Bullguard Antivirus : survol rapide

Dernière Mise à jour le

Détection comportementale

Ici un ngrbot bloqué par la protection comportementale.
On voit que les deux processus celui qui a téléchargé le malware (ici iexplore – Internet Explorer) et le dropper ngr[1].exe sont suspendus.

Dans les logs :

2011/10/09 13:04:42.408 | Alert 4 was caught:
2011/10/09 13:04:42.408 | 	Program path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\MKE5E7G6\ngr[1].exe
2011/10/09 13:04:42.408 | 	Risk: HIGH
2011/10/09 13:04:42.408 | 	Process ID (Parent ID): 3852 (1844)
2011/10/09 13:04:42.408 | 	User: Mak
2011/10/09 13:04:42.408 | 	Behaviours:
2011/10/09 13:04:42.408 | 		Le programme ngr[1].exe a tenté de détourner (de s’exécuter en tant que partie d’) un autre processus.

Ici un autre malware qui n’était pas détecté par BitDefender au moment où je l’ai récupéré : http://www3.malekal.com/malwares/index.php?&hash=944b3126714591fce6b2f967c793c82e

La détection comportementale le bloque :

2011/10/09 13:06:27.111 | Alert 5 was caught:
2011/10/09 13:06:27.111 | 	Program path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\SWGHFNEY\yeni-porno-filmler[1].exe
2011/10/09 13:06:27.111 | 	Risk: HIGH
2011/10/09 13:06:27.111 | 	Process ID (Parent ID): 576 (1944)
2011/10/09 13:06:27.111 | 	User: Mak
2011/10/09 13:06:27.111 | 	Behaviours:
2011/10/09 13:06:27.111 | 		Le programme yeni-porno-filmler[1].exe a tenté de modifier des ressources sensibles du système.
2011/10/09 13:06:27.111 | 	Registry:
2011/10/09 13:06:27.111 | 		\REGISTRY\USER\S-1-5-21-823518204-725345543-786100373-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN:svhost.exe (modified: old_value=, new_value ="C:\Documents and Settings\Mak\Application Data\svhost.exe"
2011/10/09 13:06:27.111 | 		\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN:svhost.exe (modified: old_value=, new_value ="C:\Documents and Settings\Mak\Application Data\svhost.exe"
Ici le vers MSN (tjrs un nrgbot) génère une autre alerte de la détection comportementale et est bloqué :
2011/10/09 13:21:51.478 | Alert 1 was caught:
2011/10/09 13:21:51.478 | 	Program path: C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\ZTG6NGWI\facebook-pic00043212286[1].exe
2011/10/09 13:21:51.478 | 	Risk: HIGH
2011/10/09 13:21:51.478 | 	Process ID (Parent ID): 3912 (1836)
2011/10/09 13:21:51.478 | 	User: Mak
2011/10/09 13:21:51.478 | 	Behaviours:
2011/10/09 13:21:51.478 | 		Le programme facebook-pic00043212286[1].exe a tenté de télécharger et d’exécuter un fichier potentiellement malveillant à partir d’Internet.
Notez que plusieurs processus sont suspendus par l'antivirus dont des processus systèmes Windows (alg.exe et spoolsv.exe) - cela peux générer des dysfonctionnements voir des plantages.

Scan à la demande

Ci-dessous la détection d’un pack de 81 fichiers – Bullguard en détecte 58.

et là, un pack de 139 fichiers – Bullguard en détecte 118

Après nettoyage, on arrive à ceci – si vous regardez on a des droppers de même taille, ce sont les mêmes malwares. 2 fichiers sont corrompus et un fichier est légitime (SbieCtrl.exe – il appartient à Sandbox)

On lance le tout et l’antivirus ne dit rien. On peux reconnaître Backdoor.Cycbot et Bagle (ceux qui ont l’icone avec la clef jaune).

L’analyse comportementale bloque Bagle dont voici l’alerte :

2011/10/08 19:25:50.875 | Alert 3 was caught:
2011/10/08 19:25:50.875 | 	Program path: C:\Documents and Settings\Mak\Bureau\aaa\winupgro.exe
2011/10/08 19:25:50.875 | 	Risk: HIGH
2011/10/08 19:25:50.875 | 	Process ID (Parent ID): 3176 (2512)
2011/10/08 19:25:50.875 | 	User: Mak
2011/10/08 19:25:50.875 | 	Behaviours:
2011/10/08 19:25:50.875 | 		Le programme winupgro.exe a tenté de modifier des ressources sensibles du système.
2011/10/08 19:25:50.875 | 	Registry:
2011/10/08 19:25:50.875 | 		\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\SECURITY CENTER\SVC:EnableLUA (modified: old_value=, new_value =0x16 (22))
2011/10/08 19:25:50.875 | 		\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM:EnableLUA (modified: old_value=, new_value =0x0 (0))

Cycbot est bloqué sur le nom des fichiers droppés – par contre le dropper a eu le temps de modifier les paramètres proxy – La détection comportementale bloque au moment de l’ajout des clefs RUN – or le malware doit modifier les paramètres du proxy avant.
Le problème est qu’après il est impossible de surfer si on remet désactive pas le proxy.

Les alertes de la détection comportementale :

2011/10/09 18:08:30.922 | Alert 2 was caught:
2011/10/09 18:08:30.922 | 	Program path: C:\Documents and Settings\Mak\Bureau\9879e07ec5af0bc20787d3874ada9f3f.exe
2011/10/09 18:08:30.922 | 	Risk: HIGH
2011/10/09 18:08:30.922 | 	Process ID (Parent ID): 3768 (1652)
2011/10/09 18:08:30.922 | 	User: Mak
2011/10/09 18:08:30.922 | 	Behaviours:
2011/10/09 18:08:30.922 | 		Le programme 9879e07ec5af0bc20787d3874ada9f3f.exe a tenté de modifier un élément sensible du registre.
2011/10/09 18:08:30.922 | 	Files:
2011/10/09 18:08:30.922 | 		c:\documents and settings\mak\application data\conhost.exe (created)
2011/10/09 18:08:30.922 | 		c:\documents and settings\mak\bureau\9879e07ec5af0bc20787d3874ada9f3f.exe
2011/10/09 18:08:30.922 | 	Registry:
2011/10/09 18:08:30.922 | 		\REGISTRY\USER\S-1-5-21-823518204-725345543-786100373-1003\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON:Shell (modified: old_value=, new_value =explorer.exe,C:\Documents and Settings\Mak\Application Data\conhost.exe
2011/10/09 18:08:36.500 | Alert 3 was caught:
2011/10/09 18:08:36.500 | 	Program path: C:\Documents and Settings\Mak\Bureau\489d1c50390e11aac7472cef11732e2d.exe
2011/10/09 18:08:36.500 | 	Risk: HIGH
2011/10/09 18:08:36.500 | 	Process ID (Parent ID): 3808 (1652)
2011/10/09 18:08:36.500 | 	User: Mak
2011/10/09 18:08:36.500 | 	Behaviours:
2011/10/09 18:08:36.500 | 		Le programme 489d1c50390e11aac7472cef11732e2d.exe a tenté de modifier des ressources sensibles du système.
2011/10/09 18:08:36.500 | 	Files:
2011/10/09 18:08:36.500 | 		c:\documents and settings\mak\application data\microsoft\conhost.exe (created)
2011/10/09 18:08:36.500 | 		c:\documents and settings\mak\bureau\489d1c50390e11aac7472cef11732e2d.exe
2011/10/09 18:08:36.500 | 	Registry:
2011/10/09 18:08:36.500 | 		\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN:conhost (modified: old_value=, new_value =C:\Documents and Settings\Mak\Application Data\Microsoft\conhost.exe

Pour comparer, j’ai soumis le meme pack à BitDefender qui en détecte aussi plus de 100 et au final, il reste grosso modo les mêmes fichiers :

On balance le tout… et on voit déjà que 13 sont bloqués par Active Virus Control.

Ici un des droppers a pu ajouter la clef Run pour lancer le malware au démarrage (le fichier %APPDATA%\5ox6mm2rb5.exe) mais le fichier est ensuite bloqué par Active Virus Control
Comme vous pouvez le voir aussi sur Process Explorer des  processus ont disparu.

Il reste donc Bagle – et ça été assez moche avec 2810640.exe.

Impossible de redémarrer l’ordinateur et/ou de tuer le dropper 2810640.exe qui a pu coller son winupgro.exe – j’ai donc fait un reset.
Au démarrage BitDefender bloque. Le driver n’est pas installé et les téléchargements de fix ne sont pas bloqués, preuve que Bagle n’est pas actif.

On peux donc constater que les droppers qui ne sont pas détectés par la détection de fichiers ont tous été bloqués par Active Virus Control.
A noter que certains droppers ont pu installer le payload qui seront bloqués par Active Virus Control.
Cela signifie que plus tard, lorsque ces fichiers seront ajoutés dans la base de définition virales de BitDefender, des détections par BitDefender apparaîtront. Un internaute débutant qui comprend pas trop ce qui se passe peux imaginer qu’il est infecté alors que ce n’est pas le cas, aucune infection active.

Conclusion

Au final, Bullguard s’avère être un antivirus à la protection convenable mais rien non plus d’exceptionnel. Celle-ci est en dessous d’un BitDefender 2012, Norton Antivirus 2012 ou Kaspersky 2012.
La détection comportementale de Bullguard est interressant mais très en dessous de l’Active Virus Control de BitDefender 2012.
Dommage que la protection WEB ne soit pas plus poussée pour bloquer les scripts malicieux et les téléchargements via des liens.

Retrouvez les autres antivirus sur la page des comparatifs Antivirus

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Bullguard Antivirus : survol rapide mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

2 Comments

  1. Roberto 11 octobre 2011
  2. Future 27 novembre 2011

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez