Introduction

VirusKeeper, un logiciel anti-virus éprouvé !
viruskeeperintro L'éditeur français de logiciels AxBx nous a permis de tester son produit phare de sécurité, à savoir VirusKeeper 2010 Pro. Pour mémoire, il s'agit de l'un des seuls anti-virus à avoir détecté à temps, les virus Sasser, Korgo et Bagle le jour de leur sortie tandis que bon nombre d'antivirus concurrents n'avaient eux détecté ces menaces que bien trop tard, c'est-à-dire une fois le PC contaminé ! Cette information en dit long quant à la pro-activité de VirusKeeper.


Analyse comportementale contre les malveillants et anti-virus classique

L'anti-virus VirusKeeper dans sa version 2010 repose principalement sur son module de détection des programmes malveillants par analyse comportementale (virus, vers, chevaux Troie, spywares) et bien entendu également sur l'analyse traditionnelle par signature qui n'est plus à présenter. Il s'agit d'un bouclier de protection en temps réel qui vise à protéger la machine des fichiers menaçants présents sur vos unités ou échangés de diverses manières (navigateur Internet, messagerie instantanée, téléchargements divers...) et qui tenteraient d'infecter les éléments clés du système (fichiers sensibles de Windows, base de registre, démarrage…).


Des outils appropriés, pour analyser et éradiquer les fichiers à risque !

En plus de la protection en temps réel du système et de l'outil d'analyse automatique des fichiers à risque ou entrants, VirusKeeper dispose d'outils à démarrer manuellement au cas par cas. Le module d'analyse comportementale immédiate, celui de l'analyse de fichiers traditionnels, un autre pour le scan d'antispyware et enfin le dernier pour l'analyse anti-rootkit. Pour se démarquer efficacement de la concurrence, l'éditeur a intégré ProcessWatch, un outil d’analyse qui permet d’identifier tous les programmes chargés au démarrage ainsi que tous les programmes actifs en mémoire et NetWatch qui surveille les programmes communiquant sur les réseaux locaux et Internet.


Système d'exploitation et configuration requise ?

VirusKeeper est totalement dédié aux machines sous Windows XP, 2000, Server (2000, 2003, 2008), Vista (32 et 64 bits) et le dernier né de Microsoft, Windows Seven (32 et 64 bits) sous lequel nos tests se sont effectués sans problème. L'application occupe au repos, en moyenne, moins de 15 Mo de mémoire vive et se destine donc tout aussi bien aux portables qu'aux PC de bureau. Il n'est donc pas nécessaire de disposer d'une machine puissante pour pouvoir bien l'exploiter. Trois modes de fonctionnement en temps réel sont possibles (mode normal, mode jeux et mode Netbook) !

logointro1    

Quatre analyses bien spécifiques

L'analyse antivirale classique est maîtrisée depuis bien longtemps par tous les anti-virus, VirusKeeper ne fait pas exception et propose également cette fonctionnalité. Les menaces les plus dangereuses actuelles proviennent pour la plupart des spywares, chevaux de Troie, vers, attaques contre le navigateur… C'est pourquoi VirusKeeper 2010 s'appuie sur la détection des programmes malveillants par analyse en surveillant tous les programmes. Lorsqu'une application malveillante tente de pénétrer le système elle effectue des actions types : créer un fichier, se cacher, chercher à se propager, chercher à se lancer au démarrage de Windows, diffuser des courriers électroniques néfastes. Le tour de force de VirusKeeper est de détecter immédiatement ces actions caractéristiques en bloquant les programmes menaçants puis en alertant l’utilisateur.

Il n'y a pas d'analyse globale. C'est pourquoi vous devrez exécuter tour à tour les différentes analyses existantes. L'analyse des périphériques (NAS) ou dossiers en réseau n'est pas possible. En revanche, vous pouvez exécuter plusieurs analyses simultanément, Core 2 Duo et surtout Quad impératifs. Le support des multi-cpu est un très bon point.
Notons que, contacté par nos soins suite à cette remarque, l'éditeur nous a confirmé vouloir rajouter cette analyse global dans son planning de développement. Cette fonction devrait effectuer en un clic les analyses antivirus, antispyware et antirootkit.  De plus, pour les possesseurs de processeurs multi core (Dual Core, Quad Core), l'analyse se ferait en multi thread avec affectation des tâches sur chacun des Core ce qui réduira considérablement le temps d'analyse (environ 20 à 30% de temps en moins par rapport à chaque analyse lancée successivement, selon l'éditeur). Cette nouvelle fonction devrait être intégrée dans la version 10.1.0 prévu pour fin Octobre 2009.


Analyse comportementale immédiate

C'est la première technique disponible dans le menu Analyse. Elle nécessite très peu de ressources (mémoire, processeur) et est tout aussi bien valable contre les virus anciens connus et les autres néfastes actuels aux comportements identifiables (spywares actifs notamment). Lors du déclenchement de l'analyse comportementale ce sont les dossiers et fichiers, la base de registre, les processus actifs en mémoire, les spywares, l'intégrité du navigateur Web qui sont ainsi contrôlés.

vkeeper01    vkeeper02


Analyse anti-virus de fichiers

Il s'agit de l’analyse antivirus qui s'appuie sur la détection par reconnaissance de signature. Les mises à jour du moteur, ici en version 10.0.4, sont donc fondamentales. Cette analyse s'attaque donc aux virus, logiciels espions (spywares) et rootkits (programmes permettant à un tiers de maintenir un accès frauduleux à votre système). Le moteur de scan écrit en assembleur a l'avantage d'offrir des temps d'analyse extrêmement réduits. L'utilisateur a le choix de l'analyse rapide (fichiers à risque uniquement), complète (tous les fichiers), approfondie ou personnalisée (spécifier les emplacements, unités internes et médias externes).

En règle générale, les analyses occupent entre 92 et 108 Mo de mémoire, ce qui est très peu pour les configurations actuelles et anciennes ! Nous vous conseillons d'activer l'analyse de la mémoire (processus actifs) qui n'est pas fonctionnelle par défaut. Les paramètres quant à eux se bornent au choix de l'action à accomplir en cas de fichier infecté (suppression automatique ou demande de confirmation avant suppression).

vkeeper04    vkeeper05


Analyse anti-spyware

La troisième analyse concerne spécifiquement les spywares autrement dit les logiciels espions, malwares, ToolBar, composant navigateur, BHO… situés dans les fichiers ou dans la base de registre. VirusKeeper détecte en temps réel toute tentative d’installation de spywares. Dans la version 2010, il faut préciser que ce module a été optimisé en conséquence, jusqu'à obtenir un gain de 20% de vitesse en plus. En cliquant sur le sous-menu Cookies, vous pouvez effacer en une seule opération les cookies d'Internet Explorer ou de Mozilla Firefox.

vkeeper06    vkeeper07


Analyse anti-rootkit

C'est le dernier maillon des modules d'analyse à lancer soi-même. Ici, le système est scanné en profondeur pour repérer les rootkits, c'est-à-dire les programmes malveillants indétectables par le système et la méthode d'analyse antivirus traditionnelle.

vkeeper08

La protection temps réel

Bouclier et analyse temps réel
Elle fait partie intégrante de la sécurité. Avec la protection en temps réel, VirusKeeper 2010 protège en permanence l’ordinateur. Il bloque automatiquement toutes tentatives d’action(s) dangereuse(s) pour votre ordinateur. Trois modes sont prévus, en fonction de votre utilisation ou de votre configuration. Le "Mode normal" convient aux PC de bureau toutes catégories confondues, le "Mode Jeux" et le "Mode Netbook" réduisent au minimum la consommation de ressources et gardent le maximum de puissance pour les applications de l'utilisateur.

Le bouclier surveille à peu près tout. Les fichiers et répertoires du système, la base de registre, les processus actifs, les ports de communication, Internet Explorer. Il détecte les spywares, scanne les fichiers nouveaux ou suspects (pièces jointes d'e-mail y compris) et enfin Messenger-Protect protège le Messenger.

vkeeper09    vkeeper10


ProcessWatch : surveillance des processus en mémoire

Ce module est disponible sous Outils et s'exécute à votre convenance. ProcessWatch, c'est un outil d'analyse qui permet d’identifier tous les programmes chargés au démarrage ainsi que tous les programmes actifs en mémoire. Il a pour but de détecter et de vous alerter lorsque des programmes malveillants sont en cours d'exécution. Les programmes dangereux peuvent en effet se glisser parmi les processus sains, prendre la place de pilotes matériels ou de services Windows. Vous pouvez distinctement visualiser dans Process actifs la liste des programmes actifs en mémoire, vérifier leur état (connu et sain, malveillant ou inconnu) et les stopper au besoin. Ceci s'applique aussi aux drivers chargés, services, programmes chargés au démarrage, et composants tiers du navigateur (IE uniquement).

vkeeper11    vkeeper12


NetWatch : surveillance des échanges en réseau local ou Internet

Ce module est dédié à la surveillance des programmes qui transmettent des informations sur le réseau local ou sur Internet. NetWatch identifie et distingue automatiquement les programmes de confiance des programmes néfastes. Il permet de détecter la présence de programmes espions (connus ou non) et de portes dérobées (programmes connus et sains, processus système de Windows…). C'est aussi lui qui surveille la communication lors d'échange de fichiers en peer2peer ou avec votre client de messagerie instantanée.

vkeeper13    vkeeper14

Les outils complémentaires

Planificateur d'analyse
Un outil qu'il est vivement conseillé d'activer. Comme son nom l'indique, le Planificateur d'analyse lance automatiquement des tâches de façon récurrente. Le choix de la périodicité en incombe à l'utilisateur (tous les jours, semaines, mois, au démarrage de Windows, une seule fois tel jour ou telle heure). Étant donné que VirusKeeper 2010 comporte plusieurs méthodes de scans des fichiers, vous devez également déterminer le type d'analyse (antivirus classique, antispyware ou les deux) et l'unité sur laquelle s'exercera l'activité.

vkeeper15    vkeeper16


Rapport d'audit / Verrouillage par mot de passe

Pour mieux identifier un programme actif ou un processus que vous estimez dangereux mais qui n'aurait pas été détecté par l'antivirus VirusKeeper, il convient de générer un rapport d'audit. Celui-ci liste les processus actifs en mémoire, les programmes chargés au démarrage de Windows, les services démarrés et les objets externes (BHO) ajoutés au navigateur IE. Le rapport sera, selon votre choix, au format texte ou HTML.

Le verrouillage par mot de passe est utile si plusieurs personnes non habilitées utilisent votre PC. Avec cette option de sécurisation par mot de passe, seul l'administrateur pourra paramétrer VirusKeeper en saisissant son mot de passe. Cela permet également d'empêcher un logiciel espion de désactiver votre protection.

vkeeper17    vkeeper18


Journal / Quarantaine / Ignore liste

Tout antivirus digne de ce nom dispose d'un Journal des alertes. Ici, toutes les menaces détectées et stoppées apparaissent (date, type, description, action). Un onglet existe également pour les éléments mis en quarantaine (date, fichier et emplacement d'origine, infecté par). L'Ignore liste comporte tous les faux positifs, c'est-à-dire les fichiers jugés inoffensifs par vous et considérés comme étant infectés par VirusKeeper.

vkeeper19    vkeeper20


Soumettre un fichier pour analyse

Voici un outil sans ambiguïté. Cliquer sur "Envoyer un fichier pour analyse" exécute votre navigateur Web. Ensuite, l'utilisateur doit parcourir son disque dur pour sélectionner le fichier à analyser, et saisir son adresse e-mail pour recevoir les résultats d'analyse puis envoyer le tout.

vkeeper21    vkeeper22


Mise à jour

Par défaut la mise à jour de VirusKeeper est automatique. Rien ne vous empêche, bien évidemment, de déclencher une mise à jour manuelle (Mettre à jour maintenant) et de modifier les paramètres de mise à jour (Paramètres de mise à jour). La gestion est classique avec la recherche et l'installation automatique, la recherche et la demande avant installation ou la mise à jour uniquement par vos soins.

vkeeper23    vkeeper24

Conclusion

Un anti-virus qui s'appuie sur la détection et l'analyse comportementale
VirusKeeper 2010 Pro est un antivirus complet qui inclut à la fois l’analyse comportementale, des scanners classiques (anti-virus, anti-spyware, anti-rootkit),  et des protections complémentaires (ProcessWatch, NetWatch, rapport d'audit…). Ce logiciel a l'avantage de requérir très peu de ressources, entre 15 et 20 Mo de mémoire en phase de veille et pas plus de 110 Mo lors des phases d'analyse.

Cette application, comme bon nombre de solutions antivirales récentes, est à la fois capable de détecter les virus classiques (reconnaissance de signatures) et les menaces inconnues en analysant le comportement caractéristique des fichiers néfastes (méthode proactive). Si en son temps VirusKeeper a su détecter les virus Sasser, Korgo et Bagle dès leur sortie alors que les références ont échoué pour la plupart, vous pouvez lui faire confiance ! En cas de doute, notez que l'application est très souple et peut  fonctionner conjointement avec n'importe quel autre antivirus classique (comme avec le  récent antivirus gratuit de Microsoft, par exemple).


Pas d'analyse tout-en-un ni de scan des dossiers ou périphériques du réseau local

L'application est capable d'analyser n'importe quelle unité de disque interne, et même si ce point n'est pas mis en valeur, également tout périphérique externe (clé USB, disque dur USB…). En revanche, il est malheureusement impossible d'analyser des machines de son réseau domestique (dossiers ou fichiers) ou encore même d'administrer les différentes licences VirusKeeper installées depuis un seul poste. Notons toutefois que, selon l'éditeur, l'analyse du voisinage réseau (partages, autres postes) sera proposée dès la prochaine mise à jour (v10.0.5 du 09/10/2009).

Les quatre types d'analyse (comportementale immédiate, antivirus de fichiers, antispyware et anti-rootkit) sont un très bon point et peuvent fonctionner simultanément si vous disposez d'un bon processeur multi-cœurs. Il faut par contre les exécuter tour à tour. Il aurait été utile d'intégrer une analyse globale en un seul clic.


Différentes versions et des tarifs relativement compétitifs

Il existe deux versions de VirusKeeper. La version 2010 Standard à 29,90 € pour trois postes détecte et éradique en temps réel les menaces et intègre NetWatch et ProcessWatch. Elle ne dispose pas des quatre scanners manuels, du planificateur d'analyse, de la protection Messenger-Protect et de la détection  en temps réel des backdoors. La version 2010 Pro, proposée à 39,90 € pour trois postes, est plus que conseillée car bien plus complète pour un supplément de prix réduit (voir comparatif des versions).

vkeeperconclu

+ Les plus

  • Analyse comportementale et antivirus classique
  • Bouclier et analyse en temps réel
  • Modes de fonctionnement Normal, Jeux et Netbook
  • Modules ProcessWatch et NetWatch
  • Requiert très peu de ressources système
  • Peut fonctionner conjointement avec d'autres antivirus

- Les moins

  • Pas d'analyse globale de tous les modules en un clic
  • Davantage de surveillance pour IE que pour les autres navigateurs web
  • Pas d'analyse de dossiers ou périphériques réseau