VirusKeeper

[Malekal_morte]

Suite à ce post http://forum.malekal.com/viewtopic.php?f=46&t=8145
Voici un petit test rapide de VirusKeeper,

Sur le site http://www.viruskeeper.com/fr/viruskeeper.htm, on peut lire :

Contrairement à une grande partie des antivirus qui se limitent à détecter les virus connus à partir d'une base de signatures qui doit sans cesse être mise à jour et qui laissent passer les nouveaux virus, VirusKeeper analyse le comportement des programmes sur votre PC et identifie les programmes nuisibles. Pour augmenter encore le niveau de protection de votre système, vous pouvez bien sûr utiliser VirusKeeper en plus de votre scanner antivirus habituel.

Concrètement, VirusKeeper est un antivirus comportementale qui détecte les éléments infectieux de par leur comportement et non via une base de définition virale.
La version pro comprend :

• Une protection antivirus
• Un antispyware
• Un scanneur rootkit

Pour plus d'informations, voir cette page du site : http://www.viruskeeper.com/fr/versions.htm

Voici un peu test de VirusKeeper avec les infections suivantes :

• Adware/NaviPromo/Magic.Control
• Trojan.DNS
• Spyware/Virtumonde/Vundo
• Exploit sur un site WEB
• Adware/VideoAddon : via de faux codecs
• Vers MSN et Rbot
• Bagle

Magic.Control

VirusKeeper ne réagit pas.
L'analyse comportementale lancée manuellement ne détecte aucun programme malicieux.





Trojan.DNS

Pour cela j'installe un faux codec



Le Trojan.DNS kdxxxx.exe est alors installé sur le système.
Le scanneur anti-rootkit de VirusKeeper ne détecte rien.



et la configuration DNS modifiée :






VideoAccess

VideoAccess s'installe sans souci bien que VirusKeeper ouvre une fenêtre d'alerte.
Les DLL sont bien chargés et une barre d'outils néfastes est apparus sur le navigateur WEB qui redirige vers des sites de rogues ou affichent de fausses alertes de sécurité



Les scanneurs de VirusKeeper ne détecte rien de néfaste.







Virtumonde

Installé via un faux codec, on notera que ce faux codec date de la semaine du 20 Janvier, soit casi un mois, je vous laisse juge du scan VT :

installer.exe --> http://www.virustotal.com/fr/analisis/8 ... d9b99732f1
Fichier installer.exe reçu le 2008.02.16 12:11:40 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 21/32 (65.63%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.16.10 2008.02.15 Win-Trojan/Pakes.167696
AntiVir 7.6.0.67 2008.02.15 TR/Pakes.bzl
Authentium 4.93.8 2008.02.15 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.1098.0 2008.02.15 -
AVG 7.5.0.516 2008.02.15 Generic9.ASDR
BitDefender 7.2 2008.02.16 Trojan.Zlob.BVP
CAT-QuickHeal None 2008.02.16 Trojan.Pakes.bzl
ClamAV 0.92.1 2008.02.15 Trojan.Pakes-1096
DrWeb 4.44.0.09170 2008.02.16 -
eSafe 7.0.15.0 2008.02.14 Win32.Pakes.bzl
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.15 -
FileAdvisor 1 2008.02.16 -
Fortinet 3.14.0.0 2008.02.16 W32/Pakes.BZL!tr
F-Prot 4.4.2.54 2008.02.15 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.15 W32/Smalltroj.CNZP
Ikarus T3.1.1.20 2008.02.16 Trojan.Win32.Pakes.bzl
Kaspersky 7.0.0.125 2008.02.16 Trojan.Win32.Pakes.bzl
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.16 -
NOD32v2 2880 2008.02.15 -
Norman 5.80.02 2008.02.15 W32/Smalltroj.CNZP
Panda 9.0.0.4 2008.02.15 Suspicious file
Prevx1 V2 2008.02.16 -
Rising 20.31.30.00 2008.02.14 Packer.Win32.VmpPacker.a
Sophos 4.26.0 2008.02.16 Mal/Generic-A
Sunbelt 2.2.907.0 2008.02.14 WMVMedialease Inc. (v)
Symantec 10 2008.02.16 -
TheHacker 6.2.9.221 2008.02.15 Trojan/Pakes.bzl
VBA32 3.12.6.1 2008.02.14 Trojan.Win32.Pakes.bzl
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 Trojan.Pakes.bzl
Information additionnelle
File size: 167696 bytes
MD5: 7d93c2f8dfc95e29ac61af34c2369bde
SHA1: 10315bd2f756b659cfdaa724625f1cf8561587ec
PEiD: -
packers: Klone.AF

dfjjifdf.dll ---> http://www.virustotal.com/fr/analisis/b ... 29a5625e48

Fichier dfjjifdf.dll reçu le 2008.02.16 12:10:40 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 15/32 (46.88%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2008.02.15 -
Avast 4.7.1098.0 2008.02.15 -
AVG 7.5.0.516 2008.02.15 Generic9.ASDP
BitDefender 7.2 2008.02.16 Trojan.Conhook.DA
CAT-QuickHeal None 2008.02.16 Trojan.Agent.fee
ClamAV 0.92.1 2008.02.15 -
DrWeb 4.44.0.09170 2008.02.16 -
eSafe 7.0.15.0 2008.02.14 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.15 -
FileAdvisor 1 2008.02.16 -
Fortinet 3.14.0.0 2008.02.16 -
F-Prot 4.4.2.54 2008.02.15 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.15 -
Ikarus T3.1.1.20 2008.02.16 Virus.Trojan.Win32.Agent.fee
Kaspersky 7.0.0.125 2008.02.16 Trojan.Win32.Agent.fee
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.16 Trojan:Win32/Conhook.B
NOD32v2 2880 2008.02.15 -
Norman 5.80.02 2008.02.15 W32/Smalltroj.CJTL
Panda 9.0.0.4 2008.02.15 -
Prevx1 V2 2008.02.16 -
Rising 20.31.30.00 2008.02.14 Packer.Win32.VmpPacker.a
Sophos 4.26.0 2008.02.16 Troj/Agent-FXQ
Sunbelt 2.2.907.0 2008.02.14 VIPRE.Suspicious
Symantec 10 2008.02.16 Trojan Horse
TheHacker 6.2.9.221 2008.02.15 Trojan/Agent.fee
VBA32 3.12.6.1 2008.02.14 -
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 Trojan.Crypt.ULPM.Gen
Information additionnelle
File size: 138240 bytes
MD5: f33314f7863fe1c3fbdb83b788ed4277
SHA1: 1c936a485f2ed4388d825a4c547ad15f534a2482
PEiD: -
packers: Klone.AF
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

VirusKeeper ne réagit pas :






Infection via un exploit

VirusKeeper détecte bien le fichier à l'origine de l'infection...


On place le fichier en quarantaine mais ce dernier continue à être actif et télécharge les composantes de l'infection...


VirusKeeper lance des alertes mais l'infection continue à s'installer..




VirusKeeper détecte les éléments à posteriori, lorsque ces derniers sont démarrés afin d'évaluer leur comportement.
VirusKeeper détecte une bonne partie de l'infection mais pas tous les éléments.

Notamment cette infection installent des rootkits, voici une capture de deux rootkits (en rouge) via le programme Gmer.



Encore une fois, le scanneur rootkit de VirusKeeper ne détecte rien.




Vers MSN et Rbot

Quelques infections MSN...


VirusKeeper détecte toutes les infections une fois lancées et les place en quarantaine.



Cependant, une des infections MSN installent des rootkits... et encore une fois, le scanneur rootkit de VirusKeeper ne détecte rien.



Pour ce qui est des rbots, trois testés, VirusKeeper en détecte deux mais ne parvient pas en mettre un sur les deux en quarantaine.
Ce dernier reste donc actif.





Bagle

Bagle s'installe sans problème et supprime VirusKeeper, en tentant de relancer l'antivirus, on obtient un message d'erreur.



Mes impressions et conclusions :
La détection comportementale est interressante mais présente des risques selon mon avis :
En effet, afin d'évaluer si le comportement d'un fichier est néfaste ou non, le fichier doit être exécuté pendant un certains temps sur le système. Ceci est interessant pour une backdoor classique, par exemple, les Backdoor IRC MSN où VirusKeeper détecte toutes les infections et les place en quarantaine.
Cependant, dans le cas d'un trojan-downloader ou un rootkit dropper, ceci est dangereux, puisque cela laisse le temps pour le dit fichier d'effectuer les opérations pour lesquelles ils sont destinés comme nous l'avons par exemple vu, par exemple, pour l'infection qui s'installe via un exploit.
Dans le cas d'un rootkit, c'est ensuite trop tard, le scanneur rootkit de VirusKeeper qui semble bien léger. De même pour la partie antispyware.
Enfin dans certains cas, l'antivirus ne semble pas capable de mettre le fichier en quarantaine (selon comment il se charge sur le système) ou le type de fichiers, les DLL semble poser problème.

Personnellement, la protection reste moyenne, je ne recommanderai pas ce logiciel mais plutôt Antivir, se reporter aussi à la page : Sécuriser son ordinateur (version courte)

[djc]

MERCI......c'est sympa.

Bon,j'ai pris connaissance du test qui semble confirmer ...heu mon intuition.
Déja ,la mise a jour des signatures se fait ...tous les 8 jours et encore.

Pour l'instant,VK ne m'a rien signalé.Il faut dire que je surfe proprement.
Concernant le comportemental :j'ai associé VK au scan de NORTON livré gratuitement dans le pack de google.
Tous les jours ,je lançe le scan en automatique aprés ceux de VK.
Rien trouvé pour l'instant.

Question:Pourrait on y associer antivir,que j'avais installé précédemment sur tes conseils en neutralisant le bouclier et ne gardant que le scan afin d'éviter un conflit?

D'autre part,si tu me l'autorises,je me permettrais de faire parvenir a la société AXBX les résultats de ton test.

Je serais curieux de connaitre leur réaction,car pour l'instant ils ont répondu a deux de mes demandes.

VK a plusieurs problèmes.
1/L'aide a été rédigé pour xp et ne fonctionne pas sous vista
2/Sous vista ,l'affichage de la console est réduite (par moment)
On est obligé de désactiver VK en ensuite on recharge .
J'ai signalé cette curiosité a axbx qui m'a répondu de désinstaller et de réinstaller vK:Le problème demeure.
SOUS XP ....le programme fonctionne parfaitement bien.


merci encore
djc

[Malekal_morte]

Question:Pourrait on y associer antivir,que j'avais installé précédemment sur tes conseils en neutralisant le bouclier et ne gardant que le scan afin d'éviter un conflit?

Faut arreter la paranoïa ou alors tu n'as pas confiance dans les programmes que tu utilises.
Encore une fois, un seul antivirus par PC.

Tu parles de 8 jours pour VK, ça vole pas plus haut du côté de Symantec, entre autre pour cela que je ne le conseille pas et plutôt déconseille (comme Avast! et Mcafee pour les mêmes raisons).

Bref Antivir tout seul suffit bien avec le reste des conseils que l'on trouve sur ce site.

[djc]

Merci

Il faut dire aussi,qu'étant maintenant a la retraite,je donne bénévolement des cours de découverte de l'informatique dans un centre socio culturel.
Mes élèves....des personnes entre 60 et 90ans(hommes et femmes)

Il ne se passe pas une journée sans un dépannage ou je suis obligé de "chasser" les virus.
J'emploie antivir.
Problème:Les mises a jour sont assez problématiques.
Dernièrement,j'ai été obligé de passer deux pc sur le scan de kapersky afin de nettoyer.Antivir n'avait pas été mis a jour.
Je n'ai pas encore osé conseiller virus keeper.J'attends encore.

djc

[Malekal_morte]

Il ne se passe pas une journée sans un dépannage ou je suis obligé de "chasser" les virus.
J'emploie antivir.

hummm tu veux dire qu'ils infectent les PC de ton centre ?
ou ils viennent avec des PC infectés pour avoir de l'aide ?

[djc]

Le dépannage s'effectue chez eux et ils n'arrivent pas toujours a mettre a jour.

LES pc du centre sont équipés avec "heu" AVASt et sont souvent devenus de vrais zombies.
Périodiquement je nettoie sur le scan online de kapersky.

A la prochaine cession,je vais me résoudre a installer antivir et a le faire accepter par les autres intervenants.
Ce ne sera pas du gâteau ,car AVAST selon eux tient la route.

djc

[Malekal_morte]

bonne chance.

Il vaudrait, je pense, faire tourner les utilisateurs dans des sessions restreintes.

[AT]

Bonjour,

Il me semble que le site assiste en parle : http://assiste.forum.free.fr/viewtopic.php?t=15609
Merci pour tes articles malekal

Si je puis me permettre : tes messages prêtent parfois à confusion car on a l'impression en 1ier abord que le logiciel est bien et la conclusion ne saute pas au yeux pour un néophyte

Cordialement,

AT

[djc]

Effectivement j'ai été sur ce forum et je reste assez surpris des propos tenus.

En effet,il me parait sain que des internautes publient des tests d'efficacité sur les anti virus.

Yen amarre des tests bidons du genre"le mien est bon et l'autre c'est de la merde" sans autre argumentation.

Pour l'instant viruskeeper ne m'a pas déçu,car comme je l'écris je surfe proprement ce qui fait que je n'ai pas constaté d'alertes.
En plus je scane presque journalièrement afin de m'assurer de la propreté de mon pc et de l'efficacité de vk.
Je n'ai donc pas d'avis.

Par contre ,les services technique de vk m'ont toujours répondu suite a différents incidents que je cite plus haut.

L'avantage,c'est que le logiciel est en français et que l'on ne paie qu'une fois(la mise a jour est donc assurée ...la vie du produit)

L'ami malekal,a ma demande a effectué un test sérieux et référençé et je l'en remerçie tres vivement.

Son avis est précieux car il semble avoir une expérience approfondie des problèmes liés aux virus ,ce qui n'est pas toujours le csa de certains testeurs.

Je pense que la societé axbx va prendre connaissance de son test et j'assume l'entière responsabilité de ma démarche.

Si axbx est une entreprise sérieuse,et j'ai cette impression,sa réponse ne peut qu'être que coopérative et constructive.

Je rejoins l'avis de malekal concernant l'infaillibilté des antivirus.Aucun ne peut prétendre l'être.

Alors pourquoi ,ne pas accepter les failles et d'essayer de les colmater en améliorant l'analyse des antivirus.

Les sociétés qui développent des antivirus auraient tout a gagner en coopérant avec leurs clients et les internautes responsables de forums traitant du sujet

djc

[djc]

Comme quoi entre gens intelligents on peut se comprendre .
AXBX vient de me répondre

Bonjour,

Bien reçu votre message. Merci pour ces informations.

Nous faisons des tests immédiatement.

Cordialement,

L'Equipe VirusKeeper.

Comme je l'écris dans un autre post,cette démarche ne peut qu'être que positive et bénéficiera a l'efficacité du logiciel.


dc

[Sylvain]

Article intéressant.

Pour ma part, j'utilise VirusKeeper depuis un peu plus de 2 ans et j'en suis satisfait.
J'ai deux gamins à la maison qui surfent partout et téléchargent des tas de trucs et avec VirusKeeper j'ai gardé un PC sain.
Maintenant je suis tout à fait d'accord : l'antivirus absolu n'existe pas. Chaque antivirus a ses points forts et ses points faibles.

Par contre la ou je souhaite réagir, c'est vis à vis des propos de AT. D'une part les propos sont hors sujet.
D'autre part le lien fourni pointe vers une page sur un forum où l'on entretien une polémique grossière.
Personnellement je ne crois pas une seule seconde que le mail publié provienne d'un avocat.
Je ne crois pas une seule seconde que cela provienne d'AxBx (qui sans doute même pas au courant des propos qui se tiennent dans le forum concerné)
Je suis convaincu que cette polémique a été inventée de toute pièce pour assurer la promotion du site concerné.

[djc]

sylvain

Par contre la ou je souhaite réagir, c'est vis à vis des propos de AT. D'une part les propos sont hors sujet.
D'autre part le lien fourni pointe vers une page sur un forum où l'on entretien une polémique grossière.
Personnellement je ne crois pas une seule seconde que le mail publié provienne d'un avocat.
Je ne crois pas une seule seconde que cela provienne d'AxBx (qui sans doute même pas au courant des propos qui se tiennent dans le forum concerné)
Je suis convaincu que cette polémique a été inventée de toute pièce pour assurer la promotion du site concerné

J'ai moi aussi un doute.
Jusqu'a aujourdhui,les techniciens de chez axbx m'ont toujours répondu.C'est déja un signe du sérieux de la société.

Je reste convaincu,que suite a l'excellent test de notre ami malekal,AXBX va réagir et nous tiendra au courant de leur propre analyse.

Pour moi c'est un test probant et peu importe si VK a laisse passer quelques virus ,le plus important pour moi,c'est d'en prendre conscience surtout si les concepteurs du logiciel décident de dialoguer intelligemment.

Comme AXBX nous lit maintenant,ils pourront ainsi en suivant ton lien ,mieux s'informer et ainsi tenter de rétablir la vérité dans cette affaire plus ou moins trouble et rocambolesque.

djc

[ogu]

D'autre part le lien fourni pointe vers une page sur un forum où l'on entretien une polémique grossière.
Personnellement je ne crois pas une seule seconde que le mail publié provienne d'un avocat.
Je ne crois pas une seule seconde que cela provienne d'AxBx (qui sans doute même pas au courant des propos qui se tiennent dans le forum concerné)
Je suis convaincu que cette polémique a été inventée de toute pièce pour assurer la promotion du site concerné.

Ben voyons!

Assiste est l'un des sites de sécurité le plus sérieux au monde: il n'a nul besoin de s'inventer des adversaires pour assurer sa notoriété!!

As-tu lu l'article sur PC Security Test au moins?

http://assiste.forum.free.fr/viewtopic.php?t=20042

Visiblement tu ne sais rien de cette histoire: le mieux, dans ce cas, est de ne surtout pas se lancer comme tu le fais dans des accusations sans fondement!

[Sylvain]

ogu, voyons les choses de manière factuelle :

1. Quel avocat communique avec la partie adverse par e-mail ? AUCUN.
Un avocat communique par courrier recommandé sur son papier à entête.
Ou alors il fait envoyer une assignation par un huissier de justice.

2. Quel avocat ferait des fautes d'orthographe aussi grossières dans un courrier envoyé à la partie adverse ? AUCUN

3. Quelles preuves tangibles avons nous que ce mail provient d'un avocat : AUCUNE

4. Quelles preuves tangibles avons nous que ce prétendu avocat ait été mandaté par l'éditeur : AUCUNE


J'ai lu l'article dont tu fais référence : le contenu de cet article est une accumulation de dénigrements, d'accusations sans preuve et de diffamation sous la forme d'un pseudo test. L'auteur va même jusquà dire que tout le monde à tord sauf lui et que les journalistes sont incompétents ! Cet article est très récent. Je pense que si un jour l'éditeur du logiciel tombe la dessus, l'auteur de l'article devra s'expliquer et sera lourdement condamné. Cela n'a rien à voir du tout avec la liberté d'expression. On peut dire que l'on n'aime pas un produit mais on ne peut pas dire n'importe quoi impunément.

Je ne suis pas d'accord non plus avec ton affirmation selon laquelle Assiste serait un site de référence sur la sécurité.
Ce site est criant d'amateurisme : aussi bien sur le fond, la forme que sur les propos qui s'y tiennent.

Bref, dans tous les cas je trouve que la mention de cette article est hors sujet.

[Malekal_morte]

svp le sujet c'est VirusKeeper et non le contenu d'un autre Web site.
Désolé mais je ne souhaite pas ce genre de discussions ici.

Si vous avez des explications, merci de les faire sur le site en question.
Merci de votre compréhension.