Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Virus

Petit essai AntiVir 6 Personnal : 54 virus détectés sur 67

Le
Hakkar
Bonjour,

Suite aux (très bons) conseils qui m'ont été donnés ici, j'ai opté pour
AntiVir Personnal Edition.

Installation très facile, pas d'enregistrement à effectuer, très compact (<
4 Mo), l'update automatique ou manuel, très simple à configurer, très peu
gourmand en RAM et ressources (même en mode "All Files" pendant un surf
appuyé) et apparamment très puissant.

J'ai voulu lui donner à manger ma petite collection de virus (71 au total,
dont bien la moitié dont j'ai été personnellement victime, et retirés à la
main après examen de la BDR et des derniers fichiers ajoutés, oui, je suis
un homme, un vrai :-)

Voici ce que AntiVir a détecté :
(Première ligne ID du virus à la manière Kaspersky - et nom du fichier sur
mon disque, ce qui est entre parenthèses c'est le type d'extension à
l'origine et la taille en ko pour certaines versions multiples.Deuxième
ligne, ce que raconte AntiVir.Certains virus intégrés dans un mail sont
accompagnés de leur lanceur, identifié lui aussi.Certains fichiers n'avaient
pas d'extension à l'origine).

Backdoor.Katien.a (exe)
The Trojan horse TR/Katien

Exploit.Java.Bytverify (class)
The Trojan horse TR/Java.ByteVerify

I-Worm.Dumaru.a (exe)
Contains signature of the worm Worm/Dumaru.A

I-Worm.Magistr.b (exe)
Contains code of the Windows virus W32/Magistr.B

I-Worm.Mimail.e (zip)
Contains signature of the worm Worm/Mimail.A

I-Worm.Sober (com)
Contains signature of the worm Worm/Sober

I-Worm.Sobig.e (zip)
Contains signature of the worm Worm/Sobig.E

Worm.P2P.SpyBot.gen (exe)
Contains signature of the worm Worm/SpyBot.P2P.Gen

I-Worm.Swen (exe)
Contains signature of the worm Worm/Gibe.C.1

Trojan.Java.ClassLoader.Dummy.a (class)
The Trojan horse TR/Forten.Java.2

Trojan.Java.ClassLoader.Dummy.c (class)
The Trojan horse TR/ClaLdr.Dummy.C

Trojan.Java.ClassLoader.Dummy.e (class)
The Trojan horse TR/ClassLoader.E

Trojan.Win32.StartPage.y (exe)
The Trojan horse TR/StartPage.Y

TrojanClicker.Win32.Qhost.a (def)
The Trojan horse TR/Qhost.A.2

TrojanDownloader.Win32.Small.aa (exe)
The Trojan horse TR/Delf.P1.A

Win32.HLLP.Hantaner (exe)
Contains signature of the Windows virus W32/Hantaner

Trojan.Win32.Fakesvc.c (exe)
The Trojan horse TR/Fakesvc.C.2

I-Worm.KakWorm (htm)
The Trojan horse TR/Felix

Backdoor.SubSeven.213.bonus (exe)
The Trojan horse TR/Sub7.Bonus.Srv

I-Worm.Sircam.c (dat)
Contains signature of the worm Worm/W32.Sircam.C

I-Worm.Gibe.b (exe)
Contains signature of the worm Worm/Gibe.B.3

I-Worm.Sircam.c (exe)
Contains signature of the worm Worm/W32.Sircam.C

I-Worm.Magistr.b (bat) (128)
Contains code of the Windows virus W32/Magistr.B

I-Worm.Plage (exe)
Contains signature of the worm Worm/P2000

I-Worm.Klez.h (93.5)
Contains signature of the worm Worm/Klez.E

I-Worm.Magistr.a (exe)
Contains code of the Windows virus W32/Magistr.B

I-Worm.Klez.h (86)
Contains signature of the Windows virus W32/Elkern.C

I-Worm.Sobig.gen (zip)
Contains signature of the worm Worm/Sobig.E

W95.CIH
Contains code of the Windows virus W95/CIH.A

I-Worm.Tanatos.b (scr)
Contains signature of the worm Worm/Bugbear.B

I-Worm.Magistr.b (bat) (67)
Contains code of the Windows virus W32/Magistr.B

I-Worm.Sobig.b (pif)
Contains signature of the worm Worm/Sobig.B

I-Worm.Tanatos (scr)
Contains signature of the worm Worm/BugBear.1

I-Worm.Tanatos (exe)
Contains signature of the worm Worm/BugBear.1

I-Worm.Tanatos.dam
Contains signature of the worm Worm/Bugbear.B

I-Worm.Magistr.b (bat) (36)
Contains code of the Windows virus W32/Magistr.B

I-Worm.Klez.h (34.1)
Contains signature of the worm Worm/Klez.E

I-Worm.Navidad.a (exe)
The Trojan horse TR/Worm.Navidad

I-Worm.Avron.c (exe)
Contains signature of the worm Worm/Avril.A.2

I-Worm.Lentin.g (scr)
Contains signature of the Windows virus W32/Yaha.E

I-Worm.BadtransII (exe)
Contains signature of the worm Worm/BadTrans.B1

I-Worm.Hybris.b (exe)
Contains signature of the Windows virus W95/Hybris.PI.001

Trojan.Win32.Lolita.d (exe)
The Trojan horse TR/Lolita.D

VBS.AVM (vbs)
Contains signature of the VBS.Happy #2 virus

I-Worm.LoveLetter (vbs) (12.3)
Contains signature of the VBS.Loveletter.B virus

I-Worm.LoveLetter (vbs) (11.8)
Contains signature of the VBS.Loveletter.B virus

TrojanDropper.VBS.Inor (hta)
Contains signature of the worm Worm/Jeem.1

I-Worm.LoveLetter (vbs) (9.79)
Contains signature of the VBS.Loveletter.B virus

I-Worm.HappyTime (txt)
Contains signature of the worm Worm/HappyTime

Trojan.PSW.Hooker.24.h (dll)
Contains signature of the worm Worm/BadTrans.B2

I-Worm.KakWorm (html)
The Trojan horse TR/Felix

TrojanDropper.Win32.Joiner.r + Backdoor.Freddy.03 (exe)
Contains a signature of the (dangerous) backdoor program BDS/Freddy.02.B
Backdoor server programs

VBS.VBSWG-based (vbs)
Contains signature of the VBS script virus VBS/PicaWorm.C2

Trojan.JS.ExitW.b (html)
Contains signature of the JScr/ExitW.B1 virus

Pas mal, non ?

Mais voilà ce que n'a pas détecté AntiVir :

Exploit.IFrame.FileDownload + I-Worm.BadtransII (eml)
Exploit.IFrame.FileDownload + i-Worm.Bridex (eml)
Exploit.IFrame.FileDownload + I-Worm.Klez.h (eml)
Exploit.IFrame.FileDownload + I-Worm.Lentin.g (eml)
Exploit.IFrame.FileDownload + I-Worm.Tanatos (eml)
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)
W95.CIH (eml)

Bon, il ne sait peut-être pas lire les archives mail mais plus embétant :

I-Worm.HappyTime (zip)
Trojan.Java.ClassLoader.d (class)
Trojan.Win32.Densmail 16 (exe)
TrojanDownloader.Win32.Delf.q (exe)
TrojanDropper.DOS.Rute (exe)
VBS.VBSWG-based + VBS.AVM + I-Worm.LoveLetter (zip)

La MAJ est pourtant la dernière en date : 12 décembre 2003

Mais enfin, pour du gratuit, je trouve ça excellent :-)

Très amicalement

Hakkar
Lire les 18 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
arnaud
Le #1550709
Salut,
merci pour ce test interressant.
J'ai quelques commentaires pour ponderer les echecs de Antivir.

Hakkar wrote:
Pas mal, non ?

Mais voilà ce que n'a pas détecté AntiVir :

Exploit.IFrame.FileDownload + I-Worm.BadtransII (eml)
Exploit.IFrame.FileDownload + i-Worm.Bridex (eml)
Exploit.IFrame.FileDownload + I-Worm.Klez.h (eml)
Exploit.IFrame.FileDownload + I-Worm.Lentin.g (eml)
Exploit.IFrame.FileDownload + I-Worm.Tanatos (eml)
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)
W95.CIH (eml)
Les virus dans les emails ne sont dangereux que si on a

un lecteur email qui autorise le javascript, l'activeX, etc.
Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera
pas.
Avez-vous essayé de copier l'attachement sur le disque ?
Normalement Antivir devrait reagir à ca.


I-Worm.HappyTime (zip)
Trojan.Java.ClassLoader.d (class)
Trojan.Win32.Densmail 16 (exe)
TrojanDownloader.Win32.Delf.q (exe)
TrojanDropper.DOS.Rute (exe)
VBS.VBSWG-based + VBS.AVM + I-Worm.LoveLetter (zip)


Est-ce que Antivite detecte bien les virus au moment du unzip ?

Pour les exe et le class qui passe à coté peut etre qu'un petit mail au
support de Antivir pourrait résoudre ce problème.
Je note cependant que Antivir laisse passer des Trojans qui ne sont pas
à proprement parlé des virus. Normalement, un pare-feu devrait eviter
les dégats.


Arnaud.

Répondre en citant
joke0
Le #1550687
Salut,

Hakkar:
I-Worm.Sobig.gen (zip)


T'es sûr là? Ça ressemble à une ancienne détection de
Sobig.e :-/

TrojanDropper.VBS.Inor (hta)


Pareil, il y a plusieurs Inor.

Ces bestioles sont toujours détectées par KAV?

Mais voilà ce que n'a pas détecté AntiVir :

Exploit.IFrame.FileDownload + I-Worm.BadtransII (eml)
Exploit.IFrame.FileDownload + i-Worm.Bridex (eml)
Exploit.IFrame.FileDownload + I-Worm.Klez.h (eml)
Exploit.IFrame.FileDownload + I-Worm.Lentin.g (eml)
Exploit.IFrame.FileDownload + I-Worm.Tanatos (eml)
W95.CIH (eml)


Tu es sûr au niveau des options? De toute façon, ces fichiers ne
sont dangereux que si on utilise un OE troué et/ou mal configuré
ou si on clique dessus. Antivir doit les détecter si tu les
scannes après enregistrements sur le disque des PJ.

I-Worm.Sobig.f.txt


Détection utile uniquement pour filtrer les spams de Sobig
directement sur les serveurs. Je n'ai pas vérifié, mais il me
semble que la signature a été enlevée de la base.

+ I-Worm.Sobig.f.dam (eml)

Inoffensif car abimé.

plus embétant :
I-Worm.HappyTime (zip)


C'est du html/vbs à l'intérieur.

Trojan.Java.ClassLoader.d (class)
Trojan.Win32.Densmail 16 (exe)
TrojanDownloader.Win32.Delf.q (exe)
TrojanDropper.DOS.Rute (exe)
VBS.VBSWG-based + VBS.AVM + I-Worm.LoveLetter (zip)


Là, c'est pas terrible quand même :-(

Il faudrait peut-être voir les échantillons. KAV détecte souvent
des éléments inoffensifs du malware sous le même nom que le
malware lui-même...

Mais enfin, pour du gratuit, je trouve ça excellent :-)


C'est sufisant pour qqn qui utilise les bons logiciels et qui ne
fait pas n'importe quoi sur son PC.

--
joke0

Répondre en citant
Hakkar
Le #1550686
Salut Joke0,

T'es sûr là? Ça ressemble à une ancienne détection de
Sobig.e :-/


Re-analysé par Kaspersky ce soir cela me donne en effet :
Current object: I-Worm.Sobig.gen (zip)
I-Worm.Sobig.gen (zip) Archive: ZIP
I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e

Soit Kaspersky a changé depuis son identification, soit lorsque je l'ai fait
analyser la première fois, ce n'était pas par Kaspersky.Je corrige
d'ailleurs le nom du fichier tout de suite.

Pareil, il y a plusieurs Inor.


Current object: TrojanDropper.VBS.Inor (hta)
TrojanDropper.VBS.Inor (hta) Infected: TrojanDropper.VBS.Inor.a
11 ko... encore un autre à renommer, caramba !

Ces bestioles sont toujours détectées par KAV?


Ben oui, cela se supprime des fichiers de définitions des signatures ? Ca ne
se périme jamais un virus, enfin... sauf ceux qui ont un timing à respecter.

Tu es sûr au niveau des options?


Vouivoui, j'ai serré au maximum, j'ai même demandé la détection des jeux et
programmes jokes.D'ailleurs rien de détecté à ce niveau là, pourtant j'ai
bien Freecell et deux trois jeux sur mon disque...

De toute façon, ces fichiers ne
sont dangereux que si on utilise un OE troué et/ou mal configuré


Ce qui est mon cas...

ou si on clique dessus. Antivir doit les détecter si tu les
scannes après enregistrements sur le disque des PJ.


Si c'est enregistré sur le disque, dans mon cas cela signifie que c'est
aussi déjà exécuté ! Je n'ai pas trop envie de tester les possibilités de
AntiVir à stopper une exécution : je ne sais pas s'il en est capable.

Détection utile uniquement pour filtrer les spams de Sobig
directement sur les serveurs. Je n'ai pas vérifié, mais il me
semble que la signature a été enlevée de la base.


Current object: I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) Archive: Mail
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003
21:58:22 +0200]/UNNAMED Ok
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003
21:58:22 +0200]/text Ok
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003
21:58:22 +0200]/your_document.pif Infected: I-Worm.Sobig.f.dam

Oui, pas de détection de I-Worm.Sobig.f.txt

C'est du html/vbs à l'intérieur.


Tiens, ça j'ai : un petit patch qui bloque les VBS :-) C'est un exploit !
Enfin, non, justement...


Là, c'est pas terrible quand même :-(


Ben non... mais c'est gratuit :-)

Il faudrait peut-être voir les échantillons. KAV détecte souvent
des éléments inoffensifs du malware sous le même nom que le
malware lui-même...


Ils sont complets et virulents : tous les virus que je n'ai pas eu à essayer
malgrès moi l'ont été sur mon vieux PI : le code est complet... pauvre 486 !
Il a même Form et Parity Boot mais je n'arrive pas à les récupérer sous
forme de fichiers dans le secteur de boot...

C'est sufisant pour qqn qui utilise les bons logiciels et qui ne
fait pas n'importe quoi sur son PC.


Je m'en suis passé jusqu'à présent, mais je dois dire que c'est pas plus mal
qu'il tourne en fond et que j'ai à la portée d'un clic de souris un scanner
désormais :-)

Amicalement

Hakkar

Répondre en citant
Hakkar
Le #1550685
Bonsoir Arnaud,

merci pour ce test interressant.


Je pensais aussi essayer les autres AV désignés dans la FAQ mais je vais
m'arréter là : définitivement AntiVir est parfait pour moi, hyper léger il
ne ralentit pas du tout mon système et toutes les fonctions imaginables sont
là.Ah si : je n'ai pas trouvé de recherche heuristique, mais bon... je ne
pense pas la chose indispensable, peut-être même génératrice d'alertes
érronnées.

Les virus dans les emails ne sont dangereux que si on a
un lecteur email qui autorise le javascript, l'activeX, etc.


Oui mais... non, bon, je n'ai rien dit, je dois changer de version tantôt
:-)

Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera
pas.


Hélas il y a bien souvent le lanceur avec...

Avez-vous essayé de copier l'attachement sur le disque ?


Euh... non : mon OE 5 n'est pas du tout patché et ouvrir un tel mail serait
exécuter l'attachement si le lanceur est présent (ce qui est presque
toujours le cas).Je ne sais pas si AntiVir a la possibilité de bloquer une
exécution.

Normalement Antivir devrait reagir à ca.


L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à
tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais
si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle
attitude aurait AntiVir... Je n'ai pas trop envie de nettoyer tout mon
système à nouveau :-)

Est-ce que Antivite detecte bien les virus au moment du unzip ?


Pas essayé non plus, je n'ai plus trop de souvenirs mais je crois que deux
ou trois de mes virus se lancent lorsque on les dézippe.J'en ai même un qui
se lance lors d'un double clic, même renommé et sans extension (mes fichiers
non référenciés dans la BDR sont lus par défaut par IrfanView, cela ne les
exécute pas en principe...).

Pour les exe et le class qui passe à coté peut etre qu'un petit mail au
support de Antivir pourrait résoudre ce problème.


Ouiii, je comptais leur écrire pour les féliciter pour leur produit de toute
manière.

Je note cependant que Antivir laisse passer des Trojans qui ne sont pas
à proprement parlé des virus. Normalement, un pare-feu devrait eviter
les dégats.


Euh... un AV c'est déjà un gros progrès pour moi, le firewall on verra plus
tard, lorsque j'aurais compris cette notion de port et qu'un enfoiré aura
joué avec mon disque à 5000 km de distance...

Amicalement

Hakkar (internet depuis 1994, un AV depuis aujourd'hui !)

Répondre en citant
Frederic Bonroy
Le #1550683
Hakkar wrote:

Euh... non : mon OE 5 n'est pas du tout patché


Vous attendez quoi? Le prochain iframe viendra certainement. :-)

et ouvrir un tel mail serait exécuter l'attachement si le lanceur est présent
(ce qui est presque toujours le cas).Je ne sais pas si AntiVir a la
possibilité

de bloquer une exécution.


Normalement oui. Mais il vaut mieux appliquer les correctifs que de
faire confiance à l'antivirus.

L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à
tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais
si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle
attitude aurait AntiVir...


La même.

Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme