Nécessité d'un AntiRootkit ?

VertigO · par **VertigO** » 28 août 2007 09:59

Bonjour à tous,

Je reviens à l'instant d'une conversation sur un forum à propos de la nécessité d'un AntiRootkit (je parle ici d'AVG AntiRootkit). Le débat portait sur:

Pensez vous qu'il soit nécessaire d'avoir un AntiRootkit lorsque l'on fait une utilisation d'internet en "bon père de famille"?

Mon avis est que ce n'est pas nécessaire, car si internet est utilisé correctement, un pare-feu, un antivirus et un antispyware sont suffisants (même si pour ma part, je ne possède que le pare-feu de Windows et NOD32 car je suis - à présent - le seul utilisateur de cet ordinateur).

J'aimerai cependant avoir votre avis ! Qu'en pensez vous ? Nécessité ou pas ?

PS: je ne conteste pas l'utilité d'un AntiRootkit.

VertigO

vegeta67 · par **vegeta67** » 28 août 2007 10:48

ben moi je l'ait installer, avg antirootkit (que je trouve tres bien d'ailleurs car les infections type rootkit sont de plus en plus presente et au moins on le sait de suite si l'on a ete rootkité !! perso ça ne m'est jamais arriver en fesant attention biensur et en nettoyant quotidiennement le pc avec cCleaner !!)

Je trouve que c'est dommage de ne pas l'installer deja qu'il ne prend que 2.30 MO dans ajout/suppr donc vraiment tres peut de place, pas de cpu utiliser donc aucun ralentissement ou autres choses et aucun conflits !!
Juste a faire un petit scan une fois par semaines (il est tres rapide) ou si l'on a un doute et voilà !!

J'aurais une petite question !! AVG anti-rootkit detecte t-il une infection de type magicControl qui utilise des techniques de rootkit ??
merci pour vos reponses et perso je recommande ce soft !! pour les raisons cité plus haut !! (biensur je le considere comme un plus mais pas comme "mes softs de securité indispensable" comme l'est le firewall et l'antivirus, pour moi egalement avg anti-spyware que je trouve super !! de loin le leilleurs en tout cas surtout avec le guard !! mon trio: AV, AVG anti-spyware et pas un autre !! et pare-feu !!)

géto21 · par **géto21** » 28 août 2007 11:39

Bonjour,

VertigO,

J'utilise également Nod32 et le Firewall de XP SP2 + W.Defender
je suis également le seul à utiliser l'ordinateur et je n'ouvre mes navigateurs et mon client de messagerie qu'avec Sandboxie.
Mon navigateur de prédilection et Mozilla Firefox + Adblock plus + NoScript
Je vérifie mes téléchargements avant de les installer avec VirusTotal.
Une fois par semaine un nettoyage "complet" avec CCleaner.

Donc je pense exactement comme toi, il n'est pas nécessaire d'installer un anti-rootkit, je pense que mes protections sont largement suffisantes et je surf sain, en évitant les sites à risques.

par **Malekal_morte** » 28 août 2007 15:43

NOD32 il voit pas les rk, j'avais essayé une fois et j'ai posté en commentaire sur le "comparatif" (oui avec des ") de clubic.

Sinon un antirootkit, ça peut être sympa, et ça mange pas de pain de scanner de temps en temps, attention au FP.
Mais bon même si les rk sont capables de se dissimuler, faut pas tourner à la paranoia, d'autant plus qu'en général quand ils sont présents :
- Il arrive pas par l'opération du saint esprit, mais souvent suite à une grosse infection, donc là le scan rk est casi obligatoire.
- Si Rk présent, soit ralentissement durant le surf, soit plantage souvent de la bécanne (BSOD) donc là pareil, on peut se douter de qq chose..

VertigO · par **VertigO** » 28 août 2007 16:39

Merci pour ces réponses,

Je penses comme vous GeTo21 et Malekal_Morte. C'est vrai que cela peut quand même être intéressant d'en installer un et de scanner de temps en temps, sans toutefois comme l'a dit Malekal, tomber dans la paranoïa.

Comment faire, cependant, pour un utilisateur moyen d'internet (celui qui ne s'y connait pas vraiment mais qui utilise internet de manière propre) pour identifier les FP, mis à part venir sur ce forum et demander ?

Cette personne ne va-t-elle pas soit supprimer des fichiers légitimes, soit laisser passer des Rootkit ?

Je ne sais pas... Vous me direz "c'est son problème", mais pour ma part, je me vois mal conseiller à une personne un Antirootkit, et l'entendre me dire deux semaines plus tard que le programme que je lui ai recommandé a bousillé son PC (ou plutôt, l'utilisation approximative qu'elle en a fait

).

EDIT: Je vais passer sur ce PC à Antivir car ma licence Nod32 prend fin. Sur mon portable, plus ce tracas: je passe bientôt au Manchot !

Merci encore pour vos réponses

géto21 · par **géto21** » 28 août 2007 17:06

Re,

Malekal a écrit :
NOD32 il voit pas les rk, j'avais essayé une fois et j'ai posté en commentaire sur le "comparatif" (oui avec des ") de clubic.

j'avais lu ton commentaire en son temps, je crois qu'il s'agissait de la version 2.5 ou antérieur.

question : au vu de cette copie d'écran (ci-dessous), est-ce de la publicité mensongère ?

Seconde question : un rk peut il passer au travers du bac à sable de Sandboxie ?

Je reste sous W.XP sp2 tant que nous bénéficions des màJ, après je ne passerai pas à Vista mais à GNU/Linux.

par **Malekal_morte** » 29 août 2007 00:36

Pas essayé cette version, donc je peux rien dire.

Un rk ou autres malwares peuvent passer la sandboxie en utilisant des failles sur le logiciel de sandboxie, débordement de tampon etc..

Sacles · par **Sacles** » 29 août 2007 06:08

Bonjour,

Comme antirootkit, je fais confiance à mon HIPS (SSM) tout en sachant qu'aucune protection n'est fiable à 100% (mais je suis très loin de la paranoïa).

http://membres.lycos.fr/nicmtests/Unhoo ... _tests.htm

Mise à jour (montrant l'adaptation notamment de SSM qui passe positivement tous les tests de nicM).

Salut.

géto21 · par **géto21** » 29 août 2007 17:23

Bonjour,

Merci Malekal et Sacles pour vos réponses

Oui Sandboxie doit être mis à jour comme tous les logiciels majeurs, et une visite de temps à autre sur le site de l'auteur ne peut être que bénéfique lorsque l'on utilise son produit : la dernière version est la 3.01 du 25 août 07.

Merci Sacles pour ton lien sur le test de ton HIPS (SSM), très intéressant surtout après avoir lu celui-ci

Je vais télécharger cet HIPS, j'espère simplement ne pas avoir une incompatibilité avec mon AV.

vegeta67 · par **vegeta67** » 29 sept. 2007 15:17

SALUT,
installe Antivir !! y'a un scan anti-rootkit intégrer a l'AV !! cordialement

Sacles · par **Sacles** » 29 sept. 2007 16:30

Bonjour,

J'ai toujours préféré prévenir que guérir.

Un scan positif (si on peut dire) ne fait jamais que révéler l'échec des protections.

Salut.

géto21 · par **géto21** » 29 sept. 2007 20:39

Bonsoir,

vegeta67 a écrit :installe Antivir !! y'a un scan anti-rootkit intégrer a l'AV !! cordialement

Je n'ai aucunement l'intention de changer ni mon comportement sur le Web, ni mon système de protection ! Et mes logiciels majeurs sont mis à jour et vérifiés régulièrement avec "Sécunia".

Voici 3 ans que je fais confiance à Nod32, et pas un "scann positif" comme le dit Sacles, et jamais d'alertes, alors tout va bien pour le moment. Et je suis conscient que les choses peuvent évoluer ... à ce moment là, je choisirai une distribution Linux.

Bonne soirée,

par **Malekal_morte** » 29 sept. 2007 20:41

Si tu restes avec ce comportement, tu n'auras aucun souci !
Néanmoins, tu n'es pas obligé d'attendre que quelque chose se passe pour passer à GNU/Linux

géto21 · par **géto21** » 29 sept. 2007 20:48

Bonsoir Malekal,

Pour être franc, j'attends surtout d'avoir ma seconde machine, qui me permettra d'y faire des essais et l'apprentissage.

Diamond · par **Diamond** » 29 sept. 2007 20:57

Bonsoir Geto21 !

Toi aussi ?