Test de 6 antiSpywares sur Clubic

[Contact75]

Clubic a mis 6 antispywares à l'épreuve

http://www.clubic.com/actualite-128684- ... yware.html

Le protocole de tests est réduit à sa plus simple expression (mais bon c'est adapté au niveau des lecteurs de Clubic)
______________________________________________________
"Détection de fichiers infectés
Tout d'abord, nous avons eu recours à une base contenant 679 chevaux de Troie, adwares et spywares."
______________________________________________________
Quelle base ? Qui date de quand ? Quels chevaux de Troie/adwares/spywares ?

Ensuite :
________________________________________________________
"Blocage et désinfection de menaces
Le deuxième test consiste à infecter successivement notre machine de test avec plusieurs menaces répandues, que nous avons choisies parmi les « tops » 2007 de plusieurs éditeurs de logiciels de sécurité."

* Winantivirus 2007
* Casino-13
* Zango
* Boran.41
* eZula-2
* AdMoke.BG
* Agent.cp
* BHO.av
* SafeSurfing.aa
* Softomate.ag
* Virtumonde.bq
* WSearch.j
* WhenU SaveNow



_______________________________________________

Le Top de 2007... On est en Mars 2008

Tester une base ancienne pour la désinfection c'est bien, car les éditeurs sont censés avoir travaillé sur ces menaces "anciennes" ces menaces sont toujours d'actualité pour la plupart, et on s'attend donc à une certaine efficacité.
Il n'en est rien (voir en // le test de Malekal)

http://forum.malekal.com/test-d-eradica ... t8765.html

- Ne Tester qu'une base ancienne alors qu'il y a eu de nouvelles variantes est quelque peu.. restrictif (meme si il est impossible de tester du "0 day"
- Il y a eu d'autres menaces depuis.
- Certaines menaces peuvent etre arretés par l'anti virus (car intégrées aux bases anti-virales)

On ne sait si le nettoyage s'est fait en mode normal ou sans échec

Hormis cela, les descriptifs des programmes sont très bien fait au point qu'à la lecture on se demande comment on pourrait être infecté avec un tel déploiement de fonctions :-)

Il manque quelques références, comme CounterSpy, MawareBytes, AVG antispyware , SuperAntispyware, ...

[Malekal_morte]

Mouais...
Les comparatifs Clubic ont déjà fait couler bcp d'encres ici...

* Winantivirus 2007
* Casino-13
* Zango
* Boran.41
* eZula-2
* AdMoke.BG
* Agent.cp
* BHO.av
* SafeSurfing.aa
* Softomate.ag
* Virtumonde.bq
* WSearch.j
* WhenU SaveNow

* Adware.Casino-13.. si tu trouves une info sur l'ajout de cette infection chez quelqu'un avec une date...
Peu d'infos sur Google, c'est représentatif de quoi de tester sur cette infection ?

* Boran.41.. c'est une infection chinoise ça.. pareil pas trop d'infos..
C'est pas ce qu'on voit le plus à désinfecter.

* Agent.cp --> ca veut rien dire...
Rootkit.agent ? Trojan.Agent ?

* Virtumonde.bq
http://www.viruslist.com/viruses/encycl ... sid=124429 : 12 juin 2006
http://ca.com/ca/fr/securityadvisor/pes ... =453112243 : 25 mai 2007.

on sait pas c'est le nom de quel vendor... en tout cas, si c'est que la variante bq et qu'elle est récente chez ce vendor...
Il doit pas en détecter bcp... actuellement Kaspersky en ajoute une par heure de variante virtumonde.

Softomate.ag : http://www.castlecops.com/t183295-MD5_8 ... r_dll.html
Mar 22, 2007 sur CC.

J'arrete là, ça m'ennerve.
Toute façon, au delà des dates... c'est significatif de quedalle de prendre ces menaces, c'est pas les plus courantes et les plus dangereuses.
Meme pas de Trojan.FakeAlert/Renos pff..

Toute façon, y a que le titre qui importe "tester des antispywares", c'est accrocheur, c'est ce que les gens recherchent "MiAwW, c'est quoi le meilleur AV", c'est pour vendre.. comme d'hab pour ce genre de sites.

C'est pas leur créneau ce genre de choses...
Ca se voit sur ce test, ça se voit sur leur test des AV avec des vers de messageries de 2004.

Ils connaissent pas les menaces actuelles, ils savent pas où aller les chercher, bref, les malwares c'est pas leur truc.

[Contact75]

Mouais...
Les comparatifs Clubic ont déjà fait couler bcp d'encres ici...

Ca je n'en doute pas :-)

Il suffit de voir le : http://www.clubic.com/article-77079-12- ... virus.html

* Winantivirus 2007
* Casino-13
* Zango
* Boran.41
* eZula-2
* AdMoke.BG
* Agent.cp
* BHO.av
* SafeSurfing.aa
* Softomate.ag
* Virtumonde.bq
* WSearch.j
* WhenU SaveNow

* Adware.Casino-13.. si tu trouves une info sur l'ajout de cette infection chez quelqu'un avec une date...
Peu d'infos sur Google, c'est représentatif de quoi de tester sur cette infection ?

Il s'agit d'un Adware que l'on récupère avec un programme du nom de "Everest Casino.exe" et ses variantes Everest Poker, etc qui donne accès à 200 jeux "gratuits" et payants ((Poker, roulette, craps, Keno, machines à sous, jeux de tables divers, cartes, etc)

On peut le télécharger un peu partout dont :
http://www.01net.com/telecharger/window ... 50449.html

A l'origine il y avait une version US : http://www.freewebs.com/casino-13 (qui date d'il y a 4 ans)
Ce site a disparu depuis pas mal de temps et on le retrouve maintenant avec un nom de domaine dans pas mal de pays.

Par ex en France : http://www.everestcasino.com/
Dès qu'on arrive sur le site le programme est affiché au téléchargement où il est précisé :

"Notre logiciel est signé digitalement et ne contient pas de Adware, Spyware ou toute forme de Malware. Pour lire notre clause de confidentialité : http://www.everestcasino.com/fr/policies/privacy.html



"L'infection" a commencé surtout avec la nouvelle version en mars 2007

Voila ce que les programmes de protection détectaient pour l'Adware :

C:\Program Files\Everest Poker\casino.exe
C:\Program Files\Everest Poker\cstart.exe
C:\Program Files\Everest Poker\Everest Poker.exe
C:\Program Files\Everest Poker\gvmain.exe

Il n'est pas ou plus détecté par nombre d'anti virus, ce suite aux nombreuses demandes.... des clients de Everest Casino et du site lui-même
En effet, une fois détecté et éradiqué, il était impossible de jouer.
Par ex, Bitdefender le détectait, mais plus maintenant. Idem Avast du reste (message du support)
__________________________________________________
AVAST :
___________________________________________________
"Cher client,
le logiciel Everest Poker contient reelement un systeme publicitaire,
mais comme nombreux utilisateurs de ce logiciel l´aiment quand meme, on a
decide de ne plus detecter ce adware. Les regles de detection vont
etre modifies par la prochaine mise a jour d´avast! de facon a ne plus
bloquer Everest Poker

--
Cordialement,
David Podracky - avast! support team"
________________________________________________________

EVEREST
_______________________________________________________
From: [email protected]
Reply-To: [email protected]

Cher Joueur,

Nous sommes conscients que certains anti-virus identifient
anormalement notre logiciel comme étant porteur d?un virus, d?un
spyware ou d?un adware. Nous avons donc contacté les fournisseurs afin
qu?il puissent corriger le problème le plus rapidement possible.
Nous apprécierons que les contactiez également avec toutes les
informations complémentaires qui pourraient les aider à résoudre ce
problème. Ils seront également en mesure de vous fournir une solution
intermédiaire dans l?attente de trouver une solution définitive.

La plupart des anti-virus vous permettent d'exempter certains
programmes de leur vérification. Veuillez donc ajouter notre logiciel
à la liste des exemptions de votre anti-virus.

Les applications à exempter ou à ajouter à la liste des exceptions
sont les suivantes :

Everest Poker.exe
cstart.exe
cstart-tmp.exe
gvmain.exe
________________________________________________________

Au dela de cela, est ce vraiment un parasite ? J'en doute.
Evidemment cela balance de la pub, mais l'éditeur draine des jeux payants et fait de l'analyse comportementale (pour les joueurs trop dépendants et/ou qui dépensent de trop) Enfin c'est ce qu'ils disent.

Néanmoins c'est le seul site de ce type "propre" (comprendre non lié à des maffias etc - A priori - Parce que Partouche heu...) qui balance ce type d'Adware
Quand je dis "propre", je ne dis pas non plus exempt de défauts (beaucoup de joueurs de plaignent de ne pas toucher leur gain)


Je rajoute cette présicion pour ceux et celles qui seraient tentés par du gain facile :

Exemple : Vous jouez, vous choisissez un jeu d'argent payant, donc vous payez, vous allez bien sûr gagné (suivant votre chance) et quand vous avez pas mal déboursé et gagné une certaine somme (quelques milliers d'euros pour certains).... Impossible de toucher le gain. (sauf au début pour les petites sommes, il faut bien appater le client)
Le site se retranchant derrière le fait que suivant la législation de votre pays, il n'est pas possible de jouer avec des gains réels.

Sinon petite arnaque légale : Les 50$ de bonus que l'on voit sur le site.
On ne peut en profiter que si l'on dépense plusieurs centaines de dollars

Je passe sur le reste car il y aurait trop à dire (notamment l'envoi à des sites tiers et inconnus des copies de cartes d'identité, carte bancaire, relevé de compte etc) ou le fait qu'au bout de 2 ou 3 mois, les stats pour gagner ne suivent pas les logiques habituelles.

Un blog sur le site (pas eu le temps de lire) : http://everestp0ker.wordpress.com/

Mais bon, c'est le coté "normal" de ces types de sites qui drainent tout un tas de gens attirés par l'argent facile (les memes qui récupèrent les cracks à outrance etc) Les arnaqueurs s'arnaquent entre eux :-)

Aux dernieres stats de ce jour :

France : 41,7% d'utilisateurs (qui utilisent ce programme par rapport aux autres pays)
France : 12 000 visiteurs ces 3 derniers mois

Le site a été vu sur les 3 derniers mois : 75,978 fois avec une progression de plus de 15 000 visiteurs ces 3 derniers mois

Alors adware insignifiant et nécessaire ?....
Il faut se rappeler que le site dit ne pas installer quoi que ce soit. Ils mentent.

Pour les programmes qui n'ont pas passé d'accord avec Everest Casino, à ce jour voici ce que l'analyse donne sur les fichiers téléchargés (on y retrouve les packers habituels entre autres) :
____________________________________________________________________
Fichier Everest_Casino.exe reçu le 2008.03.09 09:55:18 (CET)

AhnLab-V3 2008.3.4.0 2008.03.07 Win-Trojan/Casonline.279128
AntiVir 7.6.0.73 2008.03.07 -
Authentium 4.93.8 2008.03.07 W32/Adware.DCX
Avast 4.7.1098.0 2008.03.08 -
AVG 7.5.0.516 2008.03.08 -
BitDefender 7.2 2008.03.09 -
CAT-QuickHeal 9.50 2008.03.08 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.09 Adware.Casino-17
DrWeb 4.44.0.09170 2008.03.08 -
eSafe 7.0.15.0 2008.03.06 Suspicious File
eTrust-Vet 31.3.5597 2008.03.07 -
Ewido 4.0 2008.03.08 -
FileAdvisor 1 2008.03.09 -
Fortinet 3.14.0.0 2008.03.08 Adware/Casino
F-Prot 4.4.2.54 2008.03.08 W32/Adware.DCX
F-Secure 6.70.13260.0 2008.03.08 -
Ikarus T3.1.1.20 2008.03.09 -
Kaspersky 7.0.0.125 2008.03.09 -
McAfee 5247 2008.03.07 potentially unwanted program CasOnline
Microsoft 1.3301 2008.03.07 -
NOD32v2 2932 2008.03.09 -
Norman 5.80.02 2008.03.07 W32/CasClient.CD
Panda 9.0.0.4 2008.03.08 -
Prevx1 V2 2008.03.09 Heuristic: Suspicious Self Modifying EXE
Rising 20.34.60.00 2008.03.09 Adware.Win32.Casino.y
Sophos 4.27.0 2008.03.09 Casino
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.09 -
TheHacker 6.2.92.238 2008.03.08 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.08 Adware.Casino.W
Webwasher-Gateway 6.6.2 2008.03.09 -

Information additionnelle
File size: 279136 bytes
MD5: e681e8a2653d1589a245c9389be337ea
SHA1: fc28d66a9b569fd31599f1d453a7cbdf7db1787b
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PE_Patch.PECompact, PecBundle, PECompact
_____________________________________________________________________

En fait l'analyse est interessante, non pas parce que l'on y trouve un adware, mais parce que justement les ténors habituels ne détectent rien.

On pourrait mettre cela sur le compte du moindre désagrément (le détecter et l'éradiquer empeche de jouer) mais cela signifie aussi que certaines menaces PEUVENT ne pas être détectées du fait d'accords passées (comme certains Anti-spywares) afin d'éviter des procès (au pire) ou d'avoir des tas de messages d'utilisateurs d'antivirus/anti-spywares qui se plaignent et qui encombreront la hot line (au mieux - ou au pire suivant là où on se place :-)
On peut étendre ce principe beaucoup plus loin...

(...)

Pour les autres cités, pas trop le temps de chercher...

* Virtumonde.bq
http://www.viruslist.com/viruses/encycl ... sid=124429 : 12 juin 2006
http://ca.com/ca/fr/securityadvisor/pes ... =453112243 : 25 mai 2007.

on sait pas c'est le nom de quel vendor... en tout cas, si c'est que la variante bq et qu'elle est récente chez ce vendor...
Il doit pas en détecter bcp... actuellement Kaspersky en ajoute une par heure de variante virtumonde.

Entre celle là et l'infection MSN (pour ne citer que ces deux ex) on peut voir que les éditeurs ont du mouron à se faire pour l'avenir

J'arrete là, ça m'ennerve.
Toute façon, au delà des dates... c'est significatif de quedalle de prendre ces menaces, c'est pas les plus courantes et les plus dangereuses.
Meme pas de Trojan.FakeAlert/Renos pff..

Toute façon, y a que le titre qui importe "tester des antispywares", c'est accrocheur, c'est ce que les gens recherchent "MiAwW, c'est quoi le meilleur AV", c'est pour vendre.. comme d'hab pour ce genre de sites.

C'est pas leur créneau ce genre de choses...
Ca se voit sur ce test, ça se voit sur leur test des AV avec des vers de messageries de 2004.

D'après ce que j'ai pu apprendre ils prennent leurs base chez Kapersky et sur

http://vx.netlux.org/

Mais pour ce test je ne sais....

Ils connaissent pas les menaces actuelles, ils savent pas où aller les chercher, bref, les malwares c'est pas leur truc.

Du reste il suffit de voir le titre... "6 antispywares à l'épreuve ", les mots "Test" ou "Comparatif" ne sont pas mis en avant. Ils ne se mouillent pas.

[Malekal_morte]

Il s'agit d'un Adware que l'on récupère avec un programme du nom de "Everest Casino.exe" et ses variantes Everest Poker, etc qui donne accès à 200 jeux "gratuits" et payants ((Poker, roulette, craps, Keno, machines à sous, jeux de tables divers, cartes, etc)

Au dela de cela, est ce vraiment un parasite ? J'en doute.
Evidemment cela balance de la pub, mais l'éditeur draine des jeux payants et fait de l'analyse comportementale (pour les joueurs trop dépendants et/ou qui dépensent de trop) Enfin c'est ce qu'ils disent.

OK.. vu le nom me doutait que c'était un truc comme ça.
Everest Poker, on le voyait souvent à un moment sur les logs, now c'est plus PartyPoker (ou qq chose comme ça).
Mouais.. j'aime pas le côté "y a des pubs sur ce truc, faut que les AV le détecte".

On peut faire un prog gratuit qui affiche des pubs tant que l'utilisateur est averti de cela.
Soit sur le site sur la page de download par exemple, soit dans l'EULA ou un blalbla durant l'install (après s'ils lisent pas tant pis pour eux).
Entre ça et un programme dit gratuit avec sur la page "no spyware" et un adware en rootkit.. il y a de la marge.

Pour en revenir au test, c'est un peu limite car comme tu le dis "est-ce vraiment un parasite?"
Si la réponse est non.. En gros, ceux qui bourrine à tout addé gagne un point et ceux qui font un peu plus attention perde un point dans le test..

Le test est super axé adwares alors que le première paragraphe parle de spyware : espionnage, vol de données
Je suis sûr que tu balances un vrai keylogger rootkité, y a aucun antispyware qui le trouve.