Avis sur MBAM

[Hauwee]

Bonsoir,

J'utilise régulièrement Malwarebyte's Anti-Malware qui est souvent cité comme une référence (au delà d'Adware et SPybot, et autres antivirus) en terme d'analyse et de désinfection.
Je viens d'effectuer un examen complet. Un cheval de Troie a été trouvé. Celui-ci est en fait un fichier CMD que j'ai créé et qui fait appel à un fichier REG. Donc c'est une fausse alerte.

D'où plusieurs questions :
- Quelle est la fiabilité de MBAM (en sachant qu'aucun outil n'est parfait) ?
- Si MBAM est aussi fiable que certains antivirus, comment cela se fait-il qu'on ne le voit jamais dans les tests antivirus (notamment avec sa version payante avec bouclier temps réel) ?
- Au même titre que MBAM, est-ce que les outils style ComboFix sont fiables à 100% ?

Merci

[SkyTech]

Salut,

- Quelle est la fiabilité de MBAM (en sachant qu'aucun outil n'est parfait) ?

Comme tous les Fix il peux faire des erreurs, tu devrais poster le rapport pour qu'on puisse te dire si c'est une détection générique\heuristique.

- Si MBAM est aussi fiable que certains antivirus, comment cela se fait-il qu'on ne le voit jamais dans les tests antivirus (notamment avec sa version payante avec bouclier temps réel) ?

Car ne n'est pas un antivirus.

Il est dans la catégorie Antimalware donc tu peux à la rigueur e retrouver dans ces tests là.

- Au même titre que MBAM, est-ce que les outils style ComboFix sont fiables à 100% ?

Non il peuvent et font même, des faux positifs régulièrement mais cela ne se voit pas forcément car tous le monde n'utilise pas forcément les même logiciels, le détection n'empêche pas le fonctionnement du PC, ...

Pour rappel ComboFix n'est pas un joué.

[Hauwee]

Voici le rapport MBAM :
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2039
Windows 6.0.6001 Service Pack 1

25/04/2009 21:25:17
mbam-log-2009-04-25 (21-25-17).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 286722
Temps écoulé: 4 hour(s), 45 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\TestValReg.cmd (Trojan.Agent) -> Quarantined and deleted successfully.


Dans MBAM, à quoi voit-on que c'est suite à une analyse "sur base" ou une analyse heurisitique ?

Qu'entends-tu comme différence entre "antivirus" et "anti-malware" en sachant que l'un et l'autre détectent virus, vers, trojan, rootkit, keylogger ... Certes avec plus ou moins de réussite !
As-tu un site où on peut trouver des tests sur les anti-malwares ?

Il est clair que ComboFix n'est pas un jouet mais d'un autre côté il est censé éradiquer des menaces avérées. Comme son utilisation n'a rien de compliqué, il n'y a normalement aucun problème à l'utiliser, même pour un novice

[SkyTech]

Re,

Dans MBAM, à quoi voit-on que c'est suite à une analyse "sur base" ou une analyse heurisitique ?

Ça dépend du noms donné au fichier trouvé exemple ici :

Trojan.Agent c'est du générique (pas de l'heuristique)

Exemple d'une détection heuristique de MalwareBytes :

Heuristics.Reserved.Word.Exploit

Sur certains AV tu remarques les détections génériques et heuristiques car à la fin de la détection tu as .gen ou .heur

Exemple d'une détection de BitDefender :

Exploit.PDF-JS.Gen

Après tu peux avoir "des familles" de générique, exemple avec Antivir :

TR/Dropper.Gen
TR/Crypt.XPACK.Gen
HTML/Infected.WebPage.Gen

Qu'entends-tu comme différence entre "antivirus" et "anti-malware" en sachant que l'un et l'autre détectent virus, vers, trojan, rootkit, keylogger ... Certes avec plus ou moins de réussite !
As-tu un site où on peut trouver des tests sur les anti-malwares ?

Maintenant y a plus bcp de différences, sache aussi que à la base les Antimalwares étaient plutôt la pour faire le ménage que pour protéger, une des différences qui existait aussi avant c'était l'AV n'avait d'antipsywares et que l'AM lui en avait un bref maintenant ça plus dire grand chose...

Il est clair que ComboFix n'est pas un jouet mais d'un autre côté il est censé éradiquer des menaces avérées. Comme son utilisation n'a rien de compliqué, il n'y a normalement aucun problème à l'utiliser, même pour un novice

Y a des cas ou ComboFix ne doit jamais être utilisé que seul les helpers connaissent, style ne pas utiliser ComboFix sur Windows 2000 Server, ces la volonté de son auteurs de ne pas expliquer son utilisation plus que ça...

[Hauwee]

Merci pour les infos.

Maintenant y a plus bcp de différences, sache aussi que à la base les Antimalwares étaient plutôt la pour faire le ménage que pour protéger, une des différences qui existait aussi avant c'était l'AV n'avait d'antipsywares et que l'AM lui en avait un bref maintenant ça plus dire grand chose...

Au moins ça rejoint mon avis

Y a des cas ou ComboFix ne doit jamais être utilisé que seul les helpers connaissent, style ne pas utiliser ComboFix sur Windows 2000 Server, ces la volonté de son auteurs de ne pas expliquer son utilisation plus que ça...

Oui c'est sur que sur Windows 2000 Server faut mieux pas ... D'ailleurs les OS 2000 sont toujours un peu à part dans bien des domaines

[SkyTech]

Re,

Pour en revenir à ton fichier, tu peux toujours l'envoyer à MalwareBytes pour qu'ils le mettent en liste blanche.

http://forum.malekal.com/viewtopic.php?f=79&t=18632