bon ben …
si quelqu’un a ces fameux drivers vérolés, contactez moi par MP, merci
@+
Bonjour à vous,
J’ai trouvé ce sujet car il pointe sur mon site… d’ailleurs la nouvelle adresse est www.n0rt0n.com (l’autre me servait de miroir/backup au cas où, et il a sauté il y a quelques temps)
En fait ce n’est pas aussi simple…
Pour moi la protection de ViGuard est effective même sans scanner à côté.
Maintenant il faut garder à l’esprit que vu le fonctionnement du logiciel, il ne garantit pas que le disque est sain mais que la mémoire + le système sont sains (c’est différent mais suffisant pour assurer la protection).
En gros, je télécharge un truc bidon sur un site, il contient un cheval de troie par exemple. Je m’en aperçois car ViGuard bippe pour les modules de démarrage. Je tue la bête en question grâce à la question posée par Viguard (quand on refuse un ajout au démarrage, il le propose par défaut), mais il ne va pas supprimer le fichier du disque !
Donc dans ce cas, un scanner “à la demande” genre ClamWin peut faire complément pour nettoyer le disque de virus non actifs donc non dangereux. C’est une simple précaution supplémentaire pour éviter de recliquer sur ledit fichier et regénérer l’alerte pour rien.
Pour l’histoire du driver, je rappelle que toute installation (sauf “décompression” uniquement) provoque une alerte Viguard pour modification de fichier ou modification des modules de démarrage.
En outre, bien joli de citer un virus (funlove) mais en voici le détail :
http://www.symantec.com/security_response/…-122010-2651-99
donc
- infection de fichiers exécutables => détection par Viguard
- ajout d’un service => dans tous les cas détecté par viguard !
Faut-il que je le lance chez moi pour en apporter la preuve, qui dans ce cas, me semble complètement inutile ?
Enfin, j’adore ce lien sur 01net… pourquoi ? parce qu’il démontre par A+B plusieurs points tout à fait favorables à Viguard :
- les éditeurs antivirus enlèvent discrètement des anciennes signatures => trou de protection. Comment décider de quel virus enlever ?
- le système par signature est très lourd question performance : on atteint du 185000 virus dans certaines bases antivirales ! => perte de performances, problème de mise à jour critique, etc
Donc = > intérêt de la technologie sans mise à jour = Viguard (et il n’est pas le seul).
Si la technologie sans signature était sans intérêt, pourquoi des projets comme System Safety Monitor (entre autres) auraient vu le jour ???
[edit]
Je voudrais rajouter la chose suivante : quand on fait du téléchargement sur des sites officiels, il y a quand même un risque. Pourquoi? parce qu’aucun antivirus du marché ne détecte tous les virus existants et qu’on tombera un jour ou l’autre sur un qui passera à travers. Ce n’est pas pour autant que les sites “officiels” sont sans risque, l’exemple d’HP le prouve, mais il y a beaucoup moins de risques, tout simplement.
Un petit test ? les courageux peuvent aller sur www.a;n;d;r.net (en enlevant les “;”, question d’éthique). Moi en tout cas, y a 15 jours j’ai pas rigolé avec KAV6 en tests…
[edit2]
rectification de quelques étourderies 
@+++
peut etre pour les anciens av , norton and co , qui sont de toutes manieres depassés par les nouvelles menaces actuelles , faux pour les nouveaux av >>> nod32 , vba32 etc…
un bon av est un av qui utilise les 2 voir 3 methodes de detection
- signatures
- heuristique
- emulation
une seule methode ( detection comportementale ) comme celle de viguard n est pas suffisante , a la limite il peut etre utiliser en complement d un autre av.
viguard a une mauvaise reputation >> voir l affaire guillermito
pub mensongere , aucun av ne peut arreter 100% des menaces , de plus il ya des mises a jour de viguard pour les derniers virus chaques années…
viguard doit etre installé sur un system sain , si un malware est deja installé avant viguard celui ci n y verra rien
viguard n est pas destiné aux debutants , bref il n arrive pas a la cheville de nod32 :paf:
un truc sur quoi je suis d’accord
par contre faut m’expliquer là !
mais il y a des MAJ pour les nouvelles menaces … comme les antivirus , AVP ou C° sont encore à leur version 1.0 ??? :ane:
Resalut a tout le monde et a runestaff
Le probleme est que tout le monde a tendance a opposer antivirus comportementaliste et antivirus avec mises a jour ! ce qui est dommage !
Le top serait de voir un nouveau logiciel antivirus integrant toutes ces methodes de detection :
- signatures
- heuristique
- emulation
- comportementale
“Un petit test ? les courageux peuvent aller sur www.a;n;d;r.net (en enlevant les “;”, question d’éthique). Moi en tout cas, y a 15 jours j’ai pas rigolé avec KAV6 en tests…”
=> salut sphinx. Qu’est ce qu’a de particulier le site dont tu parles ?
Je t’ai laissé a plusieurs reprises des messages (forum de ton site…) sans reponse ! Me fais tu la tete ?
Bye
Non je ne fais pas la tête, je travaille, tout simplement. Et je t’ai répondu par mail avant de voir ces nouveaux messages. De plus le système d’AOL (ta boite mail) m’a renvoyé 5avis de “non délivrance temporaire”. Bref.
Je suis désolé mais NOD32 n’a pour moi que 2 principaux avantages:
- il peut tourner (en actif) en parallèle de Viguard sans créer de conflit (du moins à ma connaissance)
- il est un des plus légers du marché.
Question définitions, (base de détection virale), là c’est autre chose. Ne serait-ce juste par ce que je vois en dépannage, je le trouve plutôt aveugle puisque je dois passer 3 ou 4 scanners sur le machines pour les désinfecter (sophos, antivir, mcafee, FProt, tout en ligne de commande ; et Ewido ou autre antispy).
Si vous ne me croyez pas, je vous renvoie au test de clubic d’aout :
http://www.clubic.com/article-37030-11-com…virus-2006.html
Détection : NOD32 pas premier du tout
Temps de scan : pas premier du tout non plus !
Test 2 : je cite : [quote=""]
NOD32 s’avère assez décevant : il est le plus rapide mais pas un des plus performants, 10 menaces lui échappant.
[/quote]
Dans le passé je m’étais fait un plaisir de démonter le test de Clubic sur les antivirus puisqu’ils ne comparaient que “bouton droit, analyser avec…” ce qui est loin d’être la seule caractéristique à comparer pour un antivirus. Mais là, le test me semble un peu mieux.
Ici aussi : http://www.developpez.net/forums/archive/i…hp/t-11099.html
Sur NOD32, pas que du bien : problème de désinstallation, malwares non détectés ou non éradiqués, bref il est loin d’être parfait (aucun AV ne l’est d’ailleurs).
Maintenant question rapidité de mise à jour, Sophos passe largement en tête puisque c’est un des rares, sinon les seuls, du marché à sortir une vraie signature presque toutes les heures ! (quelques ko suffisent, en fichier .ide). Du coup effectuer la mise à jour 24/24 devient critique pour les utilisateurs…
Mis à part KAV apparemment, pour la plupart autres AV, c’est des mises à jour éventuelles du produit qu’on récupère et non des signatures tout le temps.
Exemple : McAfee, la mise à jour est par défaut hebdomadaire, le mercredi soir.
Seul un certain seuil d’alerte sur nouveau virus va pousser à sortir une signature immédiate. (SVP avant de dire que c’est faux, analysez lez fichiers téléchargés par vos antivirus et vous verrez).
Enfin, pour reprendre ce que certains ont dit :
Hmmm rassure moi, pour dire cela, tu as trouvé un virus qui passe à travers Viguard ? si oui, donne-moi son nom, je fais le test de suite… Tout ce que j’ai pu trouver pour le moment est sur mon site, et je continue de chercher… Je rappelle que Viguard a d’autres niveaux de protection (notamment instructions dangereuses dans les fichiers)
mdr !
Basée sur quoi la réputation ? des virus qui passent à travers ? oui 6 virus “de labo” à une époque, et preuve à l’appui, ce n’est plus vrai aujourd’hui…
De plus, facile de dire “boycott viguard” sans avoir rien compris à son fonctionnement, ou pire, sans l’avoir testé. Je pense être intervenu sur assez de forums dans cette optique, marre à la fin. Je te renvoie sur mon site, http://www.n0rt0n.com/viguard.html rubrique “exemple de ceux qui n’ont rien compris”.
Et si on se fie à la “réputation”, alors Norton “c’est le meilleur” pourtant je fais exploser Google à chaque fois que je tape ‘Norton+probleme’… ce n’est qu’un exemple.
@+++
Resalut
Et merci pour tes explications !
Par contre pour désinfecter un Windows XP en NTFS, quel est pour toi le meilleur moyen ?
J’ai entendu dire qu’ultimate boot proposait plusieurs utilitaires de désinfection (4 antivirus je crois dont F-Prot, Avast…).
Mais desinfectent ils rellement les fichiers sous NTFS ? Est ce que ces antivirus se mettent a jour et comment lorsque l’on a une carte reseau et un routeur ?
Merci
Salut,
NTFS => besoin d’un moyen fiable pour écrire sur le système de fichiers sans le casser (donc gérer les droits d’accès, les MFT multiples, et les fonctions non documentées du NTFS, …)
Or pourtant, machine infectée = processus qui tournent, qui s’autoprotègent (impossible à terminer/supprimer), qui se cachent (cf rootkits), etc
Donc il faut désinfecter depuis une plateforme SAINE.
Mais à cause du NTFS, tout scanner sous linux (en natif) pose problème car ils n’ont pas de doc sur ce système de fichiers et les modules d’écriture sont en bêta.
Le CD BitDefender a eu la bonne idée de rajouter un module d’import des drivers NTFSde la partition Windows et de scanner avec. Malheureusement, son taux de détection ne m’a jamais convaincu.
Donc sans hésiter, c’est le projet Bart CD qui me parait le mieux indiqué. (noyau dérivé de XP SP2, donc pas de soucis avec NTFS, et bootable sur CD).
J’ai créé une mini procédure de désinfection sur mon site (lien bart CD en bas):
http://www.n0rt0n.com/desinfection.html
Elle n’est pas finie mais c’est un début.
Si je résume les outils antiviraux que j’utilise avec Bart CD :
- Antivir (très bons résultats)
- McAfee (en ligne de commande)
- Sophos (SAV32CLI)
- KAV 5 adaptée pour BartCD (shell)
- AdAware SE
- F-Prot (et pas F-Secure, en ligne de commande)
- clamwin éventuellement
- il m’arrive, après tous les précédents, de passer du Secuser.com (Trend)
Bientôt Ewido + A² seront rajoutés sur le CD (si quelqu’un les a déjà intégrés, merci de me dire comment ).
Les désinfections les plus retort me demandent 4 ou 5 scanners !
La plupart du temps, antivir + McAfee + Sophos sont suffisants (KAV pas mal non plus).
Puis je nettoie la machine et je scanne avec Spybot, pour notamment nettoyer le registre.
Et pour finir ne pas oublier de vérifier les mises à jour de la machine sur Win update.
Pour moi un antivirus à scanner est un “bloqueur”, c’est à dire qu’il doit voir le code viral avant exécution. uUne fois exécuté, ce n’est plus du tout pareil, d’ailleurs l’installation en milieu infecté est toujours une procédure spéciale.
@+++
Merci bien
et derniere question : est ce que via Bart PE les antivirus utilisés : Antivir… se mettent a jour via la connexion (routeur+carte reseau), et ou s’installent ces mises a jour ?
Merci
Salut,
hé bien je ne vais pas pouvoir résumer des sites / forums complets en quelques lignes.
En gros avec l’intégration du SP2 (XP) dans Bart CD, ils ont ajouté un module au démarrage de l’interface du CD qui permet de gérer la carte réseau.
Donc oui, Clamwin, Sophos, McAfee, KAV5 (de mémoire) peuvent se mettre à jour.
Antivir cela doit dépendre du type de mise à jour, c’est à vérifier.
J’avoue regraver régulièrement le CD pour mettre à jour tous les antivirus, et pas lancer le CD puis mettre à jour dans Bart CD les programmes.
Plein de forums liés au travail de Bart et Séverin (traducteur FR) en parleront bien mieux que moi.
@+++
mouai le test de clubic , bof bof un peu meilleur que les precedents mais pas tres approfondi , il vaut mieu se fier a ces test de http://www.av-comparatives.org/ le plus "pro et independant" sur le net actuellement .
Concernant sa capacité a nettoyer , aucun pb chez moi , et il en trouve des malwares derrieres un norton , mc affee etc … certes il peut faillir par moment , comme tout av , aucun n est infaillible a 100 % .
Autre chose beaucoup de trojans , spy , virus etc… sont cryptés , packés , modifiés pour echapper aux av , il me faut 10 mn pour modifier un trojan et le rendre undetect a la plupart des av que tu viens de citer , pour nod c est un peu plus dur de part son emulation et son " depackeur" generic , c est possible mais ça prend plus de temps !! pour kav c est tres facile ! il utilise un " depackeur " statique , pas d emulation de codes. Sans parler des scan memoire dont beaucoup d av sont depourvu.
Bref tous ça pour dire que pour faire un test sur des av , il y a beaucoup plus de parametres a prendre en compte , que de la simple detection via signatures .
Salut,
Je n’ai jamais dit que le test de clubic était parfait (c’était assez clair je crois).
C’était simplement un exemple de test de la base de définitions.
Quand à son dépackeur “générique”, il y a une grosse nuance à apporter.
Si aujourd’hui on a tant de variantes du même virus, c’est que souvent il s’agit en fait du même virus (ou à peu près) mais il a été “packé” avec un packeur “maison”. Cela crypte et compresse le code. Sans connaitre la technique de dépackage, le code est inaccessible par le scanner. Seule l’éxécution décompresse/décrypte le code en live.
On ne peut pas à ma connaissance sortir un dépackeur universel, puisque les “home wrappers” (wrapper = packeur) sont tous uniques.
C’est donc une course contre la montre entre les éditeurs d’antivirus et les auteurs de virus, ces derniers multipliant les wrappers.
Scénario de démo : je reprends un bon vieux CIH, je le passe dans mon wrapper maison, et ensuite je le scanne : il devient indétectable.
Cependant, je vais chercher plus ample information.
Un article "référence" : http://www3.ca.com/securityadvisor/newsinf…aspx?cid=48051
@+++
le metaphormisme c est autre chose !! bien plus compliqué a mettre en oeuvre mais cela concerne les virus et vers, pas les trojans spy etc… qui sont des codes statiques non auto replicant, dont la seule detection possible et l heuristique / emulation , le tagage avec signature de ce genre de virus est impossible, on là vu recemment avec le virus polypos ( polymorphique ) qui a foutu le souc chez la plupart des av :pt1cable: .
pour les depackeurs jette un oeil ici
re salut,
Article très intéressant, merci, je vais l’étudier de près dès que possible.
Après recherche, je voudrais préciser une chose. Certains wrappers cryptent le code binaire. Et le brute-force sur du code binaire, c’est mission impossible.
Dans ce cas donc, le système générique de “dépackeur” ne marchera pas…
Tout dépend donc du système d’autoprotection ou camouflage qu’ont choisi les codeurs de malwares.
@+++
evidemment il ne peut griller tous les crypter perso / pas perso, mais sont depackeurs est bien generique ( comme dit ds l article ) , a la difference de celui de kav qui lui en depack plus , mais est plus facilement contournable .
De toutes manieres , les malwares cryptés/packés sont depacker en memoire pour pouvoir fonctionner, donc griller par les av qui scannent la memoire tel que nod.
autre chose il ne font pas du brute force , le malware cryptés est lancé ds une sorte de mini os en memoire ( l emulateur ) , donc en clair, pour voir ses agissement et le repertorier en tant que malware ou pas .
Salut
Je vois que votre discussion semble assez "techniqueé ! Auriez vous des liens en francais qui parle de la détection utilisée selon les antivirus, leur performance…
merci ! ca m’eclairera beaucoup.
Bye
en français y en a pas des masses , doit en avoir ds la liste ci dessous
http://madchat.org/vxdevl/papers/avers/
notamment
Salut
Merci pour le pdf, je vais regarder ca de plus pres
Par contre je suis en train de tester Viguard Perso.
Ca a l’air d’etre un outil tres puissant dans le filtrage des applications.
J’ai testé Viguard avec le logiciel Advanced Process Termination dispo ici : http://www.diamondcs.com.au/index.php?page=apt
Ce logiciel permet de killer des processus selon 12 méthodes différentes ! Viguard avec ses reglages par defaut resiste a les trois quart de ces attaques et n’est pas killé.
Je pense qu’en faisant des regles specifiques, il serait possible de resister aux 12 méthodes. a tester.
Par contre dans la console viguard onglet PC-pass j’ai decoché pour iexplorer.exe l’autorisation de se connecter vers le reseau et pourtant lorsque je lance internet explorer, il est tout de meme possible de naviguer sur Internet avec IE ! Je ne comprends pas trop. Cela devrait pourtant empecher IE d’acceder au net !
Mystere mystere ! Si quelqu’un peut m’eclairer !
Merci
Re
Auriez vous des conseils pour parameter Viguard ?
bonjour
j’ai fais le test apt
j’ai effectué les 12 kills , les 2 kernell kill et les 2 crash
Viguard est toujours là , jamais arreté
edit
tu aura accée au forum de Viguard pour avoir des conseils de réglages