La version gratuite n'inclut pas toutes ses fonctionnalités de protection ce qui doit réduire son efficacité.
Voir : http://forum.malekal.com/viewtopic.php?p=81834#p81834
Grisoft vient de sortir une nouvelle version de leur logiciel de protection AVG.
Ce dernier est décliné en deux produits : AVG Antivirus et AVG Internet Security
La suite de sécurité incorpore une protection antispam, un pare-feu et divers outils.
L'antivirus incorpore un antispyware/antirootkit et bien sûr antivirus.
Se reporter à la page suivante pour plus d'informations : http://www.grisoft.com/fr.35
(Tutorial d'AVG 8 : https://www.malekal.com/tutorial_AVG8.php)
L'interface est très esthétique et épurée.
Elle liste toutes les protections de l'antivirus.
A gauche, un menu pour scanner ou mettre à jour.
Protection contre les infections
J'ai effectué quelques tests sur la protection lors de la navigation.
AVG8 incorpore un bouclier WEB qui détecte les exploits sur les sites WEB..
Ceci est particulièrement efficace puisque je me suis rendu sur 8 sites WEB contenants des exploits, le bouclier WEB d'AVG8 les a tous bloqués :
AVG8 a bloqué l'accès aux faux codecs qui sont sources d'infection.
Grisoft a fait l'acquisition récemment de LinScanner.
AVG8 intrègre un module AVG Search Field qui utilise LinkScanner, lorsque vous visitez une page connue pour être malicieuse, AVG8 vous empéche la consultation de cette page en vous redirigeant vers une page d'alerte.
Ceci offre encore une nouvelle dimension à la protection lorsque vous surfez.
Les résultats de la protection de la navigation via le bouclier WEB et AVG Search Field (LinScanner) sotn donc très impressionnants.
AVG8 intègre bien sûr une protection en temps réel qui scanne les fichiers en permanence pour bloquer les fichiers infectieux.
J'ai essayé d'installer le programme MailSkinner qui installe l'adware Magic.Control/Egdaccess
La protection en temps réel détecte bien MailSkinner.exe comme néfaste et vous propose de le placer en quarantaine.
Malheureusement, si vous regardez d'un peu plus près, on voit que le setup de MailSkinner (MailSkinner_setup[1].exe) droppe le fichier qufiaeb.exe qui est l'adware.
Le même comportement avait été constaté sur Vipre Antivirus de Sunbelt : http://forum.malekal.com/viewtopic.php?f=36&t=9142
Un scan de l'adware ne donne malheureusement rien.
La protection en temps reste néanmoins très efficace si le fichier est connu pour être infectieux.
Il est interressant de noter qu'AVG détecte l'exploit, c'est à dire avant qu'un fichier infectieux soit lancé sur le PC. Ceci est important car en général, si le premier ou second trojan qui télécharge le reste de l'infection est lancé, les antivirus sont en général dépassé et le reste de l'infection peux plus ou moins s'installer en entier.
AVG a aussi fait beaucoup de progrès dernièrement sur les détections heuristiques et l'ajout de détection générique qui permet une meilleur détection.
Un peu de nettoyage...
Un petite test de nettoyage ensuite.. J'ai dû désactiver la protection WEB afin de m'infecter car AVG8 a bien bloquer les sites malicieux qui installent ces infections.
Une infection VideoAccess (VAC), quelques autres infections type Trojan.VB avec un dossier dans Program Files.
AVG 8 détecte une bonne partie de VAC (les fichiers zlob)
Le rapport HijackThis montre qu'AVG8 a supprimé les deux BHO (ligne O2) qui sont marquées en (file missing).
Les fichiers des lignes O4 avec le dossier Microsoft Security Advisor ont eux aussi été supprimées. C'est le Trojan.VB, AVG8 n'a pas supprimé les clefs du registre, ce n'est pas très grave en soi... si les fichiers ont été supprimés l'infection est donc plus active. Mais cela peut générer des messages d'erreurs au démarrage, ex: le fichier X est in trouvable.
Nous avons ensuite 4 lignes O21 issues de l'infection VAC, une seule a été supprimée
AVG8 a donc partiellement supprimé l'infection VAC.
Infection Tibs... au programme... plein de trojans partout et deux rootkits (Rustock et Rootkit.ae) que l'on voit sur gmer.
Après 30min de scan complet, 45 infections détectées
Voici le rapport HijackThis après nettoyage :
Un petit débrief du rapport :Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:03:50, on 16/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Malekal_morte\Desktop\procexp.exe
C:\Documents and Settings\Malekal_morte\Desktop\gmer.exe
C:\Documents and Settings\Malekal_morte\Desktop\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: C:\WINDOWS\system32\H4dj24g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\H4dj24g.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\Kf9467g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\Kf9467g.dll (file missing)
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [qufiaeb] c:\documents and settings\malekal_morte\local settings\application data\qufiaeb.exe qufiaeb
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\winlogan.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 192.168.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\H4dj24g.dll (file missing)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\Kf9467g.dll (file missing)
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Googles Onlines Search Services - Unknown owner - C:\WINDOWS\system32\wnslogan.exe (file missing)
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
--
End of file - 3964 bytes
- Les fichiers des BHO ont été supprimés (d'où le file missing).. AVG8 a donc supprimé les fichiers mais pas les clefs du registre
- En gras les fichiers des lignes O4 ne sont plus présents (d'ailleurs on ne voit pas ces fichiers dans la liste des processus), AVG8 les a supprimés... mais a laissé les clefs du registre.
- Ligne O20 : crypts.dll a été supprimé, par contre WLCTrl32.dll ne l'a pas été. Pourtant AVG8 le détecte mais il semblerait qu'il ne parvienne pas à le placer en quarantaine.
- Le service Googles Onlines Search Services - Unknown owner - C:\WINDOWS\system32\wnslogan.exe (file missing) a été supprimé.
Il ne reste pas moins qu'une bonne partie de l'infection a tout de même été nettoyée.
Conclusion
J'ai été vraiment étonné par la protection WEB d'AVG8, il a bloque toutes les tentatives d'exploit de sites WEB.
La désinfection est assez bonne dans l'ensemble, mais encore une fois.
AVG 8 semble donc offrir une bonne protection et être un très bon produit.
Site AVG France : http://www.avgfrance.com/fr.1
Autres présentations et test d'antivirus
.
