Mis à jour régulièrement, dernières modifications le 27/03/07.
Ancien article publié sur un forum (remis à jour ici) : Quelques remarques sur d'autres AV (début 2004)
(1) les antivirus gratuits sont-ils fiables ?Antivir et AVAST par exemple ont été certifiés par Checkmark en avril 2004... Le label Checkmark est une référence en la matière (il a d'ailleurs certifié Viguard aussi). Ces 2 antivirus sont développés par des entreprises bien réelles, mais qui ne font payer la license d'utilisation de leurs produits que pour un usage commercial. Contrètement, on ne peut pas mettre Antivir/AVAST dans une structure de travail avec 100 PC, et cela peut se comprendre (la hotline, l'accès prioritaire aux MAJ etc, tout cela engendre bien évidemment des frais).
Ce que je peux rajouter, à ma petite échelle, c'est que j'ai moins de retours (pour ne pas dire 0) en dépannage pour des machines équipées d'Antivir ou AVAST, que pour des machines de même type, mais avec du Norton, MacAfee, etc.
(2) Norton, tout le monde l'a, c'est forcément le meilleur ... :
Hum... Première chose, aller voir le test de Norton Internet Security 2005 : www.n0rt0n.com/NIS2005.html .
Ensuite, mais ce n'est qu'un avis personnel pour commencer, ce n'est pas parce que tout le monde va sauter du haut d'une falaise que je vais le faire aussi... Après, chacun est libre de faire son choix.
Mais surtout, ce qu'il faut avoir à l'esprit c'est la pseudo-arnaque que monte Norton. En effet, pour un constructeur de PC (HP, Dell, etc), mettre un Norton par défaut sur la macine coûte seulement 8 ou 9 euros !! la raison est très simple : la license n'est valable que 3 mois. Or sur la publicité ou le descriptif de la machine, quand on l'achète, il n'est que très rarement précisé ce détail de longueur temporelle de la license.
Bien évidemment, branchée sur internet, une machine a besoin que sa protection antivirale (basée sur signature dans ce cas) soit remise à jour le plus souvent possible. Passé les 3 mois fatidiques, en une journée au plus, c'est comme s'il n'y avait plus rien sur la machine comme protection. Les tests démontrent qu'une machine avec du XP SP1 est infectable en 15 minutes maximum, quoi que l'on fasse, si elle n'a pas de protection efficace.
Alors déjà que Norton, mis à jour, peut mettre plus d'une journée pour détecter un Worm propagé par MSN, imaginez le résultat si on a passé la date d'accès aux mises à jour...
De même, il est assez navrant de voir qu'en grande surface, le rayon informatique, section "sécurité" soit d'une couleur tirant plutôt vers le jaune... Trouver un KAV n'est pas toujours évident (du moins, il faut le chercher), un Viguard non plus, etc. Demandez à un vendeur de vous conseiller, il se dirigera à 90% de chances sur la boîte jaune... Le poids financier de Symantec est proprement hallucinant.
Alors je le dis clairement: " NON, ce n'est pas parce que tout le monde a ou a entendu parler de Norton, qu'il est forcément bien !! au contraire !!" J'irai même plus loin : quand on a été un ancien utilisateur intensif de Norton, il est assez facile de voir que l'évolution du produit a été gouvernée par le marketing et le business depuis quelques années. En gros, passé les versions 2001 (à la limite), c'était fini... Alors que je suis un ancien fan de NAV en ligne de commande !
Et pour terminer, de par mon activité de réparateur informatique, Norton est la protection la plus présente sur les machines que nous devons ... désinfecter et réparer. Une petite rechercher internet nous montre que Google explose sur des sujets traitant de problèmes avec Norton... De nombreux forums recommandent de l'enlever !
(3) A propos des mises à jour... :
J'ai le plus grand respect pour de grands groupes de la sécurité comme Symantec ou McAfee, mais cependant, des idées préconçues ont la vie dure... Symantec est par défaut mis à jour de façon hebdomadaire uniquement, et pareil pour McAfee. Ce que les gens pensent télécharger sont les mises à jour du logiciel (au sens de programme) antivirus, mais pas des définitions de nouveaux virus. Seul un certain seuil d'alerte pour un virus donné va provoquer la mise en ligne le plus vite possible de définitions par ces éditeurs. Ces informations viennent du support technique (pour McAfee) et ont été vérifiées dans de grands comptes utilisant des licences corporate (Symantec). Cela veut donc dire que même si votre Norton vous dit qu'il est à jour, ou même votre McAfee, il est fort probable que vous puissiez attrapper un virus qu'il ne verra pas avant les mises à jour... dans 1 semaine. Autant dire que pendant ce temps-là, il peut s'en passer des choses !
C'est là où des éditeurs, même de solutions gratuites comme AVAST ou ClamWin, peuvent faire la différence ! Les fichiers vcd de clamwin sont clairement téléchargés (cf interface) et ce sont bien des signatures de virus. Idem, pour KAV, en solution payante, ce sont des ".avc" si je me souviens bien. Et cela s'applique aussi à Sophos, dans un cadre d'entreprise uniquement.
La version 6 (aujourd'hui seule la V7 est suivie, la V6 est abandonnée) , est en stagnation... Il reste un assez bon détecteur (je dois même dire qu'il est un bon complément à Antivir, car Antivir est bon en troyens, et AVG en virus "exotiques"), mais pas en réparation. de plus, son kernel n'est pas du tout résistant, je ne le recommande plus à quelqu'un qui clique un peu partout sans avoir de formation minimale (ex lors d'une installation sur une machine infectée par Klez, avant la fin de l'installation, l'exe principal avgcc32.exe avait carrément disparu du disque :( ). Attention ! Si vous utilisez AVG, le passage de la V6 à la V7 n'est pas automatique ! Il faut le télécharger sur le site de l'éditeur ...
AVG 7 par contre donc, montre des évolutions. Déjà, il fonctionne par modules, dont certains sont désactivables à la demande. Il est toujours capable de fonctionner en scanner à la demande, en parallèle d'un Viguard. Progrès supplémentaire : il signale très clairement à l'utilisateur que le résident principal de protection n'est pas chargé, ce qui peut déjà donner l'alerte. Cependant, question résistance face aux menaces, le résultat est le même que pour la V6 : toujours aussi facile à désactiver...
Avantages : Antivirus gratuit (usage non commercial, mais les licenses "pro" sont très peu chères) pour toutes les plateformes Win32 ainsi que des CD bootables, DOS, etc. De bonnes évolutions, surveille en temps réel les réseaux P2P comme Kazaa, winMX, Bittorrent, et d'autres; ainsi que les mails sur Outlook express et Office, les messengers tels MSN, etc. Il intègre un "bouclier réseau" pour la détection d'attaques via Internet (et qui ne pose pas de problème avec la plupart des firewalls, sauf peut être Sophos Personal FW). Il n'est pas plus complexe pour autant, il faut tout bonnement le laisser s'installer complètement, et après on peut choisir les résidents actifs (c'est assez appréciable). Autre atout, c'est qu'il est en Français ! Interface assez simple, et les messages d'alerte ou de signalisation (MAJ par exemple) restent clairs même pour un débutant.
Ultime avantage d'AVAST : lors de son installation il propose de faire un scan de la machine au redémarrage suivant. Ce scanner s'effectude au début du chargement de Windows, avant les résidents et la connexion au profil/compte utilisateur. Ainsi, il n'y a plus de possibilité d'autoprotection ou de furtivité pour les rétrovirus ou rootkits / spywares. AVAST m'a permis par exemple d'arrêter un rootkit sur une machine protégée par du BitDefender ! (symptôme : un module appelé "display manager" refusait de se fermer parfois à l'arrêt et le processeur était brûlant alors que son taux d'occupation, trompé par le rootkit, était à quelques pourcents juste...).
C'est une très très bonne méthode que de scanner la machine soit au tout début du chagement de Windows, soit par CD externe ! (plateforme saine)
Je tiens à préciser qu'AVAST est le seul antivirus que j'ai vu (sauf ViGuard) à avoir pu protéger une machine avec l'ADSL, pendant plus d'un an, sachant qu'il y avait Windows XP sans aucun service pack ni firewall !! j'ai analysé la machine avec : MacAfee (ligne de commande), Antivir V7, ClamWin, Sophos, Spybot et AdAware. Je trouve cela assez exceptionnel, dans la mesure où, comme dit plus haut, une machine non à jour dans ses corerctifs de sécurité est infectable en 3 minutes sur internet. Cela montre l'efficacité des modules de protection web et réseau intégrés à AVAST. J'ai de nombreuses fois pu voir des alertes indiquant que la protection réseau avait arrêté une attaque de type exploit sur RPC.
Au passage, AVAST, malgré ses modules de protection réseau, cohabite très bien avec des firewalls tels que Sophos CF (anciennement Outpost).
Inconvénients : Des nouvelles restriction apparaissent avec la version 4.6 : il ne veut pas cohabiter avec bon nombre d'autres antivirus. Il a détecté que j'avais KAV d'installé, alors qu'aucun des services de KAV n'était actif, et a automatiquement désactivé son propre scanner ! Un message d'alerte, assez clair et en français, explique la chose, mais ne donne pas le choix. On ne peut pas accéder aux services désactivés pour les réactiver à la main, même avec la console de gestion des services Windows. Il m'a fallu donc désinstaller KAV... et oh surprise, il m'a remis le même message, mais cette fois pour Antivir... Apparemment il balaye le système au démarrage. Je travaille sur ce problème pour voir si malgré tout on ne peut pas passer outre cette sécurité, dans la mesure où les résidents des antivirus qu'il détecte ne sont pas actifs (contrairement à ce qu'il dit). Par contre il n'a rien dit pour Viguard ou ClamWin (mais par défaut un scanner à la demande n'est pas censé poser problème).
D'un autre côté, j'ai été un peu surpris par les ressources qu'il demande, en pics. En effet, ayant activé la protection des messageries instantannées, je me suis aperçu de lags avec Trillian. Ce logiciel multi-compte est inclus par défaut dans la liste des clients M.I. surveillés. Je me suis aperçu que le processeur montait à 100% à chaque fois qu'on m'envoyait un message ou que j'en envoyait un moi-même (sur un P3 1Ghz, qui est assez sensible donc pour rendre ce genre de choses visibles immédiatement). L'explication apparaît simple si on le met en mode verbeux : quand on utilise trillian, les conversations sont stockées dans des fichiers xml et AVAST rescanne tout le fichier à chaque modification (dans les 2 sens, vous-même ou votre correspondant). Cela provoque donc des temps de latence quand on écrit au clavier, et peut devenir agaçant... Evidemment, sil l'on désactive la protection des M.I., le phénomène disparaît.
Enfin, les puristes rétorqueront qu'il faut que IE soit installé pour qu'il marche. Je répondrai que sous 2000/XP IE est intégré à l'OS et que c'est très difficile de l'en enlever complètement. :( Alors si IE est à jour, et que seule l'interface du programme l'utilise, il y a moindre mal. Attention cependant à ne pas tomber dans les extrêmes (voir dans ma page NIS2005 le plantage de Norton qui parle d'une erreur HTML ! )
ClamWin est le port de ClamAV, antivirus open source et utilisant le moteur ClamScan. Au départ cet antivirus est pour linux, et cela se voit (mais de moins en moins) à l'interface du logiciel.
Avantages : ClamWin est gratuit, complètement, et open source. Pas de version "pro" optimisée comme pour Antivir par exemple (accès aux serveurs prioritaire si version premium, payante, entre autres). C'est un projet dynamique (j'y contribue quelquefois en envoyant des spywares ou trojans) et les bases sont mises à jour très souvent. Exemple : il a été démontré sur une liste de discussion (dont je tais volontairement le nom) que MacAfee sur une passerelle n'a détecté la nouvelle variante de Netsky (la .q) "que" le soir à 17H alors que le matin même à 8h, ClamWin arrêtait des mails infectés... Inutile de dire que durant ce laps de temps les utilisateurs derrière la passerelle équipée de MacAfee ont parfaitement pu se faire infecter. Ceci démontre sans équivoque qu'un antivirus open source n'est pas un gadget.
Inconvénients : Scanner "à la demande", et uniquement ! Même s'il y a le Clamtray (qui se lance par défaut à chaque démarrage de Windows), il n'y a aucun résident de protection de la machine en temps réel. Son principal but est de faire "bouton droit, scan for viruses with ClamWin". L'icône dans la barre des tâches n'est là que pour faciliter l'accès au scanner, aux mises à jour, aux réglages, etc.
Par défaut ClamWin scanne tout ou presque (ce qui pourrait être un avantage aussi). Cela influe donc directement sur les temps d'analyse de vos disques. Avec les réglages par défaut, l'analyse de mon disque C: (contenant 9Go de programmes, quelques données, et 2G d'espace libre) n'en était pas au quart, au bout de plus de 40 minutes!... Il vautdonc mieux modifier les options.
La base de définitions de ClamWin détecte de belles choses, mais parfois cela peut lui jouer des tours : la BDD de fichiers de ViGuard (V10 0830c) vue comme un trojan, ainsi qu'une trace du scanner en ligne de Panda.
Réglages du scanner de ClamWin :
Dans l'interface, à configure ClamWin, l'onglet Filters permet de définir le comportement du scanner face au type de fichier. Par défaut une liste d'extensions de fichiers est donnée en "Exclude Matching patterns". Il s'agit d'extensions qui ne feront pas l'objet de tests. Je vous recommande de compléter cette liste en rajoutant : *.txt, *.gif, *.tif, *.png, *.java (si vous développez en java), *.rtf, *.deb, *.rpm, *.pdf, *.ogg et éventuellement *.iso (si vous créez vous-mêmes vos ISOs).
La différence avec l'autre colonne, intitulée "Scan Only matching Patterns" est la suivante : tous les fichiers dont l'extension est dans la liste Exclude seront lus, mais pas analysés. En gros vous verrez passer leurs noms avec marqué "Excluded" en face. Mais cela peut représenter une grande quantité de fichier à analyser (et non pas lire) tout de même. Il y a donc possibilité de ce cibler *que* certains types de fichers, c'est la liste "Scan Only matching Patterns". Je recommande de mettre dans cette liste, au minimum : *.exe, *.bat, *.cmd, *.vb*, *.dll, *.msi, *.hta, *.pif, *.scr, *.com, *.html, et *.jpg, *.wmv, *.wma, *.bmp (pour protection contre les dernières failles sur fichiers multimédia). Dans ce cas, le scanner ne va analyser que ces fichiers, il ira plus vite.
La liste "Scan Only matching Patterns" est prioritaire sur l'autre dans le sens que dès que des extensions sont spécifiées dedans, seuls les fichiers les comportant seront analysés. Le scanner peut donc manquer des fichiers avec une extention plus farfelue et qui ne serait pas dans votre liste (la plupart des scanners traditionnels proposent dans leurs options de spécifier ou non une liste d'extensions de fichiers à surveiller). Si vous utilisez l'autre système (liste blanche), vous analyserez tout fichier qui n'y est pas spécifié, donc vous êtes sûr de n'en oublier aucun. A contrario, vous allez également scanner les caches de navigateurs comme Mozilla ou Opera, des fichiers temporaires sans extensions, etc. Le scan est résoluement plus long en spécifiant la liste des exclusions qu'en donnant la liste des cibles (logique d'un point de vue mathématique) : le rapport semble tourner autour de 3 pour 1 !
Attention dans tous les cas, le scanner va réellement lire tous les fichiers du disque, ce qui peut poser des problèmes avec des fichiers erronés ou non standards. Les options ne sont là que pour cibler le scanner et ... diminuer le temps d'analyse !
KAV 4 est (ou était) très bien oui, un des meilleurs au monde à mon avis. Mais prend TOUTES les ressources processeurs quand il scanne, et bien que son installation soit facile, il est préférable de bien le paramétrer, et là c'est pas toujours aussi évident. Il est de plus TRES ancré dans le système et notamment la base registre, ce qui me laisse perplexe en cas de problème avec lui un jour... Je connais des gens qui gardent la V4 car elle est plus "administrable" que la 5, où l'interface a été revue (apparemment les bases antivirales sont encore accessibles pour la V4 bien que la V5 soit sortie depuis belle durette)..
KAV 5 : la V5 en elle-même a beaucoup évolué. Au départ par exemple, elle pouvait cohabiter avec Viguard sans trop de soucis (voir la page Viguard : www.n0rt0n.com/viguard.html ).Maintenant ce n'est plus possible. Les résidents ont été tous déclarés comme service (kav et kavsvc) et il n'est plus possible de les arrêter à la main, que ce soit avec des utilitaires antirésident (PView3, antiworm etc) ou même dans la console de gestion des services (services.msc). Un travail de recherche a donc été fait.
Du côté des mises à jour, elles sont programmées par défaut toutes les 3h... ce qui laisse imaginer l'infrastructure que doit posséder KAV labs pour faire face en terme de disponibilité de serveurs. Un exemple probant est celui du virus Bropia, un des premiers à se propager en utilisant massivement le réseau MSN Messenger. KAV 5 a été le premier à trouver le fichier que l'un de mes contacts, infecté, était censé me proposer de télécharger. J'ai donc mis le fichier dans une zone isolée, et j'ai regardé quel AV le trouverait en premier : ce fut KAV, au bout de 6h environ. Un reproche aussi : le CD de KAV n'est pas bootable et l'installation en milieu infecté n'est pas des plus faciles parfois...
Question système : la 5 est plus "légère" que la 4, mais n'aime pas les partages réseau. Je déconseille carrément d'activer le système de détection d'attaque si vous êtes dans un vrai envirronement réseau car, sous 2000 comme sous XP, cela crée des problèmes d'accès. L'interface a été revue et est plus facile à prendre en main. Par contre, KAV 5 est toujours autant embourbé dans la base de registre... il y a même un utilitaire sur leur site qui permet de "finir de nettoyer la BdR" en cas de problème !
Du mieux, mais pourtant ...
Configuration : AMD Sempron 2800+ avec 448 Mo de RAM ; Win XP Pro SP2. Antivir est installé mais aucun de ses résidents temps réel n'est actif. Idem pour ViGuard. Volontairement, je n'ai pas appliqué les 48 patchs post-SP2 pour les besoins du test : je voulais voir comment réagirait KAV sur une machine non à jour de ses correctifs Windows.
KAV 6 intègre un module de défense "pro-active", et dont voici une capture : lien. Ce module, même s'il peut paraitre intéressant sur le papier, peut générer des messages assez intriguants ou du moins complètement inutiles. Exemple : une application plante sous Windows, le processus DrWatson s'y attache (voici une explication de cet outil par Zebulon ). Sauf que pour KAV, Dr Watson est "une aplication invader"... ! Le message de KAV est clairement farfelu, quand on sait à quoi sert Dr Watson (surtout que c'est un outil qui se veut utile en premier pour les développeurs...).
Dans le même registre, je souhaite changer mon économiseur d'écran. Là encore, le message est relativement perturbant... !
Si je souhaite changer les sons Windows, cette fois c'est rundll32 qui devient un processus invader... Pourquoi ?
Toutes ces alertes devraient selon moi être par défaut mises en liste blanche. Leur intérêt est discutable pour l'utilisateur, et surtout d'un point de vue sécurité. S'agirait-il d'un problème de beta testing ?
Autre cas : je laisse le PC étient, au redémarrage KAV se met à jour dès la fin du chargement de la session utilisateur, et me dit qu'il faut redémarrer le PC pour "que la protection soit effective". Je trouve cela assez embêtant. Si je démarre mon PC pour travailler, ou pour une raison particulière, il peut être assez gênant de devoir le redémarrer tout de suite avant de pouvoir commencer à travailler. Du moins la tentation de le faire plus tard est grande, ce qui peut occasionner des problèmes de protection d'après ce que dit le message.
Un autre exemple est l'installation de Ahead Nero 6. Le message qui apparait durant l'installation peut semer le doute : il parle d'"installation cachée alors que je suis en train d'installer Nero au même moment... Question : j'ai tenté de refuser ladite installation cachée, mais je n'ai pas constaté de problème ensuite avec Nero... Que se passe-t-il dans ce cas ?
De plus, en cas de désinfection, on peut avoir des surprises. Comme j'avais pu le voir dans le passé avec une infection par W32/Resurrection, 60% des exécutables (au minimum) étaient irrécupérables, alors que KAV annonçait une désinfection réussie. Ici, avec la v6, c'est une infection par w32.tenga.a qui met en évidence que la plupart des fichiers dits réparés sont en fait invalides à l'exécution ensuite. (je reviendrai sur cette infection un peu plus tard).
Autre chose qui peut être pénalisante : KAV scanne par défaut les "objets de démarrage". Bien que cela ne soit pas clairement défini, je suppose qu'il doit s'agir entre autres du %SYSTEMROOT%. Or, dans les options, on ne peut choisir que "après chaque mise à jour" ou "après chaque démarrage". Pour avoir expérimenté la deuxième, la chute de performances de la machine est clairement handicapante, au point de se demander si tout va bien... Question : si aucune des 2 options n'est cochée, quand est-ce que que KAV scanne les fameux modules de démarrage ?
La protection antispyware elle, montre une montée en puissance. En surfant sur quelques sites dits warez, je tombe sur un popup qui pointe sur Seekmo, un utilitaire soit disant de télécahrgement d'applications. Voilà la capture de l'alerte KAV, qui précise bien que ce n'est pas un virus mais un Adware dans le nom. Autre chose appréciable, l'URL contenant le malware est bloquée automatiquement. Le message est on ne peut plus simpliste, mais ça marche. Seul soucis, il faut parler anglais !
KAV voit des choses qu'Antivir ne détecte pas par exemple : une variante de 180SearchSolutions
Maintenant KAV n'a plus qu'un seul service en mémoire : AVP.exe, contrairement à la v5, où il y avait le KAV et KAVSVC. Fini donc les problèmes de dépendance de service (on ne pouvait pas lancer l'un sans l'autre), et toutes les mésaventures en découlant. Le nouveau service est relativement léger :mais varie en taille : de 2 à 9Mo en mémoire vive, et de 4,5 à 20 en mémoire virtuelle (là cela devient un peu lourd). Notons toutefois que le service AVP est lancé en double exemplaire selon les modules de protection que vous activez.
Ce service est impossible à arrêter ou même redémarrer depuis la console des services Windows. Preuve que KLabs a cherché à protéger son produit contre les rétro virus. Aucun des utilitaires de gestion de processus que je connais n'est arrivé à tuer les services KAV.
Enfin, je tiens à féliciter le service de développement de KLabs pour avoir pensé à l'intégration de KAV sur Bart CD et WinPE ! En effet, il y a dans Program Files\Kaspersky labs\Kaspersky Antivirus 6.0 un fichier rescuecd.zip qui contient le nécessaire (y compris les menus, et la base de registre ! Ouf ! ) pour intégrer facilement KAV à ces CD bootables basés sur noyau XP. Pour ceux qui connaissent la technologie, intégrer KAV5 à BartCD était très long et fastidieux.
Le résultat est simple : KAV échoue.
Le scénario est le suivant : j'ai 2 partitions sur le disque. Celle montée en D: contient des utilitaires, notamment des clients SSH ou des outils systèmes. Ma machine est connectée au Net au travers d'une NeufBox (donc un Linux avec un Apache pour l'administration web) et l'IP du poste avec KAV est volontairement en DMZ.
Un jour, alors que j'explorais mon disque, KAV m'a alerté de la présence de w32.tenga.a dans le System Volume Information sur D: . Ce dossier est en accès permanent par Windows et sert pour les restaurations de versions précédentes de fichiers. Surpris par l'alerte, je lance un scan à la demande d'Antivir v7. Il me trouve Tenga (W32/Stanit) dans tous les dossiers "voisins" de là où était mon client SSH dont je me sers régulièrement (et qui donc est directement connecté au net avec un port ouvert), ainsi que dans le système de restauration de volumes. Voici le log.
Ce qui devient bluffant c'est que KAV a détecté aussi Tenga.a, mais au fur et à mesure du scan de Antivir ! Pas avant ! pourquoi n'a-t-il rien dit lors de la première infection ? Pourquoi détecter uniquement dans System Volume Information ? KAV était toujours actif et à jour pourtant !
Quelques temps plus tard, le phénomène a recommencé, alors que j'avais monté les réglages de KAV au maximum. Voici le log d'Antivir. On peut d'ailleurs remarquer qu'un des fichiers de ViGuard (non actif) est détecté faussement comme SdBot, mais en précisant que c'est un heuristique...
PLus inquiétant, un scan complet de la machine par Antivir révèle des choses que KAV 6 n'a clairement pas vue, notamment des trojans. Voir le log.
Je n'ai à ce jour pas d'explication. Mais pour moi, d'un simple point de vue technique, c'est là où la défense "pro-active" aurait dû jouer : détection de modification d'application au minimum !
Nota : D'autres analyses sont à venir, et celles-ci sont remises à jour au fur et à mesure que je découvre les problèmes sur les machines.
Bon pour les besoins de la discussion (à l'époque), je me suis procuré les versions gratuites (si si, pas crackées), de F Prot et Mc Affee. Elles marchent toutes sous DOS, mais par de petites manips on peut les rendre accessibles par le bouton droit le la souris.
Etant resté 10h sans firewall (une étourderie), j'ai récupéré il n'y a pas longtemps 2 virus IRC et 1 trojan. J'ai donc pu vérifier ce qui se passait en scannant le dossier les regroupant: Mc Affee c'est à peu près ça, il ne me trouve qu'un seul virus (le problème est que ses résidents ne sont pas assez résistants, et j'ai de nombreuses fois entendu parler de soucis avec lui). Antivir, me trouve 1 virus et 1 trojan et AVAST pareil (il s'agissait de Sdbot et randex entre autres).
Je précise que Viguard n'a rien dit, nous sommes dans le même cas que pour Optix. Par contre, au premier redémarrage, ou à la première modification du système, boum, au revoir les virus.
Il y a quelques temps (21/03), j'ai vu le cas d'une machine infectée de façon prononcée. Antivir, MacAfee, ClamWin y ont été passés, notamment via PE Builder. Antivir V7 ne voulait pas s'installer (runtime exception). En cherchant une vieille version (v6), il a bien voulu s'installer et a téléchargé automatiquement la v7, qui là, s'est bien déployée. Le scan ne donnait toujours rien.... et pourtant, un petit xcleaner (sur le site www.soywareguide.com) a détecté un badtrans.b !! Aucun des autres ne l'avait vu... késako ? ces antivirus connaissent et arrêtent pourtant badtrans depuis plus de 2 ans, puisque je les ai utilisés justement pour désinfecter d'autres machines... Cette même machine était infectée par du Klez.h, avait de nombreux fichiers manquants (= > klez), l'explorateur qui n'affichait plus l'arborescence des répertoires, et un IE qui plantait allègrement.
CONCLUSION :
::----------------------------::
Il n'y a pas de solution miracle à proprement parler, simplement un tri sélectif possible. Aucun antivirus n'est fiable à 100%, c'est un problème mathématique qu'un certain Guillermito a eu raison de mettre en avant. Le meilleur des antivirus pourrait être tout simplement la réflexion de l'utilisateur face à ce qu'il fait. Mais contrairement à il y a 2 ou 3 ans, je pense qu'aujourd'hui, même un spécialiste ne peut rester sans protection aucune. Au strict minimum, un clamwin pour tester des fichiers douteux... Rappelons que simplement en étant connecté à internet, on peut se faire infecter par des virus comme Sdbot (et plein d'autres), si l'on a pas mis à jour sa machine (ou si l'on est dans la "fenêtre de vulnérabilité", entre la découverte de faille et la publication de la rustine...). A bon entendeur...
Auteur : Philippe, alias Sphinx.
La plupart des logiciels évoqués ici sont freewares, sauf précision supplémentaire (notamment Viguard).
Vous pouvez reprendre des écrits publiés ici (sans les déformer) par simple demande par mail à sphinx@n0rt0n POINT com
Retour en Haut de Page | Compteur :
