Testez vos défenses antispyware avec Spycar

Retrouvez ici les sites WEB et liens utiles pour vous et votre ordinateur :)
Contact75

Testez vos défenses antispyware avec Spycar

par Contact75 »

http://infomars.fr/forum/index.php?showtopic=1700

(...)
Spycar a été mis au point par Intelguardians,( http://www.intelguardians.com/ ) et propose une batterie de tests à réaliser pour tester et évaluer vos défenses antispywares. Ces tests, au nombre de 17 pour l'instant, sont régulièrement augmentés et mis à jours, et sont composés de composants imitant l'infection d'un malware sans en avoir la nocivité. Un module de nettoyage est en outre proposé, ainsi qu'un rapport comportant tous les résultats aux tests réalisés. (...)

Le lien :

http://www.spycar.org/Welcome%20to%20Spycar.html

(pour accéder aux tests il faut aller en fin de page et accepter le "disclaimer")


Ensuite pour avoir les résultats de tests et nettoyer : http://www.spycar.org/Spycar_files/TowTruck.exe


Opinion personnelle... Boaf.
Ce n'est pas tant le type d'infection à tester qui me pose problème (quoiqu'il manque les rootkits) , c'est plutot la méthode et le fait que ce ne soit QUE des fichiers à tester, différents cependant des suites type Eicar, car ne sont pas basés sur la signature (dixit le site), et c'est plus à destination de IE que de Firefox (les modules sont à venir dixit le site)
Perso, Bitdefender a tout bloqué au niveau du WebGuard aussi bien sous Firefox que sous IE car il sait que ce sont des fichiers Spycar donc la structure du fichier est quand meme identifiée. (je n'ai pu avoir le résultat avec le programme "TowTruck")

Néanmoins voici le résultat de virustotal sur un fichier pris au hasard :
On notera que ce n'est pas detecté par tout le monde, que ceux qui le detectents SAVENT que cela vient de la batterie de tests de Spycar, et pour d'autres (Symantec par ex) il s'agit d'un Dropper.

Image

___________________________________________________________
Autostart Tests

Click here make Spycar try to drop a file and install a Registry key to execute it under HKLM\Software\Microsoft\Windows\CurrentVersion\Run
http://www.spycar.org/Spycar_files/HKLM_Run.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
http://www.spycar.org/Spycar_files/HKLM_RunOnce.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
http://www.spycar.org/Spycar_files/HKLM_RunOnceEx.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKCU\Software\Microsoft\Windows\CurrentVersion\Run
http://www.spycar.org/Spycar_files/HKCU_Run.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
http://www.spycar.org/Spycar_files/HKCU_RunOnce.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
http://www.spycar.org/Spycar_files/HKCU_RunOnceEx.exe

Internet Explorer Config Change Tests

Click here to make Spycar try to change your default home page in IE
http://www.spycar.org/Spycar_files/IE-SetHomePage.exe

Click here to make Spycar try to lockout users from changing the default home page in IE
http://www.spycar.org/Spycar_files/IE-HomePageLock.exe

Click here to make Spycar try to change your default search page in IE
http://www.spycar.org/Spycar_files/IE-SetSearchPage.exe

Click here to make Spycar try to remove the Advanced Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... cedTab.exe

Click here to make Spycar try to remove the Programs Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... amsTab.exe

Click here to make Spycar try to remove the Connections Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... onsTab.exe

Click here to make Spycar try to remove the Content Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... entTab.exe

Click here to make Spycar try to remove the Privacy Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... acyTab.exe

Click here to make Spycar try to remove the Security Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... ityTab.exe

Click here to make Spycar try to remove the General Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... ralTab.exe

Network Config Change Tests

Click here to make Spycar try to add an entry to your hosts file (typically c:\windows\system32\drivers\etc\hosts)
http://www.spycar.org/Spycar_files/AlterHostsFile.exe
Dernière modification par Contact75 le 01 mai 2008 13:59, modifié 1 fois.
chef

Re: Testez vos défenses antispyware avec Spycar

par chef »

kikou,
perso j'ai même pas le temps de finir de les télécharger que windows defender les bloques, et me signale que c'est dangereux.
même se lien:
http://www.spycar.org/Spycar_files/TowTruck.exe
il le considéré comme dangereux PDT_019
Maijin

Re: Testez vos défenses antispyware avec Spycar

par Maijin »

ouais c'est un style eicar, j'essayerai sur mon vieux mac os classic si le vieux "virus je sais plus quoi (nom d'un antivirus)" le détecte et/ou l'ancien norton dont je ne me souviens plus du nom. (si ça vous revient les curieux )
Invité

Re: Testez vos défenses antispyware avec Spycar

par Invité »

j'ai pas tout testé mais antivir me bloque tout ce que j'ai cliquer
Sacles

Re: Testez vos défenses antispyware avec Spycar

par Sacles »

Bonjour,
j'ai pas tout testé mais antivir me bloque tout ce que j'ai cliquer
Tu as sans doute une version spéciale.

Antivir ne réagit aucunement (ni on access ni on demand) au fichier HKLM_Run.exe et sans doute à d'autres.

Par contre, mon HIPS réagit (je n'ai pas testé tous les fichiers) lors de la tentative de modification du registre (et évidemment me demande mon accord pour que le programme s'exécute).

D'où toujours la même question: bloquer ce qui est interdit (liste noire) ou autoriser uniquement ce qui est permis (liste blanche)?

Salut.
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Testez vos défenses antispyware avec Spycar

par Cyborg »

Sacles a écrit :
j'ai pas tout testé mais antivir me bloque tout ce que j'ai cliquer
Tu as sans doute une version spéciale.
Le Webguard d'Antivir ne le bloque pas à la volée? PDT_013
Sacles a écrit :Par contre, mon HIPS réagit (je n'ai pas testé tous les fichiers) lors de la tentative de modification du registre (et évidemment me demande mon accord pour que le programme s'exécute).
Ouaip, mais là, on revient sur le fait que toi, tu sais qu'il faut pas l'installer. PDT_018

Par contre, si j'en crois le test de Virustotal, ça veut dire que certains antivirus bloquent ces programmes avant même que ceux-ci soient exécuté? Reste à savoir maintenant si ces AV ont une bonne heuristique, ou simplement une bonne BDD dans laquelle sont marquées les signatures utilisées par SpyCar (cf la liste noire de Sacles). Et c'est très probablement cette dernière qui est le cas. Donc il suffit que les mises à jour des AV suivent les mises à jour de Spycar et le tour est joué. Dans ce cas, ce n'est plus un signe de performances de l'AV...
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
Sacles

Re: Testez vos défenses antispyware avec Spycar

par Sacles »

Bonjour,

Je confirme, aucune réaction d'Antivir pour HKLM_Run.exe (même en réglant "Heuristique" sur Hight). Si je ne le bloque pas par le HIPS le test va jusqu'au bout.

Salut.
Dernière modification par Sacles le 31 mai 2008 07:28, modifié 1 fois.
portesouvertes

Re: Testez vos défenses antispyware avec Spycar

par portesouvertes »

Bonjour,
Lecteur de vos ecrits, je tenais a vous communiquer mes résultats:

l'os: xp sp3
le navigateur:firefox
Les protections: nod 32 antivirus, Process guard, jetico, boclean, tea timer

Au téléchargement, seul nod 32 se manifeste, empechant les téléchargements de:
-http://www.spycar.org/Spycar_files/IE-K ... onsTab.exe probably a variant of Win32/Hoax.
-http://www.spycar.org/Spycar_files/IE-HomePageLock.exe probably a variant of Win32/Hoax.
-http://www.spycar.org/Spycar_files/IE-SetHomePage.exe probably a variant of Win32/Hoax.
-http://www.spycar.org/Spycar_files/HKLM_Run.exe probably a variant of Win32/Hoax.

Tous les autres fichiers sont donc téléchargés.

A l'éxécution de ces fichiers, il faut bien évidement répondre à process guard en autorisant ou non leur exécution.
Là, boclean a systématiquement réagit, sur tous, supprimant avec succès les dits fichiers.

Un bémol, sur boclean, il n'a su empecher les logiciels de faire le mal, puisque après chaque intervention de boclean, j'avais droit
0 des alertes de tea timer qui me demandait d'autoriser ou non les changement dans le registre, que j'ai refusé.

En conclusion, qui est personnelle et bien évidement discutable,les seuls logiciels qui m'auront vraiment protégé, sont le tea timer de spybot et process guard, des logiciels ou c'est l'humain qui décide.......

J'avoue etre déçu par nod 32, vendu par son éditeur comme une protection anti-virale et spyware........., et etre tout de meme agréablement surpris par boclean qui a tout détecté, sans exection, dommage qu'il ne m'est pas empeché de télécharger.

Voilà mon retour, ça vaut ce que ça vaut
Avatar de l’utilisateur
devadip
Messages : 969
Inscription : 25 févr. 2008 20:01

Re: Testez vos défenses antispyware avec Spycar

par devadip »

Contact75 a écrit :http://infomars.fr/forum/index.php?showtopic=1700

_________________________________________________________
Autostart Tests

Click here make Spycar try to drop a file and install a Registry key to execute it under HKLM\Software\Microsoft\Windows\CurrentVersion\Run
http://www.spycar.org/Spycar_files/HKLM_Run.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
http://www.spycar.org/Spycar_files/HKLM_RunOnce.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
http://www.spycar.org/Spycar_files/HKLM_RunOnceEx.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKCU\Software\Microsoft\Windows\CurrentVersion\Run
http://www.spycar.org/Spycar_files/HKCU_Run.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
http://www.spycar.org/Spycar_files/HKCU_RunOnce.exe

Click here to make Spycar try to drop a file and install a Registry key to execute it under HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
http://www.spycar.org/Spycar_files/HKCU_RunOnceEx.exe

Internet Explorer Config Change Tests

Click here to make Spycar try to change your default home page in IE
http://www.spycar.org/Spycar_files/IE-SetHomePage.exe

Click here to make Spycar try to lockout users from changing the default home page in IE
http://www.spycar.org/Spycar_files/IE-HomePageLock.exe

Click here to make Spycar try to change your default search page in IE
http://www.spycar.org/Spycar_files/IE-SetSearchPage.exe

Click here to make Spycar try to remove the Advanced Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... cedTab.exe

Click here to make Spycar try to remove the Programs Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... amsTab.exe

Click here to make Spycar try to remove the Connections Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... onsTab.exe

Click here to make Spycar try to remove the Content Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... entTab.exe

Click here to make Spycar try to remove the Privacy Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... acyTab.exe

Click here to make Spycar try to remove the Security Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... ityTab.exe

Click here to make Spycar try to remove the General Tab in your IE Internet Options Screen
http://www.spycar.org/Spycar_files/IE-K ... ralTab.exe

Network Config Change Tests

Click here to make Spycar try to add an entry to your hosts file (typically c:\windows\system32\drivers\etc\hosts)
http://www.spycar.org/Spycar_files/AlterHostsFile.exe
slt saclès. ma version d'antivir est une version normale.
j'ai testé de nouveau tous les liens au dessus et antivir à tout bloqué. par contre, j'ai aussi spyware terminator mais lui n'a rien détecté. c'est grave docteur?
Sacles

Re: Testez vos défenses antispyware avec Spycar

par Sacles »

Bonjour,
j'ai testé de nouveau tous les liens au dessus et antivir à tout bloqué.
C'est le week-end, j'ai un peu plus de temps...

Première expérience avec Antivir Premium et ses réglages par défaut

1. Un clic sur le lien ci-dessus à partir de Firefox > Proposition d'enregistrer HKLM_Run.exe > J'accepte > HKLM_Run.exe est sur mon DD sans aucune réaction d'Antivir Premium.
2. Analyse "On demand" (à partir d'un clic droit sur ce fichier) > No Detection.
3. Analyse "On Access" (exécution de HKLM_Run.exe) > Antivir ne bronche toujours pas et HKLM_Run.exe s'exécute.

Deuxième expérience avec Antivir, ses réglages par défaut + Sécurity Privacy Risk coché

1. Antivir réagit dès le clic sur le lien ci-dessus.
2. Analyse "On demand" > réaction d'Antivir
3. Analyse "On Access" > réaction d'Antivir

Idem avec les autres liens.

----------
Extrait de l'aide d'Antivir
"Security Privacy Risk (SPR)
Software that maybe is able to compromise the security of your system, initiate unwanted program activities, damage your privacy or spy out your user behavior and might therefore be unwanted.

Avira AntiVir Premium detects "Security Privacy Risk" software. If the option Security Privacy Risk is enabled with a check mark in the configuration under Extended threat categories, you receive a corresponding alert if Avira AntiVir Premium detects such software."


---------
Pour activer Security Privacy Risk
Clic droit sur l'icône d'Antivir > Configure Antivir > General (Expert mode doit être coché) > Extended threat categories > Cocher Security Privacy Risk.

Vous pouvez aussi tout cocher (conseillé par Tesgaz ici http://speedweb1.free.fr/frames2.php?page=tuto5 ) mais plus il y a de catégories sélectionnées, plus le risque de faux-positifs augmente. A chacun de voir.

Salut.
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Testez vos défenses antispyware avec Spycar

par Cyborg »

Merci de la précision, Sacles. PDT_002

Apparemment, elle est pas bête cette option. Faudrait vori quelle genre de problèmes arrêtent les autres options... Parce que les faux-positifs, c'est chiant.
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi

Revenir à « Sites et liens utiles »