Questions sur l'efficacité de certains outils antivirus

[sioban]

Bonjour,

Je cherche à savoir si certains outils fonctionnent mieux que d'autres pour empêcher une infection.
Actuellement, j'ai parc de machine tournant sous McAfee Virusscan pilotés par EPO.
Je me demande si c'est un bon choix.

McAfee n'est ni pire ni meilleur qu'un autre mais j'ai entendu dire que la partie antispyware est déplorable.
Y-a-t-il des fonctionnalités particulièrement intéressantes absolument à mettre en oeuvre sur Virusscan ?

Existe-t-il une autre approche que le couple antivirus/antispyware comme la détection comportementale qui soit aboutie et efficace ?

Connaissez vous l'outil de réparation de McAfee, Stinger, et si oui est-il efficace ?

Merci pour vos infos !

Sioban

[Malekal_morte]

Salut,

McAfee s'améliore.
Sinon je ne connais pas du tout l'antivirus (fonctionnalités etc).
Si tu as des questions particulières, le mieux serait d'aller sur leur forum s'ils en ont un.

[Engil Hramn]

Connaissez vous l'outil de réparation de McAfee, Stinger, et si oui est-il efficace ?

C'est juste un fix pour une infection précise, oublie ça. :-)
Salut.

[sioban]

@Malekal: merci pour l'info, tu parles de l'AV ou de l'AS ?
Mais j'aimerais éviter de leur poser directement la question, les réponses marketing ne m'intéresse pas

@Engil : c'est capable de réparer plusieurs type d'infection ou c'est extrêmement ciblé ? Par exemple est-ce que ça aurait sa place a coté d'un CComboFix ?

[Engil Hramn]

Salut,
Non, c'est vraiment très très ciblé ;)
Quant à CF, fait attention si tu t'en sert... c'est puissant, certe, mais dangereux.
@+

[sioban]

ok pour stinger ;)
thanks

[Malekal_morte]

@Malekal: merci pour l'info, tu parles de l'AV ou de l'AS ?

Je ne sais pas, je parle de cela par rapport au scan virustotal et surtout l'ajout de la technologie Artemis.
Je ne pense pas qu'il faillie faire la différence entre l'antivirus et l'antispyware, car il viendra un moment où leur antivirus fera antispyware (si c'est pas déjà le cas).

L'heure est à la globalisation des solutions donc les antivirus incorporent maintenant la détection de spywares/adwares.

[sioban]

Ajourd'hui c'est une licence séparée.

Mais quand on voit l'efficacité d'un malware byte ou d'un trojan remover, on aimerait bien voir des tests de comparaison dans ce domaine ;)

[Malekal_morte]

Malwarebyte est bon pour désinfecter/supprimer, il faut le voir comme un mélange de fix/scanner.

Je ne suis pas certains du tout que Malwarebyte soit meilleur qu'un McAfee (surtout avec Artemis) en amont, j'entends en protection résidente etc.
(J'entends tjrs d'ordre général, Malwarebyte étant un antimalware, donc faut pas le comparer simplement à l'antispyware de McAfee).

Donc là moi, pour caricaturer c'est comme si tu disais "McAfee il est moins bon que Combofix".

[sioban]

ok autant pour moi ;)

[sioban]

Sinon, avez vous un peu d'expérience sur les outils d'analyse comportementale ?
J'ai lu avec intérêt l'article un point sur les antivirus et plus particulièrement le point de vue d'HSC et je suis assez d'accord avec le contenu

[Malekal_morte]

Non pour le comportementale, il y a VIPRE Antivirus de Sunbelt qui incopore cela : http://forum.malekal.com/viewtopic.php? ... 42#p144956
Je tâcherai de jeter un oeil.

[sioban]

Sympa !

[sioban]

Je ne suis pas certains du tout que Malwarebyte soit meilleur qu'un McAfee (surtout avec Artemis) en amont, j'entends en protection résidente etc.

J'ai jeté un oeil sur Artémis, la techno semble intéressante mais je suis très sceptique quant à son utilisation en entreprise :
- le système envoi le fichier (inconnu) sur un site web pour le lancer dans une sandbox et étudier son comportement, suite à ça il en déduit sa nocivité

J'y vois trois problèmes :
- il faut que le poste puisse envoyer sur internet le fichier, en entreprise ce n'est pas forcément gagné (proxy, proxy authentifié, etc)
- si le fichier envoyé est confidentiel, certaines entreprises peuvent s'avérer plutôt frileuse à ce sujet
- le serveur étant aux US, il faut savoir qu'ils ouvrent systématiquement tout fichiers, donc... voir point 2

Il semblerait aussi que cela augmente pas mal le risque de faux positifs.

Il faut, à mon avis, que les entreprises révisent leur façon de fonctionner. Plutôt que de faire du scan lourd sur les postes, il faut s'orienter soit sur du comportemental (si les postes sont profilables), soit sur du scan local léger. Que sur les serveurs il y ait un AV différent (oui ça pose un soucis d'administration, il faut 2 outils d'administration global, ça coûte cher). Et enfin renforcer de façon significative les scans heuristiques sur tous les points d'entrées (HTTP, Mail, Clés USB, CD, D7, FTP, etc).

My 2 cents...

[Malekal_morte]

- il faut que le poste puisse envoyer sur internet le fichier, en entreprise ce n'est pas forcément gagné (proxy, proxy authentifié, etc)

Possible que ce ne soit pas le client Antivirus installé sur le poste qui l'envoit mais le serveur d'antivirus, et souvent, il y a moins de restrictions à partir des serveur (ça me paraît plus logique comme infrastructure surtout pour paramétrer plus facilement derrière).
On peux aussi mettre les adresses McAfee en liste blanche, autoriser l'envoi de binaire ou FTP/SMTP selon comment il envoit juste pour le serveur.etc.

Il n'est pas installé chez vous ? J'aimerai bien avoir des infos, ça serait interressant.

- si le fichier envoyé est confidentiel, certaines entreprises peuvent s'avérer plutôt frileuse à ce sujet

Ouaip mais surement qu'à l'installation c'est écrit explicitement et qu'il faut cocher une case pour accepter les conditions d'utilisation.

Ensuite, je ne suis pas certains que le fichier soit envoyé dans son intégralité (même si y a de grandes chances), ensuite il doit y avoir des règles pour envoyer des fichiers suceptibles d'être un malware... genre limite de taille, je vois mal le zinzin envoyer un setup MSI de 4 ou 50 Mo ou un fichier Excel de compta.
Donc plutôt des files de ~ 100 ko, avec des packers inconnus ou des packers connus pour être utilisés par les malwares (UPX, amarillo etc), la localisation C:\, %temp%, comment il est venu HTTP etc.
Possible que ce soit simplement des URL avec l'adresse du binaire qui soit seulement remontés.

Il semblerait aussi que cela augmente pas mal le risque de faux positifs.

Ouaip mais bon ça..... c'est tous à la même enseigne.
L'ajout de détection générique apporte bcp de FP.
Si tu regardes Avast! (et aussi BitDefender) depuis la version 4.8 où ils bossent bcp les détections génériques, il y a bcp plus de FP.

-Il faut, à mon avis, que les entreprises révisent leur façon de fonctionner. Plutôt que de faire du scan lourd sur les postes, il faut s'orienter soit sur du comportemental (si les postes sont profilables), soit sur du scan local léger. Que sur les serveurs il y ait un AV différent (oui ça pose un soucis d'administration, il faut 2 outils d'administration global, ça coûte cher). Et enfin renforcer de façon significative les scans heuristiques sur tous les points d'entrées (HTTP, Mail, Clés USB, CD, D7, FTP, etc).

Quand tu dis comportemental, tu parles des antivirus à la place du scan ? ou changer le comportement des utilisateurs ?

Je pense qu'une bonne politique de sécurité passe par des restrictions sur les postes :
Dans la mesure du possible : ne pas faire tourner les utilisateurs en session avec pouvoir.
Une bonne polique de GPO.
Interdire le téléchargement de binaire
et ouais les points d'entrées : bloquer les services à la con : MSN, P2P etc.
Attention aux disques amovibles etc.
Voir faire des groupes utilisateurs avec certains droits différents selon les besoins utilisateurs.
(y a déjà un topic qq part avec ce genre de discussions).

Les personnes qui se font infecter chez elles, sont des personnes qui ne maitrisent pas donc déjà si tu les bloques (téléchargement, installer des trucs etc), ça limite la casse.
Or sécurité, ça évite aussi qu'il plante le PC.

Bref faut réduire les chances d'infections au minimum.