SuperAntispyware et Spybot VS Malwarebyte

EDIT : Pour un avis sur Hitman Pro – se reporter à ce lien : http://www.malekal.com/2011/10/17/hitman-pro-quelques-tests/

En farfouillant sur le net, je suis tombé sur le programme Anti-Malware Toolkit qui permet de télécharger des programmes courants dans un dossier afin de lancer leur installation (ça évite de se taper les sites de chaque éditeur et/ou de tomber sur un site qui fout un pack adwares/PUP avec).

Dans la liste des programmes proposés, il y a Spybot et SuperAntispyware.
Ceux qui ont déjà un peu survolé le forum et site savent que je ne suis pas super fan de ces programmes.
Beaucoup d’internautes arrivent sur les forums de désinfections en étant infecté et en ayant déjà passé ces programmes qui ne suppriment rien ou très peu de choses – les plus répandus : Spybot, SuperAntispyware et Ad-Aware

En 2008, j’avais fait la page Adwares/Spywares : Comment NE PAS désinfecter son PC ? qui était un mini comparatif de désinfection qui montrait justement que ces programmes ne désinfectait pas, ce qui avait valu la page ensuite Antispyware gratuit : ça sert à rien!

On est en 2011, les choses ont peut-être changé (même si sur les forums de désinfection ça ne semble pas être le cas).

Du coup, j’ai utilisé Anti-Malware Toolkit pour installer Spybot et SuperAntispyware sur une VM infectée avec tout ce qu’il y a de plus bidons, à savoir des RATs (qui je vous rappelle sont capables de voler des mots de passe – donc on peux les assimiler à des spywares), une Backdoor.Buterat. Rien de vraiment extraordinaire mais bon ça donne un premier aperçu.

Une capture de Process Explorer de la VM :

et un rapport HijackThis (toutes les lignes 04 ne correspondent pas forcément à un fichier qui va se lancer – certains ne sont plus présents) :

SuperAntispyware trouve 32 éléments malicieux :

et Spybot …. Attention les yeux 4 détections

On supprime tout ce que les deux antispywares détectent

et il reste des éléments malicieux actifs..

Maintenant, prenons Malwarebyte Anti-Malware et repartons de zéro – voir si on note une différence

Je vous mets l’en-tête du rapport de Malwarebyte Anti-Malware :

Processus mémoire infecté(s): 8
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 26
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 87

Sur la capture ci-dessous, avant le redémarrage demandé par  Malwarebyte Anti-Malware, on peux déjà voir que les processus malicieux ont disparu :

Au redémarrage, plus aucun malware d’actif

En 3 ans, on peux donc constater que rien n’a changé. Pas besoin de tests supplémentaires, si ces programmes ne sont pas capables de supprimer de simples infections comme celles-ci.

Malwarebyte Anti-Malware a lui tout seul supprime plus de malwares que Spybot et SuperAntispyware réunis.
Il semble que cela ne risque pas de s’améliorer, en ce qui concerne Spybot, avec l’arrivée de la version 2 qui semble être encore plus usine à gaz : Spybot 2.0 en beta (je rappelle que Spybot n’a pas bougé depuis 2009).

Scanner avec plusieurs programmes successifs ne donnent pas forcément des résultats, d’où un scepticisme pour les programmes de type Hitman, où au final, les mêmes malwares risquent de ne pas être détectés ou ne pas être supprimés (c’est en général ce qui se passe).

On peux voir aussi que les produits antispywares sont morts (ça fait longtemps comme cela est expliqué sur la page Antispyware gratuit : ça sert à rien!) puisque le paysage des infections a changé depuis 2008.
Seules quelques adwares seuls demeurent comme Eorezo/PCTuto ou des packs PUPs type Bandoo ou Zango, mais Spybot ne les suppriment pas. Cela ne justifie donc plus, le couple antivirus + Antispywares qui est encore ancré chez beaucoup d’internautes.
Un antispyware doit maintenant tout détecter (en théorie), viser seulement quelques types de malwares, cela ne sert plus à rien. Les Rats en sont un belles exemples, ils vont par des médias amovibles, sont capables de voler des informations ou faire ouvrir des pages WEB contenants des pubs. La notion de spywares « seuls » est donc ridicule, bien qu’il en existe encore des « vrais » comme Zbot ou Spyeye qui sont bien plus sophistiqués.

A noter que Malwarebyte Anti-Malware a aussi ces limites, notamment contre les rootkits de type MBR comme TDSS ou les rootkits qui patchent les drivers comme Win32:RLoader-B par exemple, qu’il ne parviendra pas à désinfecter.

EDIT – 2015 : nouveau test Malwarebyte Anti-Malware, Spybot et SuperAntispyware : rien de nouveau

Se reporter à la page:  Adwares/Spywares : Comment NE PAS désinfecter son PC ?