Petit essai AntiVir 6 Personnal : 54 virus détectés sur 67
18 réponses
Hakkar
Bonjour,
Suite aux (très bons) conseils qui m'ont été donnés ici, j'ai opté pour
AntiVir Personnal Edition.
Installation très facile, pas d'enregistrement à effectuer, très compact (<
4 Mo), l'update automatique ou manuel, très simple à configurer, très peu
gourmand en RAM et ressources (même en mode "All Files" pendant un surf
appuyé) et apparamment très puissant.
J'ai voulu lui donner à manger ma petite collection de virus (71 au total,
dont bien la moitié dont j'ai été personnellement victime, et retirés à la
main après examen de la BDR et des derniers fichiers ajoutés, oui, je suis
un homme, un vrai :-)
Voici ce que AntiVir a détecté :
(Première ligne ID du virus à la manière Kaspersky - et nom du fichier sur
mon disque, ce qui est entre parenthèses c'est le type d'extension à
l'origine et la taille en ko pour certaines versions multiples.Deuxième
ligne, ce que raconte AntiVir.Certains virus intégrés dans un mail sont
accompagnés de leur lanceur, identifié lui aussi.Certains fichiers n'avaient
pas d'extension à l'origine).
Backdoor.Katien.a (exe)
The Trojan horse TR/Katien
Exploit.Java.Bytverify (class)
The Trojan horse TR/Java.ByteVerify
I-Worm.Dumaru.a (exe)
Contains signature of the worm Worm/Dumaru.A
I-Worm.Magistr.b (exe)
Contains code of the Windows virus W32/Magistr.B
I-Worm.Mimail.e (zip)
Contains signature of the worm Worm/Mimail.A
I-Worm.Sober (com)
Contains signature of the worm Worm/Sober
I-Worm.Sobig.e (zip)
Contains signature of the worm Worm/Sobig.E
Worm.P2P.SpyBot.gen (exe)
Contains signature of the worm Worm/SpyBot.P2P.Gen
I-Worm.Swen (exe)
Contains signature of the worm Worm/Gibe.C.1
Trojan.Java.ClassLoader.Dummy.a (class)
The Trojan horse TR/Forten.Java.2
Trojan.Java.ClassLoader.Dummy.c (class)
The Trojan horse TR/ClaLdr.Dummy.C
Trojan.Java.ClassLoader.Dummy.e (class)
The Trojan horse TR/ClassLoader.E
Trojan.Win32.StartPage.y (exe)
The Trojan horse TR/StartPage.Y
TrojanClicker.Win32.Qhost.a (def)
The Trojan horse TR/Qhost.A.2
TrojanDownloader.Win32.Small.aa (exe)
The Trojan horse TR/Delf.P1.A
Win32.HLLP.Hantaner (exe)
Contains signature of the Windows virus W32/Hantaner
Trojan.Win32.Fakesvc.c (exe)
The Trojan horse TR/Fakesvc.C.2
I-Worm.KakWorm (htm)
The Trojan horse TR/Felix
Backdoor.SubSeven.213.bonus (exe)
The Trojan horse TR/Sub7.Bonus.Srv
I-Worm.Sircam.c (dat)
Contains signature of the worm Worm/W32.Sircam.C
I-Worm.Gibe.b (exe)
Contains signature of the worm Worm/Gibe.B.3
I-Worm.Sircam.c (exe)
Contains signature of the worm Worm/W32.Sircam.C
I-Worm.Magistr.b (bat) (128)
Contains code of the Windows virus W32/Magistr.B
I-Worm.Plage (exe)
Contains signature of the worm Worm/P2000
I-Worm.Klez.h (93.5)
Contains signature of the worm Worm/Klez.E
I-Worm.Magistr.a (exe)
Contains code of the Windows virus W32/Magistr.B
I-Worm.Klez.h (86)
Contains signature of the Windows virus W32/Elkern.C
I-Worm.Sobig.gen (zip)
Contains signature of the worm Worm/Sobig.E
W95.CIH
Contains code of the Windows virus W95/CIH.A
I-Worm.Tanatos.b (scr)
Contains signature of the worm Worm/Bugbear.B
I-Worm.Magistr.b (bat) (67)
Contains code of the Windows virus W32/Magistr.B
I-Worm.Sobig.b (pif)
Contains signature of the worm Worm/Sobig.B
I-Worm.Tanatos (scr)
Contains signature of the worm Worm/BugBear.1
I-Worm.Tanatos (exe)
Contains signature of the worm Worm/BugBear.1
I-Worm.Tanatos.dam
Contains signature of the worm Worm/Bugbear.B
I-Worm.Magistr.b (bat) (36)
Contains code of the Windows virus W32/Magistr.B
I-Worm.Klez.h (34.1)
Contains signature of the worm Worm/Klez.E
I-Worm.Navidad.a (exe)
The Trojan horse TR/Worm.Navidad
I-Worm.Avron.c (exe)
Contains signature of the worm Worm/Avril.A.2
I-Worm.Lentin.g (scr)
Contains signature of the Windows virus W32/Yaha.E
I-Worm.BadtransII (exe)
Contains signature of the worm Worm/BadTrans.B1
I-Worm.Hybris.b (exe)
Contains signature of the Windows virus W95/Hybris.PI.001
Trojan.Win32.Lolita.d (exe)
The Trojan horse TR/Lolita.D
VBS.AVM (vbs)
Contains signature of the VBS.Happy #2 virus
I-Worm.LoveLetter (vbs) (12.3)
Contains signature of the VBS.Loveletter.B virus
I-Worm.LoveLetter (vbs) (11.8)
Contains signature of the VBS.Loveletter.B virus
TrojanDropper.VBS.Inor (hta)
Contains signature of the worm Worm/Jeem.1
I-Worm.LoveLetter (vbs) (9.79)
Contains signature of the VBS.Loveletter.B virus
I-Worm.HappyTime (txt)
Contains signature of the worm Worm/HappyTime
Trojan.PSW.Hooker.24.h (dll)
Contains signature of the worm Worm/BadTrans.B2
I-Worm.KakWorm (html)
The Trojan horse TR/Felix
TrojanDropper.Win32.Joiner.r + Backdoor.Freddy.03 (exe)
Contains a signature of the (dangerous) backdoor program BDS/Freddy.02.B
Backdoor server programs
VBS.VBSWG-based (vbs)
Contains signature of the VBS script virus VBS/PicaWorm.C2
Trojan.JS.ExitW.b (html)
Contains signature of the JScr/ExitW.B1 virus
Salut, merci pour ce test interressant. J'ai quelques commentaires pour ponderer les echecs de Antivir.
Hakkar wrote:
Pas mal, non ?
Mais voilà ce que n'a pas détecté AntiVir :
Exploit.IFrame.FileDownload + I-Worm.BadtransII (eml) Exploit.IFrame.FileDownload + i-Worm.Bridex (eml) Exploit.IFrame.FileDownload + I-Worm.Klez.h (eml) Exploit.IFrame.FileDownload + I-Worm.Lentin.g (eml) Exploit.IFrame.FileDownload + I-Worm.Tanatos (eml) I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) W95.CIH (eml) Les virus dans les emails ne sont dangereux que si on a
un lecteur email qui autorise le javascript, l'activeX, etc. Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera pas. Avez-vous essayé de copier l'attachement sur le disque ? Normalement Antivir devrait reagir à ca.
Est-ce que Antivite detecte bien les virus au moment du unzip ?
Pour les exe et le class qui passe à coté peut etre qu'un petit mail au support de Antivir pourrait résoudre ce problème. Je note cependant que Antivir laisse passer des Trojans qui ne sont pas à proprement parlé des virus. Normalement, un pare-feu devrait eviter les dégats.
Arnaud.
Salut,
merci pour ce test interressant.
J'ai quelques commentaires pour ponderer les echecs de Antivir.
Hakkar wrote:
Pas mal, non ?
Mais voilà ce que n'a pas détecté AntiVir :
Exploit.IFrame.FileDownload + I-Worm.BadtransII (eml)
Exploit.IFrame.FileDownload + i-Worm.Bridex (eml)
Exploit.IFrame.FileDownload + I-Worm.Klez.h (eml)
Exploit.IFrame.FileDownload + I-Worm.Lentin.g (eml)
Exploit.IFrame.FileDownload + I-Worm.Tanatos (eml)
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)
W95.CIH (eml)
Les virus dans les emails ne sont dangereux que si on a
un lecteur email qui autorise le javascript, l'activeX, etc.
Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera
pas.
Avez-vous essayé de copier l'attachement sur le disque ?
Normalement Antivir devrait reagir à ca.
Est-ce que Antivite detecte bien les virus au moment du unzip ?
Pour les exe et le class qui passe à coté peut etre qu'un petit mail au
support de Antivir pourrait résoudre ce problème.
Je note cependant que Antivir laisse passer des Trojans qui ne sont pas
à proprement parlé des virus. Normalement, un pare-feu devrait eviter
les dégats.
Salut, merci pour ce test interressant. J'ai quelques commentaires pour ponderer les echecs de Antivir.
Hakkar wrote:
Pas mal, non ?
Mais voilà ce que n'a pas détecté AntiVir :
Exploit.IFrame.FileDownload + I-Worm.BadtransII (eml) Exploit.IFrame.FileDownload + i-Worm.Bridex (eml) Exploit.IFrame.FileDownload + I-Worm.Klez.h (eml) Exploit.IFrame.FileDownload + I-Worm.Lentin.g (eml) Exploit.IFrame.FileDownload + I-Worm.Tanatos (eml) I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) W95.CIH (eml) Les virus dans les emails ne sont dangereux que si on a
un lecteur email qui autorise le javascript, l'activeX, etc. Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera pas. Avez-vous essayé de copier l'attachement sur le disque ? Normalement Antivir devrait reagir à ca.
Est-ce que Antivite detecte bien les virus au moment du unzip ?
Pour les exe et le class qui passe à coté peut etre qu'un petit mail au support de Antivir pourrait résoudre ce problème. Je note cependant que Antivir laisse passer des Trojans qui ne sont pas à proprement parlé des virus. Normalement, un pare-feu devrait eviter les dégats.
Arnaud.
joke0
Salut,
Hakkar:
I-Worm.Sobig.gen (zip)
T'es sûr là? Ça ressemble à une ancienne détection de Sobig.e :-/
Tu es sûr au niveau des options? De toute façon, ces fichiers ne sont dangereux que si on utilise un OE troué et/ou mal configuré ou si on clique dessus. Antivir doit les détecter si tu les scannes après enregistrements sur le disque des PJ.
I-Worm.Sobig.f.txt
Détection utile uniquement pour filtrer les spams de Sobig directement sur les serveurs. Je n'ai pas vérifié, mais il me semble que la signature a été enlevée de la base.
Tu es sûr au niveau des options? De toute façon, ces fichiers ne
sont dangereux que si on utilise un OE troué et/ou mal configuré
ou si on clique dessus. Antivir doit les détecter si tu les
scannes après enregistrements sur le disque des PJ.
I-Worm.Sobig.f.txt
Détection utile uniquement pour filtrer les spams de Sobig
directement sur les serveurs. Je n'ai pas vérifié, mais il me
semble que la signature a été enlevée de la base.
Tu es sûr au niveau des options? De toute façon, ces fichiers ne sont dangereux que si on utilise un OE troué et/ou mal configuré ou si on clique dessus. Antivir doit les détecter si tu les scannes après enregistrements sur le disque des PJ.
I-Worm.Sobig.f.txt
Détection utile uniquement pour filtrer les spams de Sobig directement sur les serveurs. Je n'ai pas vérifié, mais il me semble que la signature a été enlevée de la base.
Il faudrait peut-être voir les échantillons. KAV détecte souvent des éléments inoffensifs du malware sous le même nom que le malware lui-même...
Mais enfin, pour du gratuit, je trouve ça excellent :-)
C'est sufisant pour qqn qui utilise les bons logiciels et qui ne fait pas n'importe quoi sur son PC.
-- joke0
Hakkar
Salut Joke0,
T'es sûr là? Ça ressemble à une ancienne détection de Sobig.e :-/
Re-analysé par Kaspersky ce soir cela me donne en effet : Current object: I-Worm.Sobig.gen (zip) I-Worm.Sobig.gen (zip) Archive: ZIP I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e
Soit Kaspersky a changé depuis son identification, soit lorsque je l'ai fait analyser la première fois, ce n'était pas par Kaspersky.Je corrige d'ailleurs le nom du fichier tout de suite.
Pareil, il y a plusieurs Inor.
Current object: TrojanDropper.VBS.Inor (hta) TrojanDropper.VBS.Inor (hta) Infected: TrojanDropper.VBS.Inor.a 11 ko... encore un autre à renommer, caramba !
Ces bestioles sont toujours détectées par KAV?
Ben oui, cela se supprime des fichiers de définitions des signatures ? Ca ne se périme jamais un virus, enfin... sauf ceux qui ont un timing à respecter.
Tu es sûr au niveau des options?
Vouivoui, j'ai serré au maximum, j'ai même demandé la détection des jeux et programmes jokes.D'ailleurs rien de détecté à ce niveau là, pourtant j'ai bien Freecell et deux trois jeux sur mon disque...
De toute façon, ces fichiers ne sont dangereux que si on utilise un OE troué et/ou mal configuré
Ce qui est mon cas...
ou si on clique dessus. Antivir doit les détecter si tu les scannes après enregistrements sur le disque des PJ.
Si c'est enregistré sur le disque, dans mon cas cela signifie que c'est aussi déjà exécuté ! Je n'ai pas trop envie de tester les possibilités de AntiVir à stopper une exécution : je ne sais pas s'il en est capable.
Détection utile uniquement pour filtrer les spams de Sobig directement sur les serveurs. Je n'ai pas vérifié, mais il me semble que la signature a été enlevée de la base.
Current object: I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) Archive: Mail I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003 21:58:22 +0200]/UNNAMED Ok I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003 21:58:22 +0200]/text Ok I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003 21:58:22 +0200]/your_document.pif Infected: I-Worm.Sobig.f.dam
Oui, pas de détection de I-Worm.Sobig.f.txt
C'est du html/vbs à l'intérieur.
Tiens, ça j'ai : un petit patch qui bloque les VBS :-) C'est un exploit ! Enfin, non, justement...
Là, c'est pas terrible quand même :-(
Ben non... mais c'est gratuit :-)
Il faudrait peut-être voir les échantillons. KAV détecte souvent des éléments inoffensifs du malware sous le même nom que le malware lui-même...
Ils sont complets et virulents : tous les virus que je n'ai pas eu à essayer malgrès moi l'ont été sur mon vieux PI : le code est complet... pauvre 486 ! Il a même Form et Parity Boot mais je n'arrive pas à les récupérer sous forme de fichiers dans le secteur de boot...
C'est sufisant pour qqn qui utilise les bons logiciels et qui ne fait pas n'importe quoi sur son PC.
Je m'en suis passé jusqu'à présent, mais je dois dire que c'est pas plus mal qu'il tourne en fond et que j'ai à la portée d'un clic de souris un scanner désormais :-)
Amicalement
Hakkar
Salut Joke0,
T'es sûr là? Ça ressemble à une ancienne détection de
Sobig.e :-/
Re-analysé par Kaspersky ce soir cela me donne en effet :
Current object: I-Worm.Sobig.gen (zip)
I-Worm.Sobig.gen (zip) Archive: ZIP
I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e
Soit Kaspersky a changé depuis son identification, soit lorsque je l'ai fait
analyser la première fois, ce n'était pas par Kaspersky.Je corrige
d'ailleurs le nom du fichier tout de suite.
Pareil, il y a plusieurs Inor.
Current object: TrojanDropper.VBS.Inor (hta)
TrojanDropper.VBS.Inor (hta) Infected: TrojanDropper.VBS.Inor.a
11 ko... encore un autre à renommer, caramba !
Ces bestioles sont toujours détectées par KAV?
Ben oui, cela se supprime des fichiers de définitions des signatures ? Ca ne
se périme jamais un virus, enfin... sauf ceux qui ont un timing à respecter.
Tu es sûr au niveau des options?
Vouivoui, j'ai serré au maximum, j'ai même demandé la détection des jeux et
programmes jokes.D'ailleurs rien de détecté à ce niveau là, pourtant j'ai
bien Freecell et deux trois jeux sur mon disque...
De toute façon, ces fichiers ne
sont dangereux que si on utilise un OE troué et/ou mal configuré
Ce qui est mon cas...
ou si on clique dessus. Antivir doit les détecter si tu les
scannes après enregistrements sur le disque des PJ.
Si c'est enregistré sur le disque, dans mon cas cela signifie que c'est
aussi déjà exécuté ! Je n'ai pas trop envie de tester les possibilités de
AntiVir à stopper une exécution : je ne sais pas s'il en est capable.
Détection utile uniquement pour filtrer les spams de Sobig
directement sur les serveurs. Je n'ai pas vérifié, mais il me
semble que la signature a été enlevée de la base.
Current object: I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) Archive: Mail
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003
21:58:22 +0200]/UNNAMED Ok
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003
21:58:22 +0200]/text Ok
I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003
21:58:22 +0200]/your_document.pif Infected: I-Worm.Sobig.f.dam
Oui, pas de détection de I-Worm.Sobig.f.txt
C'est du html/vbs à l'intérieur.
Tiens, ça j'ai : un petit patch qui bloque les VBS :-) C'est un exploit !
Enfin, non, justement...
Là, c'est pas terrible quand même :-(
Ben non... mais c'est gratuit :-)
Il faudrait peut-être voir les échantillons. KAV détecte souvent
des éléments inoffensifs du malware sous le même nom que le
malware lui-même...
Ils sont complets et virulents : tous les virus que je n'ai pas eu à essayer
malgrès moi l'ont été sur mon vieux PI : le code est complet... pauvre 486 !
Il a même Form et Parity Boot mais je n'arrive pas à les récupérer sous
forme de fichiers dans le secteur de boot...
C'est sufisant pour qqn qui utilise les bons logiciels et qui ne
fait pas n'importe quoi sur son PC.
Je m'en suis passé jusqu'à présent, mais je dois dire que c'est pas plus mal
qu'il tourne en fond et que j'ai à la portée d'un clic de souris un scanner
désormais :-)
T'es sûr là? Ça ressemble à une ancienne détection de Sobig.e :-/
Re-analysé par Kaspersky ce soir cela me donne en effet : Current object: I-Worm.Sobig.gen (zip) I-Worm.Sobig.gen (zip) Archive: ZIP I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e
Soit Kaspersky a changé depuis son identification, soit lorsque je l'ai fait analyser la première fois, ce n'était pas par Kaspersky.Je corrige d'ailleurs le nom du fichier tout de suite.
Pareil, il y a plusieurs Inor.
Current object: TrojanDropper.VBS.Inor (hta) TrojanDropper.VBS.Inor (hta) Infected: TrojanDropper.VBS.Inor.a 11 ko... encore un autre à renommer, caramba !
Ces bestioles sont toujours détectées par KAV?
Ben oui, cela se supprime des fichiers de définitions des signatures ? Ca ne se périme jamais un virus, enfin... sauf ceux qui ont un timing à respecter.
Tu es sûr au niveau des options?
Vouivoui, j'ai serré au maximum, j'ai même demandé la détection des jeux et programmes jokes.D'ailleurs rien de détecté à ce niveau là, pourtant j'ai bien Freecell et deux trois jeux sur mon disque...
De toute façon, ces fichiers ne sont dangereux que si on utilise un OE troué et/ou mal configuré
Ce qui est mon cas...
ou si on clique dessus. Antivir doit les détecter si tu les scannes après enregistrements sur le disque des PJ.
Si c'est enregistré sur le disque, dans mon cas cela signifie que c'est aussi déjà exécuté ! Je n'ai pas trop envie de tester les possibilités de AntiVir à stopper une exécution : je ne sais pas s'il en est capable.
Détection utile uniquement pour filtrer les spams de Sobig directement sur les serveurs. Je n'ai pas vérifié, mais il me semble que la signature a été enlevée de la base.
Current object: I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml) Archive: Mail I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003 21:58:22 +0200]/UNNAMED Ok I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003 21:58:22 +0200]/text Ok I-Worm.Sobig.f.txt + I-Worm.Sobig.f.dam (eml)/[From ][Date Sun, 31 Aug 2003 21:58:22 +0200]/your_document.pif Infected: I-Worm.Sobig.f.dam
Oui, pas de détection de I-Worm.Sobig.f.txt
C'est du html/vbs à l'intérieur.
Tiens, ça j'ai : un petit patch qui bloque les VBS :-) C'est un exploit ! Enfin, non, justement...
Là, c'est pas terrible quand même :-(
Ben non... mais c'est gratuit :-)
Il faudrait peut-être voir les échantillons. KAV détecte souvent des éléments inoffensifs du malware sous le même nom que le malware lui-même...
Ils sont complets et virulents : tous les virus que je n'ai pas eu à essayer malgrès moi l'ont été sur mon vieux PI : le code est complet... pauvre 486 ! Il a même Form et Parity Boot mais je n'arrive pas à les récupérer sous forme de fichiers dans le secteur de boot...
C'est sufisant pour qqn qui utilise les bons logiciels et qui ne fait pas n'importe quoi sur son PC.
Je m'en suis passé jusqu'à présent, mais je dois dire que c'est pas plus mal qu'il tourne en fond et que j'ai à la portée d'un clic de souris un scanner désormais :-)
Amicalement
Hakkar
Hakkar
Bonsoir Arnaud,
merci pour ce test interressant.
Je pensais aussi essayer les autres AV désignés dans la FAQ mais je vais m'arréter là : définitivement AntiVir est parfait pour moi, hyper léger il ne ralentit pas du tout mon système et toutes les fonctions imaginables sont là.Ah si : je n'ai pas trouvé de recherche heuristique, mais bon... je ne pense pas la chose indispensable, peut-être même génératrice d'alertes érronnées.
Les virus dans les emails ne sont dangereux que si on a un lecteur email qui autorise le javascript, l'activeX, etc.
Oui mais... non, bon, je n'ai rien dit, je dois changer de version tantôt :-)
Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera pas.
Hélas il y a bien souvent le lanceur avec...
Avez-vous essayé de copier l'attachement sur le disque ?
Euh... non : mon OE 5 n'est pas du tout patché et ouvrir un tel mail serait exécuter l'attachement si le lanceur est présent (ce qui est presque toujours le cas).Je ne sais pas si AntiVir a la possibilité de bloquer une exécution.
Normalement Antivir devrait reagir à ca.
L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle attitude aurait AntiVir... Je n'ai pas trop envie de nettoyer tout mon système à nouveau :-)
Est-ce que Antivite detecte bien les virus au moment du unzip ?
Pas essayé non plus, je n'ai plus trop de souvenirs mais je crois que deux ou trois de mes virus se lancent lorsque on les dézippe.J'en ai même un qui se lance lors d'un double clic, même renommé et sans extension (mes fichiers non référenciés dans la BDR sont lus par défaut par IrfanView, cela ne les exécute pas en principe...).
Pour les exe et le class qui passe à coté peut etre qu'un petit mail au support de Antivir pourrait résoudre ce problème.
Ouiii, je comptais leur écrire pour les féliciter pour leur produit de toute manière.
Je note cependant que Antivir laisse passer des Trojans qui ne sont pas à proprement parlé des virus. Normalement, un pare-feu devrait eviter les dégats.
Euh... un AV c'est déjà un gros progrès pour moi, le firewall on verra plus tard, lorsque j'aurais compris cette notion de port et qu'un enfoiré aura joué avec mon disque à 5000 km de distance...
Amicalement
Hakkar (internet depuis 1994, un AV depuis aujourd'hui !)
Bonsoir Arnaud,
merci pour ce test interressant.
Je pensais aussi essayer les autres AV désignés dans la FAQ mais je vais
m'arréter là : définitivement AntiVir est parfait pour moi, hyper léger il
ne ralentit pas du tout mon système et toutes les fonctions imaginables sont
là.Ah si : je n'ai pas trouvé de recherche heuristique, mais bon... je ne
pense pas la chose indispensable, peut-être même génératrice d'alertes
érronnées.
Les virus dans les emails ne sont dangereux que si on a
un lecteur email qui autorise le javascript, l'activeX, etc.
Oui mais... non, bon, je n'ai rien dit, je dois changer de version tantôt
:-)
Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera
pas.
Hélas il y a bien souvent le lanceur avec...
Avez-vous essayé de copier l'attachement sur le disque ?
Euh... non : mon OE 5 n'est pas du tout patché et ouvrir un tel mail serait
exécuter l'attachement si le lanceur est présent (ce qui est presque
toujours le cas).Je ne sais pas si AntiVir a la possibilité de bloquer une
exécution.
Normalement Antivir devrait reagir à ca.
L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à
tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais
si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle
attitude aurait AntiVir... Je n'ai pas trop envie de nettoyer tout mon
système à nouveau :-)
Est-ce que Antivite detecte bien les virus au moment du unzip ?
Pas essayé non plus, je n'ai plus trop de souvenirs mais je crois que deux
ou trois de mes virus se lancent lorsque on les dézippe.J'en ai même un qui
se lance lors d'un double clic, même renommé et sans extension (mes fichiers
non référenciés dans la BDR sont lus par défaut par IrfanView, cela ne les
exécute pas en principe...).
Pour les exe et le class qui passe à coté peut etre qu'un petit mail au
support de Antivir pourrait résoudre ce problème.
Ouiii, je comptais leur écrire pour les féliciter pour leur produit de toute
manière.
Je note cependant que Antivir laisse passer des Trojans qui ne sont pas
à proprement parlé des virus. Normalement, un pare-feu devrait eviter
les dégats.
Euh... un AV c'est déjà un gros progrès pour moi, le firewall on verra plus
tard, lorsque j'aurais compris cette notion de port et qu'un enfoiré aura
joué avec mon disque à 5000 km de distance...
Amicalement
Hakkar (internet depuis 1994, un AV depuis aujourd'hui !)
Je pensais aussi essayer les autres AV désignés dans la FAQ mais je vais m'arréter là : définitivement AntiVir est parfait pour moi, hyper léger il ne ralentit pas du tout mon système et toutes les fonctions imaginables sont là.Ah si : je n'ai pas trouvé de recherche heuristique, mais bon... je ne pense pas la chose indispensable, peut-être même génératrice d'alertes érronnées.
Les virus dans les emails ne sont dangereux que si on a un lecteur email qui autorise le javascript, l'activeX, etc.
Oui mais... non, bon, je n'ai rien dit, je dois changer de version tantôt :-)
Sinon, on a un virus dans sa boite au lettre mais qui ne s'executera pas.
Hélas il y a bien souvent le lanceur avec...
Avez-vous essayé de copier l'attachement sur le disque ?
Euh... non : mon OE 5 n'est pas du tout patché et ouvrir un tel mail serait exécuter l'attachement si le lanceur est présent (ce qui est presque toujours le cas).Je ne sais pas si AntiVir a la possibilité de bloquer une exécution.
Normalement Antivir devrait reagir à ca.
L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle attitude aurait AntiVir... Je n'ai pas trop envie de nettoyer tout mon système à nouveau :-)
Est-ce que Antivite detecte bien les virus au moment du unzip ?
Pas essayé non plus, je n'ai plus trop de souvenirs mais je crois que deux ou trois de mes virus se lancent lorsque on les dézippe.J'en ai même un qui se lance lors d'un double clic, même renommé et sans extension (mes fichiers non référenciés dans la BDR sont lus par défaut par IrfanView, cela ne les exécute pas en principe...).
Pour les exe et le class qui passe à coté peut etre qu'un petit mail au support de Antivir pourrait résoudre ce problème.
Ouiii, je comptais leur écrire pour les féliciter pour leur produit de toute manière.
Je note cependant que Antivir laisse passer des Trojans qui ne sont pas à proprement parlé des virus. Normalement, un pare-feu devrait eviter les dégats.
Euh... un AV c'est déjà un gros progrès pour moi, le firewall on verra plus tard, lorsque j'aurais compris cette notion de port et qu'un enfoiré aura joué avec mon disque à 5000 km de distance...
Amicalement
Hakkar (internet depuis 1994, un AV depuis aujourd'hui !)
Frederic Bonroy
Hakkar wrote:
Euh... non : mon OE 5 n'est pas du tout patché
Vous attendez quoi? Le prochain iframe viendra certainement. :-)
et ouvrir un tel mail serait exécuter l'attachement si le lanceur est présent (ce qui est presque toujours le cas).Je ne sais pas si AntiVir a la possibilité
de bloquer une exécution.
Normalement oui. Mais il vaut mieux appliquer les correctifs que de faire confiance à l'antivirus.
L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle attitude aurait AntiVir...
La même.
Hakkar wrote:
Euh... non : mon OE 5 n'est pas du tout patché
Vous attendez quoi? Le prochain iframe viendra certainement. :-)
et ouvrir un tel mail serait exécuter l'attachement si le lanceur est présent
(ce qui est presque toujours le cas).Je ne sais pas si AntiVir a la
possibilité
de bloquer une exécution.
Normalement oui. Mais il vaut mieux appliquer les correctifs que de
faire confiance à l'antivirus.
L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à
tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais
si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle
attitude aurait AntiVir...
Vous attendez quoi? Le prochain iframe viendra certainement. :-)
et ouvrir un tel mail serait exécuter l'attachement si le lanceur est présent (ce qui est presque toujours le cas).Je ne sais pas si AntiVir a la possibilité
de bloquer une exécution.
Normalement oui. Mais il vaut mieux appliquer les correctifs que de faire confiance à l'antivirus.
L'utilitaire qui tourne en fond lance un écran DOS demandant la conduite à tenir lors de l'ouverture d'un dossier contenant un virus par exemple, mais si c'est par le biais d'OE que le virus est lancé, je ne sais pas quelle attitude aurait AntiVir...
La même.
Frederic Bonroy
Hakkar wrote:
Re-analysé par Kaspersky ce soir cela me donne en effet : Current object: I-Worm.Sobig.gen (zip) I-Worm.Sobig.gen (zip) Archive: ZIP I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e
Soit Kaspersky a changé depuis son identification,
Oui, il y a eu ce changement .gen -> .e mais ça concernait la version DOS et ça fait plusieurs mois déjà.
Ben oui, cela se supprime des fichiers de définitions des signatures ?
Mouais, si, un peu quand-même mais ce n'est pas une raison pour le supprimer.
Si c'est enregistré sur le disque, dans mon cas cela signifie que c'est aussi déjà exécuté !
Pourquoi?
Hakkar wrote:
Re-analysé par Kaspersky ce soir cela me donne en effet :
Current object: I-Worm.Sobig.gen (zip)
I-Worm.Sobig.gen (zip) Archive: ZIP
I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e
Soit Kaspersky a changé depuis son identification,
Oui, il y a eu ce changement .gen -> .e mais ça concernait la version
DOS et ça fait plusieurs mois déjà.
Ben oui, cela se supprime des fichiers de définitions des signatures ?
Re-analysé par Kaspersky ce soir cela me donne en effet : Current object: I-Worm.Sobig.gen (zip) I-Worm.Sobig.gen (zip) Archive: ZIP I-Worm.Sobig.gen (zip)/details.pif Infected: I-Worm.Sobig.e
Soit Kaspersky a changé depuis son identification,
Oui, il y a eu ce changement .gen -> .e mais ça concernait la version DOS et ça fait plusieurs mois déjà.
Ben oui, cela se supprime des fichiers de définitions des signatures ?
Pas essayé non plus, je n'ai plus trop de souvenirs mais je crois que deux ou trois de mes virus se lancent lorsque on les dézippe.
Ça n'a aucun sens, sauf si ce sont des zip auto-extractibles.
J'en ai même un qui se lance lors d'un double clic, même renommé et sans extension
N'importe quoi, mais la confusion est possible si tu n'as pas configuré Windows pour qu'il affiche toutes les extensions.
-- joke0
Hakkar
Salut,
Ça n'a aucun sens, sauf si ce sont des zip auto-extractibles.
Oui, je pensais à des ZIP autoextractibles (qui n'ont en fait pas grand chose à voir avec de vrais ZIP, si ce n'est l'icone).
N'importe quoi, mais la confusion est possible si tu n'as pas configuré Windows pour qu'il affiche toutes les extensions.
Win95 a été configuré de manière à afficher toutes les extensions.Dans ma liste de virus tu en trouveras un qui s'attaque préférentiellement aux MP3 (je ne me rappelle plus lequel, j'ai la flemme de chercher).Si je renomme ce fichier avec un non SANS extention ou un nom avec une extention inconnue et que je doubleclique dessus, IrfanView (lecteur d'images) va s'ouvrir (normal, il est paramétré pour ça), va m'afficher qu'il ne reconnait pas le header du fichier, on pourrait s'arréter là.Mais si je scanne mon disque, je m'apercevrai que ce virus a été installé...
Amicalement
Hakkar
Salut,
Ça n'a aucun sens, sauf si ce sont des zip auto-extractibles.
Oui, je pensais à des ZIP autoextractibles (qui n'ont en fait pas grand
chose à voir avec de vrais ZIP, si ce n'est l'icone).
N'importe quoi, mais la confusion est possible si tu n'as pas
configuré Windows pour qu'il affiche toutes les extensions.
Win95 a été configuré de manière à afficher toutes les extensions.Dans ma
liste de virus tu en trouveras un qui s'attaque préférentiellement aux MP3
(je ne me rappelle plus lequel, j'ai la flemme de chercher).Si je renomme ce
fichier avec un non SANS extention ou un nom avec une extention inconnue et
que je doubleclique dessus, IrfanView (lecteur d'images) va s'ouvrir
(normal, il est paramétré pour ça), va m'afficher qu'il ne reconnait pas le
header du fichier, on pourrait s'arréter là.Mais si je scanne mon disque, je
m'apercevrai que ce virus a été installé...
Ça n'a aucun sens, sauf si ce sont des zip auto-extractibles.
Oui, je pensais à des ZIP autoextractibles (qui n'ont en fait pas grand chose à voir avec de vrais ZIP, si ce n'est l'icone).
N'importe quoi, mais la confusion est possible si tu n'as pas configuré Windows pour qu'il affiche toutes les extensions.
Win95 a été configuré de manière à afficher toutes les extensions.Dans ma liste de virus tu en trouveras un qui s'attaque préférentiellement aux MP3 (je ne me rappelle plus lequel, j'ai la flemme de chercher).Si je renomme ce fichier avec un non SANS extention ou un nom avec une extention inconnue et que je doubleclique dessus, IrfanView (lecteur d'images) va s'ouvrir (normal, il est paramétré pour ça), va m'afficher qu'il ne reconnait pas le header du fichier, on pourrait s'arréter là.Mais si je scanne mon disque, je m'apercevrai que ce virus a été installé...
