Java ou SWF malicieux pourra être joué afin de télécharger/exécuter le dropper.

Exemple sur un même site - voici la détection d'un PDF malicieux :

File readme_3_.pdf received on 2010.02.06 12:25:36 (UTC)
Current status: finished
Result: 21/39 (53.85%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.06 Exploit.Win32.Pdfjsc!IK
AntiVir 7.9.1.158 2010.02.05 HTML/Malicious.PDF.Gen
Authentium 5.2.0.5 2010.02.05 PDF/CollabExpl.C!Camelot
Avast 4.8.1351.0 2010.02.06 JS:Pdfka-DC
AVG 9.0.0.730 2010.02.06 Exploit.PDF
BitDefender 7.2 2010.02.06 Exploit.PDF-JS.Gen
ClamAV 0.96.0.0-git 2010.02.06 Exploit.PDF-63
eSafe 7.0.17.0 2010.02.04 PDF.Exploit.1
eTrust-Vet 35.2.7286 2010.02.05 PDF/Pidief.FC
F-Secure 9.0.15370.0 2010.02.06 Exploit.PDF-JS.Gen
GData 19 2010.02.06 Exploit.PDF-JS.Gen
Ikarus T3.1.1.80.0 2010.02.06 Exploit.Win32.Pdfjsc
McAfee 5883 2010.02.05 Exploit-PDF.b.gen.a
McAfee+Artemis 5883 2010.02.05 Exploit-PDF.b.gen.a
McAfee-GW-Edition 6.8.5 2010.02.05 Script.Malicious.PDF.Gen
Microsoft 1.5406 2010.02.06 Exploit:Win32/Pdfjsc.Q
NOD32 4841 2010.02.06 PDF/Exploit.Gen
PCTools 7.0.3.5 2010.02.06 HeurEngine.MaliciousExploit
Rising 22.33.05.04 2010.02.06 Hack.Exploit.PDF.e
Sophos 4.50.0 2010.02.06 Troj/PDFJs-L
Sunbelt 3.2.1858.2 2010.02.06 Exploit.PDF-JS.Gen (v)
Additional information
File size: 9974 bytes
MD5 : accac5c27c38447e87b096abaf1ac552
SHA1 : e28ee81ea11779d41e20ab09a7ab60a64b2f15ff


et le l'Exploit SWF du même site :
MD5 : d1e5c87722e883d30ddf342dfc0e08e9
Date : 2010.02.06 12:31:45 (UTC)
Results : 15/40
Virus Names : SWF.Drop.Agent.E.10 Trojan.SWF.Dropper.E SWF/TrojanDownloader.Swif.NAL
Permalink : http://www.virustotal.com/analisis/ce2b ... 1265459505

The results for flash.swf.1 are :
Microsoft 1.5406 2010.02.06 TrojanDownloader:Win32/Swif.gen!A
McAfee-GW-Edition 6.8.5 2010.02.05 SWF.Drop.Agent.E.10
GData 19 2010.02.06 Trojan.SWF.Dropper.E
NOD32 4841 2010.02.06 SWF/TrojanDownloader.Swif.NAL
PCTools 7.0.3.5 2010.02.06 HeurEngine.MaliciousExploit
BitDefender 7.2 2010.02.06 Trojan.SWF.Dropper.E
Ikarus T3.1.1.80.0 2010.02.06 Exploit.SWF
a-squared 4.5.0.50 2010.02.06 Exploit.SWF!IK
Sophos 4.50.0 2010.02.06 Troj/SWFLdr-A
Comodo 3840 2010.02.06 UnclassifiedMalware
Authentium 5.2.0.5 2010.02.05 SWF/Obfusc.A!Camelot
F-Secure 9.0.15370.0 2010.02.06 Trojan.SWF.Dropper.E
TrendMicro 9.120.0.1004 2010.02.06 SWF_DLOADR.AOU
Avast 4.8.1351.0 2010.02.06 SWF:Downloader-F
AntiVir 7.9.1.158 2010.02.05 SWF/Drop.Agent.E.10


On voit qu'AVG détecte le PDF mais pas le SWF (il ne détecte pas non plus le dropper final) potentiellement, si AVG ne connait pas ce site malveillant (LinkScanner), et que des javascript malicieux intermédiaires ne sont pas détectés, il est possible si Flash Player n'est pas à jour que l'infection s'installe (AVG fera une alerte sur le PDF).
ET oui... ça fait beaucoup de "si".

La difficulté pour les antivirus est donc plus forte (c'est pour cela que je vous rabâche de maintenir ses programmes à jour - question de probabilité!).
J'ai donc essayé de faire attention à cela, le top aurait été de mettre des points par exploit bloqué, mais ça aurait été trop compliqué.

Vous comprendrez que les tests dans ce domaine sont compliqués puisqu'il faut tester l'infection au droit niveau où elle peut être bloquée, les infections étant constamment mises en ligne, il faut pouvoir prendre des urls fraîches et aussi des anciennes (pour rendre compte de la protection).
Le top serait de pouvoir tester toutes les urls malicieuses régulièrement sur 1 mois mais comme je n'ai que 10 doigts, ce n'est pas possible.

Au niveau des urls, j'ai donc pris des URL malicieuses et tenté de tester l'infection pour chaque antivirus sur les 3 niveaux (site WEB hacké au départ / Exploit / Dropper Final).
Au moment du test, il y avait beaucoup de KoobFace, Trojan.Sasis/Oficla et Rootkit MBR : PSW-Sinowal et comme d'habitude Trojan.FakeAlert et Zbot/Zeus.

Certains Antivirus se focalisent sur les exploits et les Javascripts, si j'avais pris que du KoobFace et MBR.Rootkit qui pourtant sont très présents, cela aurait gonflé les stats du même AV qui bloque le WebMalwareKit utilisé par ces infections.
J'ai donc essayé de mixer.
J'ai aussi essayé de ne pas me focaliser trop sur les nouvelles URL (qui ont généralement de mauvaises détections puisque quand c'est mis en ligne on atteint généralement les 0 de détection sur VirusTotal) mais mixer avec des URLS "anciennes" pour rendre compte du taux de protection à un instant T.

Enfin j'ai ajouté dans ce test Trend-Micro (Trend-Micro WEB Reputation) - Pourquoi ? car c'est certainement à l'heure actuelle l'un des antivirus (l'antivirus?) qui offre la meilleur protection.
Les chiffres sont juste le blocage des URL malicieuses connues par Trend-Micro, cela n'inclue pas la protection de l'antivirus (protection en temps réel etc), il faut donc certainement ajouter 5 à 10% de détection en plus.
Pour plus d'informations, lire le paragraphe enfin sur les antivirus payants.

J'espère que vous comprendrez deux choses à travers ces explications :
  • Le boulot des éditeurs de sécurité est complexe car n'oubliez pas qu'il faut rajouter à cela la masse de nouveaux malwares (et de mise à jour) quotidiennes qui se compte en milliers.
  • Quand vous voyez un scan VirusTotal d'un dropper et que votre antivirus ne le détecte pas, considérez le fait qu'il peut bloquer l'infection en amont. Dans tous les cas, il est bien difficile de déduire à partir d'un simple scan VirusTotal si un antivirus est mauvais ou pas.
  • Effectuer des tests pertinents est aussi très compliqué. Alors s'il vous plait, lecteur de forum et de magasines, à l'avenir, avant de prendre pour argent comptant tout test qu'on vous balance, regardez un peu avant la méthodologie de ce dernier car de "vrais" tests valides, il y en a très peu.

Image

Image


Conclusion du test

Comme on peux le voir Trend-Micro est devant, juste avec simplement son module de filtrage d'URL, Trend fait donc mieux qu'Avast! avec tous les modules de protection. Vous pouvez ajouter 10 à 20% dans les résultats de blocage en plus, avec la détection en temps réel de Trend.
Je ne m'étalerai pas dans cette partie sur Trend-Micro, je vous conseille vraiment de lire le paragraphe consacré à cela.

Ce qui se dégage du Test est qu'AVG et Panda Cloud sont en dessous des autres antivirus et n'offrent qu'une protection partielle.
Je vous conseille donc de privilégier les autres antivirus.

Le combat se situe donc entre Avast!, MSE et Antivir et là le choix est plus difficile.
Mon ressenti pour chaque antivirus :

Panda Cloud : L'antivirus n'intègre qu'une protection en temps réel qui se focalise sur le dropper.
Si le dropper est détecté, ça va, mais c'est malheureusement peu souvent le cas (bien que Panda soit assez réactif dans l'ensemble).
L'antivirus n'a jamais détecté de javascript malicieux/exploit et c'est bien dommage car cela empêche tout autre secours dans le cas où le dropper n'est pas détecté.
Le problème majeur se situe donc au niveau du programme qui ne comporte pas assez de modules de protection pour bloquer l'infection tôt et le laboratoire qui n'ajoute aucune détection de Javacript malicieux/Exploit.
(NOTE : vous trouverez une explication sur le Cloud dans le paragraphe consacré à Trend-Micro).

AVG Antivirus : L'antivirus (le programme) incorpore des modules de protection intéressants (WEBGuard et LinkScanner) malheureusement cela n'est pas mis à profit.
Trop peu d'exploits et de droppers sont détectés ce qui au final offre une protection moyenne.
C'est bien dommage.
Il ne semble pas y avoir de stratégie directrice sur la protection mais des ajouts de définitions (ou mise à jour de détections génériques) quotidiens.
A noter qu'AVG se comporte assez bien sur les des Virus MSN.

Microsoft Security Essentials : MSE détecte moyennement les exploits et javascript malicieux. Par contre, il est relativement bon au niveau des droppers.
La stratégie de Microsoft qui se dégage lorsqu'une nouvelle famille de malwares est ajoutée au MSRT est de suivre cette famille à travers des détections génériques et généralement ils le font bien.
Si vous allez voir les scans de la partie Virus MSN et Remontés de malwares, vous verrez que dans les scans VirusTotal, ils sont souvent présents :
virus-msn.html
remontees-liens-infections.html
Du coup lorsque la famille est connue, vous êtes vraiment bien protégés et c'est notamment le cas des virus MSN, Trojan.Alueron et FakeAlert des Faux Codecs.
Le revers de la médaille et que si la famille n'est pas connue généralement, vous n'êtes pas protégés mais il est à parier que le but est de gonfler le suivi des familles en ajoutant de nouvelles familles au fur et à mesure.

Antivir : Antivir est bon partout au niveau des détections (et c'est pas nouveau comme on peut le voir sur les comparatifs précédents).
Le score d'Antivir aurait pu être meilleur avec un WebGuard (présent que dans la version payante), en effet, très souvent le Guard (protection en temps réel) réagit sur les javascript malicieux mais la connexion au site WEB se poursuit et l'installation de l'infection est alors possible (si le dropper en aval n'est pas détecté).
On arrive aussi souvent à de multiples alertes du Guard ce qui peut être pénible pour l'utilisateur.
Vous pouvez rajouter 15% de blocage au test pour la version payante.
Reste qu'Antivir, dans ce test, ressort dans les meilleurs.

Avast! : La stratégie d'Avast! est claire, comme dit dans les comparatifs précédents, le but est de bloquer l'infection très tôt.
Avast! se focalise donc sur les javascripts malicieux et PDF malicieux (la détection sur les SWF semble moins bonne), le dropper est ajouté par la suite (1 à deux jours). Avast! est très bon pour la détection de JavaScript malicieux même sur de nouvelles URL malicieuses - ce qui donne ces détections :
Permalink : http://www.virustotal.com/analisis/43e1 ... 1265817199
The results for test.html are :
GData 19 2010.02.10 JS:Downloader-IJ
Avast 4.8.1351.0 2010.02.10 JS:Downloader-IJ

Pour les exploits.PDF et SWF voir les détections plus hauts.

Dans sa version 5, Avast! inclue un Web Guard (comme le bouclier WEB mais en amélioré), ce dernier coupe la connexion au site WEB dès lors qu'un javascript malicieux/Exploit est détecté et cela est assez payant au final.
Le Web Guard fonctionne via une base de données de sites malveillants, si ces derniers sont reconnus, l'accès est bloqué. Cette base n'est que très peu utilisée pour les exploits mais un peu plus pour certaines familles de Faux Codecs.
Avast! offre donc la meilleure protection WEB actuellement dans ce test des antivirus gratuits.

Si je devais résumer les stratégies et les lacunes des AV testés ce serait à travers ces captures de scan d'Exploit.PDF :
  • Avast! premier sur la détection des Exploits qui axe sa stratégie sur le blocage en amont et l'ajout par la suite de détection au niveau des droppers.
  • Antivir en second qui compense par sa détection générique des droppers.
  • MSE ensuite qui arrive à compenser par sa détection générique des droppers lui aussi mais par famille.
  • AVG et Panda Cloud qui détectent très peu d'Exploit.PDF (0 pour Panda) et qui compensent que très difficilement sur la détection des droppers.

(Pour info Trend-Micro en détecte 72)

Image

Image
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57

Re: Comparatif Antivirus 2010

Messagepar Malekal_morte » 22 Fév 2010 21:17

Test Scan à la demande (taux de détection)

Voici maintenant un comparatif du taux de détection.

Méthodologie du test : Le comparatif est faux par des scans à la demande.
Au lieu de prendre 1 000 000 de malwares parqués dans un répertoire que l'on scan, trois groupes de scans à le demande ont été utilisés.
Le premier groupe sont des fichiers qui sont récolés par des VM et qui au maximum 3 jours de vies (souvent 2 jours).
Le second groupe sont les mêmes fichiers mais scannés au bout d'une semaine.
Enfin le troisième groupe sont tous les malwares récoltés durant ce temps soit sur 3 semaines.

Le but est donc de voir le taux de détection sur des fichiers vieux de 2/3 jours - quasiment l'instant T et donc le taux de détection des malwares par antivirus à cet instant T.
Le second but est de pouvoir le taux d'absorption de malwares des éditeurs sur une semaine puis 1 mois.

Image

Image

Image

Commentaires

On constate que Panda, Antivir sont devant que ce soit sur la détection sur deux jours que la détection sur une semaine.
Sur le test sur deux jours Avast! et MSE sont derrière et pourtant ce ne sont pas les antivirus qui offrent la moins protection de blocage d'URL.
C'est même plutôt le contraire Panda qui est très bien placé dans ce test est pourtant le dernier dans le blocage d'URL.

Première conclusion : les antivirus qui détectent le plus de malwares ne sont pas forcément ceux qui protègent le mieux.

On constate aussi que l'écart entre les antivirus sur une semaine diminue.
Sur deux jours, l'écart entre Avast! et Antivir n'est que de (17%) et 14% environ avec Panda.
Sur une semaine, il n'est plus que de 6% avec Antivir et 7% avec Panda.

Seconde Conclusion : Certains antivirus mettent plus de temps à absorper les malwares. On comprend que les tests classiques sur 1 million de malware ne montrent pas cet écart.
Plus le temps passe, moins l'écart entre les antivirus se ressent et plus le taux de détection est bon.
Ces tests ne montrent pas la détection à un instant T et les difficultés qu'on les éditeurs à absorper tous les malwares en libertés.

Le taux de détection d'un antivirus à un instant T est d'environ 65%, soit un peu plus d'1 malware sur 2.
Et c'est souvent à cet instant T que l'on évalue un antivirus puisqu'on l'utilise pour nettoyer son PC et bien souvent il ne détecte pas tout.

Vous avez quelques suivis de scan VirusTotal sur 2/3 jours sur ces liens :
gidroponikass-net-trojan-backdoor-bredavi-t23172.html
metaiframe-org-213-163-t23127.html#p193157
microsoft-kb65465-exe-backdoor-poison-t22991.html#p192005
174-176-koobface-t22993.html#p192025
slenfbot-t16743-15.html#p191991
metaiframe-org-t22999.html#p192069
ooowetr-lgg-111-176-226-t22989.html
mwrtorks2cv-bredolab-t23015.html
mobylearn-biz-bredolab-t23013.html#p192208
imgyou1-yoyohost-com-photos-php-t23026.html#p192303
mwrtorks3cv-t23126.html#p193145
photos-com-image-php-t23125.html#p193136
freebest4-info-patch-cdfs-sys-max-rootkit-t23195.html#p193657

Enfin on voit que sur 3 semaines, l'écart entre les AV a complètement disparus et le taux de détection est d'environ 90%
Conclusion les test d'antivirus où l'on voit des taux de détections de plus de 95% utilisent des malwares "vieux" de 3 semaines et ne montre pas la réalité de la détection à un instant T, ni les différences de détections entre les antivirus.
Encore une fois, c'est pour cela que je vous rabâche que ces tests sont inutiles, de même, pour les pseudos tests d'antivirus sur 4 urls infectieuses. Attention aux sources!

Reste que Panda et Antivir sont certainement meilleurs en détection et nettoyage.
AVG se place assez bien aussi mais ne bouge pas beaucoup sur la durée.
MSE est loin derrière, nous verrons si cela à une influence sur la désinfection.


Image
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57

Re: Comparatif Antivirus 2010

Messagepar Malekal_morte » 22 Fév 2010 21:17

Test de désinfection

Voici maintenant le test de désinfection.

Le but étant de mesurer les capacités de désinfection des antivirus pour savoir lequel est le plus efficace. Les antivirus ayant des problèmes en général pour désinfecter tel ou tel fichier selon où il se charge dans le système et notamment les Rootkits.

Deux tests donc avec une infection "classique" et des rootkits ensuite.
Le test de "classique" comprend des familles de malwares communs mais qui peuvent poser des problèmes à désinfecter, voici la liste :

Voici le rapport HijackThis avec les lignes :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:43:02, on 11/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\Documents and Settings\Malekal_morte\Desktop\HijackThis.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Malekal_morte\Desktop\procexp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\Vsl.exe
C:\WINDOWS\msa.exe

C:\WINDOWS\system32\imPlayok.exe
C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\aguheq.exe
C:\WINDOWS\system32\imPlayok.exe
C:\WINDOWS\TEMP\gtk18.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe mouj.yjo jdhyiu
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,C:\WINDOWS\system32\msupdt.exe,
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [MsXSLT] C:\WINDOWS\system32\msxslt3.exe
O4 - HKLM\..\Run: [imPlayok] C:\WINDOWS\system32\imPlayok.exe
O4 - HKCU\..\Run: [F5JMWNZTHI] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\Vsl.exe
O4 - HKCU\..\Run: [imPlayok] C:\Documents and Settings\Malekal_morte\imPlayok.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 80.10.246.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 80.10.246.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 80.10.246.1
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O21 - SSODL: GootkitSSO - {80FB2167-9BF7-4F3B-B2C7-65DDA1822F4F} - C:\WINDOWS\System32\msxsltsso.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\UltraVNC\winvnc.exe (file missing)



Antivir
Au premier scan, Antivir détecte et parvient à supprimer tous les malwares sauf Bredolab et Vlsa.exe.
Voir Le rapport du 1er Scan.
Image
Au second scan, après mise à jour de l'antivirus. La majorité des autres malwares sont détectés et éradiqués à l'exception de Bredolab,imPlayok.exe et sshnas21.dll (Trojan.FakeAlert) sont toujours présents.
Antivir ne parvient pas à supprimer Bredolab.
Voir Le rapport du second Scan.
Image


Avast!
Au premier scan, Avast! détecte et supprime tous les malwares exceptés Vsl.exe et imPlayok.exe.
Image
Image
Bredolab a bien été détecté et éradiqué.

Note dans le cas d'Avast! j'ai systématiquement utilisé le scan au démarrage :
Image

Après le scan, imPlayok.exe mouj.yjo Sasfis), sshnas21.dll (Trojan.FakeAlert) sont toujours présents.


Microsoft Essentials Security
Au premier scan, Microsoft Essentials Security détecte et éradique tous les malwares exceptés Bredolab (Win32/Bubnix.A
Image
Ce dernier est détecté mais MSE ne parvient pas à le supprimer.
Au deuxième scan les rootkits sont détectés à nouveau :
Image
Mais MSE ne parvient pas à les supprimer et donne une popup avec une erreur 0x80501001 et 0x8007001f
Image
et apparemment je ne suis pas le seul : http://social.answers.microsoft.com/For ... 5132155a23

Il reste aussi imPlayok.exe!

AVG 9
AVG 9 détecte la majorité des Rootkits et malwares.
msa.exe sshnas21.dll Vsl.exe sont encore présents ainsi que Win32.Otlard et enfin Zbot/Zeus (Rootkit userland) aussi.

Panda Cloud
Panda Cloud a détecté et éradiqué tous les malwares sauf imPlayok.exe, Sasfiset Bredolab
Image
Au second scan, tous les malwares sont éradiqués excepté Bredolab qui est détecté mais que Panda ne parvient pas à éradiquer.
Image


Conclusion :
Dans ce test, c'est Panda qui s'en sort le mieux puisqu'il reste au final que Bredolab.
Ensuite MSE avec Bredolab et imPlayok.exe.
Plus ou moins Antivir et Avast! font jeu égal.
et enfin en dernier AVG.

On voit que ce sont à peu près les mêmes malwares qui posent souci, à savoir le rootkit Bredolab et ImPlayer.exe qui est mal détecté au moment du test.
Les rootkits posent donc problème puisque Bredolab n'a été éradiqué au final que par Avast!
On voit bien que scanner avec de multiples antivirus losque vous êtes infectés, ne peux être d'aucune aide.






Le cas des rootkits

Un test avec quelques rootkits puisque ce sont les éléments infectieux les plus faciles à éradiquer (s'ils sont détectés).
On voit que dans le test précédent GKRootkit est en général bien supprimé mais ce n'est pas le cas de Bredolab.

Deux Rootkits seront utilisés :

Antivir :
Pour Antivir aucun problème de détection et d'éradication :
Image
Antivir ne détecte pas Trojan.Alueron / Trojan.TDSS
Image

Avast! :
Rustock est détecté et mis en quarantaine sans problème :
Image
Avast! ne parvient pas, par contre, à détecter Trojan.Alueron / Trojan.TDSS.

AVG 9 :
Rustock est bien détecté et supprimé :
Image

Trojan.Alueron / Trojan.TDSS n'est pas détecté :
Image


Panda Cloud :
Rustockest détecté et éradiqué :
Image

Le rootkit Trojan.Alueron / Trojan.TDSS n'est quant à lui pas détecté :
Image


Microsoft Security Essential :
Rustock est détecté et éradiqué :
Image

MSE ne parvient pas à détecter Trojan.Alueron / Trojan.TDSS
Image

Conclusion :
On voit que Rustock est éradiqué par tous les antivirus mais qu'aucun ne parvient à supprimer Trojan.Alueron / Trojan.TDSS qui pourtant est un des rootkits les plus répandus!
Si on se réfère aux désinfections du début avec Bredolab, c'est Avast! qui s'en sort le mieux avec 4 suppressions de rootkits réussies sur 5.
Antivir se positionne derrière.


Conclusion du test de désinfection
Au final, on constate que Panda se place bien puisqu'il a un taux de détection assez élevé mais ne parvient pas à supprimer Bredolab.
En seconde position MSE puis, Avast! et Antivir sont plus ou moins à la même place puisqu'il reste à l'arrivé le même nombre de malwares.
AVG est un peu en retrait.

Le mécanisme de scan au démarrage d'Avast! est assez performant pour supprimer des malwares puisqu'il a permis de supprimer un rootkit récalcitrant comme Bredolab, Avast! souffre tout de même de son manque de détection puisqu'il laisse quelques fichiers vacants.
On notera aussi que MSE qui est assez mal placé dans le scan à la demande se retrouve finalement bien placé dans ce test sur la suppression de malwares!

Les malwares dans ce test qui n'ont pas posé de problèmes sont les mêmes à savoir (Trojan.Zbot et Sasfis), il faut dire que ce n'était pas les plus récents. Le but était de voir si les antivirus étaient capables de les éradiquer depuis les points de chargement qui posaient des problèmes ces dernières années (lign F2/F3 sur HiJackThis)
Les autres malwares Trojan.FakeAlert et surtout les autres backdoors étaient des infections actives (elles ont été téléchargées par le dropper) et donc moins bien détectés par les antivirus.
N'oubliez pas que ces tests ont été fait sur deux/trois jours (le troisième jour étant un samedi) en mettant à jour les antivirus.. Je vous laisse donc imaginer ce que ça donne pour une personne qui espère pouvoir désinfecter son PC le jour même où il a été infecté!

De même aucun des antivirus n'a été en mesure de détecter le Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

Image

Image

Derrière remarque, aucun des antivirus ne nettoie le registre (excepté AVG) - il en résulte des erreurs au démarrage par exemple dû à la suppression du Trojan Sasfis :
Image
Cela peut-être gênant et stressant pour l'utilisateur (en plus du stress dû à l'infection). De plus dans certains cas, selon les clefs du registre non nettoyées, cela peut provoquer des dysfonctionnements voir des plantages irréparables !
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57

Re: Comparatif Antivirus 2010

Messagepar Malekal_morte » 22 Fév 2010 21:17

Un petit mot sur Trend-Micro

Comme vous avez pu le voir Trend-Micro surclasse les antivirus gratuits en terme de protection.
Un petit mot s'impose sur cet antivirus qui est généralement classé dans les premiers en terme de protection dans les comparatifs (voir les liens dans la conclusion).

Je jète un œil sur le blocage des URL de Trend-Micro depuis 1 an maintenant et très franchement, il est très performant, maintenant un peu d'explication sur la stratégie de Trend-Micro et ses avantages.

Les avantages du blocage d'URL

Trend-Micro bloque beaucoup d'URL, le gros avantage c'est que le blocage se fait souvent au niveau de l'URL contenant les exploits (ou parfois avant) mais dans tous les cas avant le téléchargement du Dropper sur le système.
Contrairement à ce qu'on a pu voir sur le paragraphe du test du blocage d'URL, le contenu importe peu, si Trend-Micro connait l'URL comme malicieuse, l'accès sera bloqué.
Si on reprend l'exemple du test de blocage d'URL :
Code: Tout sélectionner
1265218985.977   1030 192.168.1.120 TCP_MISS/200 3535 GET http://anandbazaar.com/ - DIRECT/74.52.35.98 text/html
    1265218986.767    169 192.168.1.120 TCP_MISS/302 297 GET http://77.221.153.178/go2/in.php? - DIRECT/77.221.153.178 text/html
    1265218990.800   3863 192.168.1.120 TCP_MISS/302 319 GET http://gythynfuwt.com/ld/tuta8/ - DIRECT/72.51.41.83 text/html
    1265218992.062   1263 192.168.1.120 TCP_MISS/200 7090 GET http://gythynfuwt.com/nte/tuta8%20.asp - DIRECT/72.51.41.83 text/html
    1265218994.292   1460 192.168.1.120 TCP_MISS/200 19487 GET http://gythynfuwt.com/nte/tuta8%20.asp/jH9e9cb060V0100f060006R816af5f6102Td5f5259d203L66720000000000000000Keeb7c3f1 - DIRECT/72.51.41.83 text/javascript
    1265218996.854   2562 192.168.1.120 TCP_MISS/200 38372 GET http://gythynfuwt.com/nte/tuta8%20.asp/oH9e9cb060V0100f060006R816af5f6102Td5f5259f203l000cKeeb7c3f1317 -


Trend-Micro bloque au niveau de l'URL : hxtp://77.221.153.178/go2/in.php?
(vous pouvez soumettre des URL à cette adresse : http://reclassify.url.trendmicro.com/onlinequery.aspx ).
Du coup, le blocage se fait en amont de l'Exploit (et bien avant le dropper), de plus, si l'auteur de malwares modifie la redirection de 77.221.153.178 vers une autre URL inconnue contenant des malwares "neufs" à 0 détection sur VirusTotal, vous êtes tout de même protégés!
C'est la même chose pour les Trafic Management System (voir le second paragraphe). Trend-Micro les bloque et en général ces derniers bougent moins vite que les URLs malicieuses finales puisqu'un redirector peut être utilisé pour rediriger pendant 1 mois vers des urls malicieuses qui vont changer plusieurs fois dans ce même mois.

Cette stratégie permet de se protéger malgré les mises à jour effectuées par les auteurs de malwares (que ce soit au niveau des exploits ou du dropper). Concrètement, vous êtes protégés en permanence alors que dans le cas des antivirus gratuits, si l'auteur met à jour les Exploits/Javascript malicieux et le Dropper et si le site hacké au départ est pas reconnu malicieux, il est potentiellement possible de se faire infecter.

Pour se faire infecter il faut donc une nouvelle URL inconnue de Trend-Micro et dont le contenu ne soit pas détecté par la protection en temps réel or Trend-Micro est très réactif pour ajouter de nouvelles URL qui sont instantanément bloquées au niveau des clients sans mise à jour (principe du Cloud).

Un mot sur le Cloud

Le Cloud vous allez en entendre parler car il est utilisé à toutes les sauces (Marketing Powa!).
Concrètement, avec un antivirus Cloud aucune définition virale n'est présente sur votre PC, cela permet :
  • d'alléger le client au niveau consommation mémoire,
  • d'être plus réactif, puisque vous utilisez les dernières définitions virales de l'éditeur qui se trouvent sur les serveurs. Donc vous n'avez plus le retard de protection actuel entre la mise en ligne des dernières définitions virales et le téléchargement par votre antivirus.

Après il faut distinguer deux choses, le Cloud en temps réel et le Cloud semi-temps réel.
En effet, on peut imaginer qu'il existe toujours un décalage entre le moment où l'éditeur d'antivirus "rassemble" les dernières ajouts de malwares, construit une nouvelle définition virale et la met en ligne. Imaginons que ce soit toutes les 15 minutes, vous avez alors potentiellement un décalage de 15 minutes entre l'ajout d'une nouvelle menace et la réelle protection.
Bref il faut faire la différence entre "vrai" Cloud et "faux" Cloud, et je vous l'accorde dans le discours marketing, c'est très difficile pour l'internaute de faire la différence.

Dans le cas de Trend-Micro, c'est du temps réel, si au moment où l'on parle une nouvelle URL malicieuse est ajoutée, elle sera instantanément bloquée par l'antivirus.
Vous êtes donc protégés en permanence.

Voir la page : Trend Micro™ Smart Protection Network™.

Plus loin que le blocage d'URL à la source

La stratégie au niveau des antivirus consiste à proposer une suite qui tire partie de la technologie Cloud en utilisant un minimum de ressources (donc pour les netbook etc) et une protection maximum. Le gros avantage est que Le filtrage URL ne se fait pas qu'au niveau du navigateur WEB comme un WebGuard classique mais sur tous les processus du système.
Dès lors, si un malware s'installe sur le PC, Trend-Micro peut éventuellement :
  • bloquer la connexion au C&C (Control Center) : le malware ne pourra plus envoyer ou recevoir des commandes, et donc ne servira à rien. Le PC ne fera pas partie d'un botnet.
  • bloquer le téléchargement d'autres malwares (ou des mises à jour du malware installé qui permettent d'échapper aux détections antivirus - chat et la souris)
  • vous notifiez que vous êtes infectés, même si l'antivirus ne détecte pas le malware via des connexions anormales.

Voici quelques programmes Trend-Micro basés sur le filtrage URL :

A noter qu'AVG et Avast! bloquent aussi les connexions des URLs malicieuses effectuées par les processus.

La stratégie de Trend-Micro

Ce qu'il faut comprendre c'est que le filtrage d'URL n'est pas le même que le filtrage URL des autres éditeurs qui ajoutent quelques URL par-ci par-là.

Trend-Micro a vraiment une stratégie qui est de se focaliser sur les URL et de construire une base de données d'URL malicieuses afin de bloquer toute connexion à ces dernières. Les ajouts peuvent se faire :
  • en crawlant le WEB à la recherche d'URL malicieuses sources.
  • en ajoutant de manière systématique et plus ou moins automatiques des URLs de C&C, ou d'autres malwares via les samples reçus tous les jours (notamment les Trojan-Downloader).
  • Les URL contenant dans les SPAM et honeypots.
  • Auto-alimentation à partir de urls connues (domaine partagé sur une IP, whois etc). Cet aspect est important car on peux prévenir de nouvelles URL malicieuses. Si un auteur de malwares enregistre 4 domaines qui sont partagés par une même IP et en n'utilisant qu'un seul à la fois, on peut éventuellement trouver les trois autres et les bloquer avant que l'auteur de malwares ne les utilise dans des mises à jour.

Vous avez une discussion sur ces aspects : trend-micro-titanium-beta-webprotect-ultra-light-t22861-15.html#p191184

Trend-Micro est aussi, apparemment, en train de faire un effort sur la détection de fichiers, car on les trouve de plus en plus présents sur les nouveaux samples, chose qui n'était pas le cas il y a 6 mois.
Ce qui est encore plus intéressant, c'est que ces détections de fichiers se font parfois sur de nouvelles URL qui ne sont pas encore connues chez eux, ce qui permet de compenser. Si les détections s'étendent à plusieurs familles de malwares significatives, cela va vraiment devenir prometteur!

L'avantage est que la protection est efficace sans que l'utilisateur ait à réfléchir à la configuration ou aux alertes.
L'url est considérée comme safe ou ne l'est pas et sera donc bloquée.


Les limites : Un petit mot sur les limites du filtrage URL. Si cela permet de protéger de manière efficace sur les exploits sur des sites WEB, c'est un peu plus délicat sur le direct download avec des urls qui bougent quotidiennement.
Ce qui est en autre le cas sur les Virus MSN ou les familles de malware à base de Faux Codecs.

Il faut voir aussi sur le P2P où là, il n'y a que la détection de fichiers qui entre en compte et aussi en mode déconnecté (pas d'internet, pas de Cloud) et donc notamment les infections par disques amovibles.

PS : un petit mot pour les crétins qui disaient que j'étais payé par Avira. J'ose espérer qu'avec ce discours un peu encenseur sur Trend-Micro (et moins négatif sur Avast!), vous allez rectifier votre discours et dire que je suis maintenant payé par Trend-Micro.


La version d'évaluation de Titanium est disponible à cette adresse : http://fr.trendmicro.com/fr/downloads/h ... omeoffice/ avec les suites de sécurité Pro.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57

Re: Comparatif Antivirus 2010

Messagepar Malekal_morte » 22 Fév 2010 21:18

Conclusion Générale et Commentaires

Je vais tenter de donner des commentaires généraux et un ressenti par antivirus, ainsi qu'un classement du "meilleur" antivirus.

Commentaires Généraux

Comme vous pouvez le voir, la protection offerte est assez différente par antivirus, on constate deux choses.
La première, ce n'est pas l'antivirus qui détecte le plus qui protège le mieux, il faut regarder les modules offerts et s'ils sont bien utilisés.
Un antivirus qui a un super taux de détection n'est rien sans de bons modules, et un bon module n'est rien sans être alimenté (bonne détection).
Il y a donc un juste milieu, le tout devant être fait à travers une stratégie globale de protection.
Il est stupide d'offrir un Web Guard sans une bonne alimentation de détection de JS/PDF/Iframe malicieux et une bonne base de données d'URL reconnues comme étant malicieuses.

Ensuite on voit qu'au niveau de la détection, les rootkits posent encore toujours des problèmes dès lors qu'ils sont un tant soit peu sophistiqués.
Un Trojan.TDSS/Alureon passe inaperçu (hors symptômes de redirection Google pour l'utilisateur). De même un Rootkit MBR n'est pas détecté et là c'est pire car il n'y aucun symptôme pour l'utilisateur.

Si les protections avancent relativement d'année en année, la partie désinfection reste toujours au même stade.
Un utilisateur infecté ne pourra pas se désinfecter complètement avec son antivirus d'où les demandes incessantes sur les forums de désinfection.


Classement et commentaires par antivirus


Pour le classement, je me suis surtout fié à la protection, le taux de détection venant comme second critère, pourquoi ?

Comme vous avez pu le voir, un antivirus en désinfection ne parvient pas à tout supprimer, même pour ceux qui ont les meilleurs taux de détection.
Une fois que l'infection est entrée, la guerre est quasi perdue d'avance car :
  • Dans le cas d'un Stealer, les informations seront volées (sauf si FW etc, je sais mais on va parler dans le cas général).
  • Dans le cas d'un rootkit, une fois installé, l'antivirus ne peut plus rien dans la majorité des cas.
  • Les désinfections ne sont pas des opérations anodines et souvent le système reste perturbé : certaines fonctionnalités qui ne marchent plus, le système est ralenti, voir planté. Revenir à l'état initial d'avant infection est parfois difficile.
Je ne parle pas du stress de l'utilisateur qui a son PC infecté et qui pour certains ne peut plus travailler ou jouer.
Donc le critère essentiel reste tout de même la protection.


Avast! :
Avast! une réelle protection contre les menaces du WEB à travers son gardien WEB.
Avast! suit vraiment bien les Webmalware kit et offre des détections contre les JS, PDF et iframe malicieux.
La base de données des url permet aussi d'augmenter le nombre de blocage d'URL Malicieuses.
Les plus: Du coup, Avast! bloque les malwares très tôt même si par la suite Avast! ne détecte pas le dropper.
C'est l'antivirus gratuit recommandé pour le moment pour se protéger des menaces venant du WEB.
On peut remercier ALWIL de nous offrir un gardien WEB dans sa version gratuite.
Les moins:
Il faudra faire attention aux malwares par disques amovibles (si vous êtes encore à télécharger des exécutables .zip sur P2P, je ne peux plus rien pour vous), Avast! sera certainement moins bon qu'un Antivir par exemple dans ce domaine au vu des détections.
Attention aussi au guard, ce dernier ne bloque l'infection qu'à l'exécution, c'est arrivé qu'un malware détecté ne soit pas bloqué à l'exécution mais les cas sont rares.

Antivir :
Antivir est l'un des antivirus qui détecte le plus de malwares (avec Panda).
Le score d'Antivir aurait pu être plus élevé si la version offrait un Web Guard. En effet, Antivir détecte certains iframe ou JS malicieux mais n'ayant pas de Web Guard, il ne stoppe pas la connexion au site WEB, l'infection peut alors s'installer si le dropper n'est pas détecté.
Les plus: Très bonne détection générale. Le guard est vraiment performant, par exemple, dans le cas d'un dropper de rootkit non détecté, au moment de son exécution, le guard peut bloquer la création du driver si celui-ci est détecté.
Le scanner est aussi l'un des plus rapides.

Les moins: Pas de Web Guard dans la version gratuite.
Les détections sont moins bonnes (et donc la protection aussi) le Week-end car le labo est fermé.

Microsoft Security Essential :
Microsoft Security Essential offre une protection relativement bonne. A l'arrivée, il joue à peu près à niveau égal avec Antivir.
Microsoft suit bien certaines familles de malwares (Virus MSN, Trojan.FakeAlert msa.exe, etc..).
Les plus: Protection relativement bonne.
Assez léger.

MSE est assez marrant, il est capable de bloquer certains droppers de certaines familles qui sont non détectés - par exemple ce dropper :
File load_72_.exe received on 2010.02.18 11:34:09 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/41 (14.64%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.18 -
AhnLab-V3 5.0.0.2 2010.02.17 -
AntiVir 8.2.1.170 2010.02.18 -
Antiy-AVL 2.0.3.7 2010.02.18 -
Authentium 5.2.0.5 2010.02.18 -
Avast 4.8.1351.0 2010.02.18 -
AVG 9.0.0.730 2010.02.18 -
BitDefender 7.2 2010.02.18 -
CAT-QuickHeal 10.00 2010.02.18 Win32.Packed.Krap.ai.4
ClamAV 0.96.0.0-git 2010.02.18 -
Comodo 3979 2010.02.18 Heur.Packed.Unknown
DrWeb 5.0.1.12222 2010.02.18 -
eSafe 7.0.17.0 2010.02.17 -
eTrust-Vet 35.2.7310 2010.02.18 -
F-Prot 4.5.1.85 2010.02.17 -
F-Secure 9.0.15370.0 2010.02.18 -
Fortinet 4.0.14.0 2010.02.15 -
GData 19 2010.02.18 -
Ikarus T3.1.1.80.0 2010.02.18 -
Jiangmin 13.0.900 2010.02.18 -
K7AntiVirus 7.10.976 2010.02.17 -
Kaspersky 7.0.0.125 2010.02.17 -
McAfee 5895 2010.02.17 FakeAlert-LX
McAfee+Artemis 5895 2010.02.17 FakeAlert-LX
McAfee-GW-Edition 6.8.5 2010.02.18 -
Microsoft 1.5406 2010.02.18 -
NOD32 4876 2010.02.18 -
Norman 6.04.08 2010.02.18 -
nProtect 2009.1.8.0 2010.02.18 -
Panda 10.0.2.2 2010.02.17 -
PCTools 7.0.3.5 2010.02.17 -
Prevx 3.0 2010.02.18 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.18 Mal/EncPk-KW
Sunbelt 5684 2010.02.18 -
Symantec 20091.2.0.41 2010.02.18 Suspicious.Insight
TheHacker 6.5.1.4.198 2010.02.18 -
TrendMicro 9.120.0.1004 2010.02.18 -
VBA32 3.12.12.2 2010.02.16 -
ViRobot 2010.2.18.2192 2010.02.18 -
VirusBuster 5.0.21.0 2010.02.17 -
Additional information
File size: 23040 bytes
MD5...: 9460e7477e59efef5cb9753ff73f8de2
SHA1..: 3cf868754e318d22cbc350940b791e68aaa6ed8a


Le guard émet tout de même une alerte :
Image

De même par exemple avec la famille Trojan.Sasfis, le guard fait planter le dropper lors de la création d'un fichier temporaire même si le dropper n'est pas détecté.

Les moins: On regrette que la protection WEB ne soit pas meilleure en amont (détection des JS et Iframe malicieuses).
Les mises à jour sont pénibles, cela passe par Windows Update, l'AV ne se met pas à jour si d'autres mises à jour de Windows sont en attentes, il faut rebooter.
Le téléchargement et l'installation des mises à jour de Windows sont forcés.


AVG :
AVG est moyen dans tous les domaines, du coup il offre une protection moyenne.
Les plus: Modules de protection intéressants dans la version gratuite (LinkSkanner etc) dommage qu'ils ne soient pas plus mis à profit.
Les moins: Certainement l'antivirus le plus "lourd" au niveau ressources.

Panda Cloud :
Panda Cloud offre l'une des meilleures détections néanmoins il offre la moins bonne protection contre les menaces.
Je ne vous le recommande pas.
Les plus:
Cloud - pas besoin d'effectuer de mise à jour.
Léger.
Le guard est sympa dans son fonctionnement, il bloque l'exécution des menaces en ajoutant une icône Panda.
Les moins: Protection WEB inexistante. Tout est basé sur la détection de fichiers, aucune protection WEB en amont.
C'est regrettable.


Voici donc le classement de ce test :

Image


Un sujet est ouvert si vous désirez commenter ou débattre sur les antivirus : blabla-comparatif-2010-t23536.html#p196488

Autres Comparatifs

Je vous invite à lire cet autre comparatif (en anglais), il ne comporte pas tous les antivirus mais la méthodologie est vraiment intéressante : nss-lab-comparatif-t23056.html
Vous verrez qu'on trouve à peu près les mêmes résultats que le test de blocage des URLS de ce comparatif.

Vous pouvez diffuser ce comparatif via la bannière si vous pensez qu'il le mérité via ce code :
Code: Tout sélectionner
[url=http://forum.malekal.com/comparatif-antivirus-2010-t23535.html][img]http://www.malekal.com/_site/design/BanniereComparatifsAntivirusFree.png[/img][/url]


Image

Merci à future, MultiUser pour la bannière et TopXm/Skytech/Laeticia pour la relecture!
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57

Re: Comparatif Antivirus gratuits 2010

Messagepar Malekal_morte » 25 Oct 2011 19:53

Fin 2011 - quelques nouveaux tests rapides :

Retrouvez d'autres antivirus sur la page des Comparatifs Antivirus malekal.com
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Stop publicités - popups intempestives

S'inscrire à la newsletters malekal.com

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 66708
Inscription: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Publicité

Retourner vers Papiers / Articles

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

Partenaires du site : Geekeden - OxygenePC.com