Dr. Web Antivirus Pro version 7 : survol rapide

Table des matières

Dr. Web Security Space

Comme vous pouvez le voir précédemment, la protection est assez aléatoire.
Pas vraiment de détection comportementale pour bloquer les droppers, en outre, pas de protection WEB non plus.
Du coup, j’ai installé la version Web Security Space, histoire de voir ce que ça donne au niveau du blocage WEB.
Notez sur le site de tracking des malwares, vous avez le blocage WEB via VirusTotal qui incorpore Dr. Web, cela vous permet aussi de vous faire une idée par rapport aux autres éditeurs : http://www3.malekal.com/malwares/index.php

Les sites fixes qui conduisent à Zaccess  / Sireref sont bloqués :

sauf un :Backdoor.Win32.Buterat et le vers MSN sont pas bloqués :

R-Loader et en plus par un exploit sur site web sur le site qui n’est pas bloqué :


Le ransomware n’est pas bloqué :

Du côté des exploit sur site web, une détection et blocage du site peut avoir lieu :

Un autre ngrbot qui va par MSN :

File name: Thumbs.db.exe
Submission date: 2011-10-28 12:39:10 (UTC)
Current status: finished
Result: 10/ 41 (24.4%)
AhnLab-V3	2011.10.28.00	2011.10.28	Spyware/Win32.Zbot
AntiVir	7.11.16.198	2011.10.28	TR/VBLoader.A.9
Avast	6.0.1289.0	2011.10.28	Win32:VBLoader [Trj]
Emsisoft	5.1.0.11	2011.10.28	Trojan-Dropper.Win32.VB!IK
Ikarus	T3.1.1.107.0	2011.10.28	Trojan-Dropper.Win32.VB
Kaspersky	9.0.0.837	2011.10.28	Trojan.Win32.Jorik.IRCbot.dcd
nProtect	2011-10-28.02	2011.10.28	Trojan/W32.Jorik.159744.O
Panda	10.0.3.5	2011.10.27	Generic Malware
SUPERAntiSpyware	4.40.0.1006	2011.10.28	Trojan.Agent/Gen-Jorik

MD5   : cf42d45c71942bb5994029af98139d8d
SHA1  : 8d5e48eab1e9024a2d8fab533d5b91d5afa88744
SHA256: 26f1b497a84dcc56f32a8cd4121cd39a26c9f3eb399d13cf46864b866bcf76f4

Et notre vers MSN du matin s’est mis à jour (nouvelle adresse et nouveau dropper) et cette fois-ci Dr. Web ne le détecte pas : http://www3.malekal.com/malwares/index.php?&hash=c07bf050a14c90af650ca380a68d81be

 

File name: facebook-pic0002427728286.exe
Submission date: 2011-10-28 12:54:24 (UTC)
Current status: finished
Result: 4/ 43 (9.3%)

AhnLab-V3	2011.10.28.00	2011.10.28	Trojan/Win32.Jorik
Ikarus	T3.1.1.107.0	2011.10.28	Virus.Win32.CeeInject
TrendMicro	9.500.0.1008	2011.10.28	Cryp_Kolab-4
TrendMicro-HouseCall	9.500.0.1008	2011.10.28	Cryp_Kolab-4

MD5   : c07bf050a14c90af650ca380a68d81be
SHA1  : a05865b5cc5aa99ac1d27c4d666024dc4a351ceb
SHA256: cb8fdaacac0a201ff2a53f54167dcbbfa58412890108a2a8961006c3ead24254



A propos du Pare-feu

Le pare-feu n’est pas pré-coché, c’est à l’utilisateur de choisir s’il veux l’installer ou non.
Les tests précédents ont été faits sans pare-feu.


Après l’installation, Dr.Web établie des règles sur les processus qui se lancent au démarrage qui effectue des connexions ou sont en écoute.
Les programmes signés sont autorisés automatiquements.

Par la suite, les programmes que vous lancez qui effectuent des connexions vont générer des alertes.
A vous de créer les règles à chaque fois.

Ci-dessous, un programme malicieux qui tente une connexion :

Ci-dessous un malware qui fait une injection sur explorer.exe pour effectuer une connexion :

 et ci-dessous Worm:Win32/Cridex/Trojan.Win32.Jorik.Totem qui injecte aussi explorer.exe mais la connexion se fait :

tout simplement car par défaut les connexions HTTPs depuis explorer.exe sont autorisées :

Le pare-feu peux donc au départ générer pas mal d’alertes, du fait qu’aucun scanne des programmes n’est effectué comme le fait par exemple COMODO. Cela peux être assez pénible de devoir les règles au fur et à mesure.
D’autre part, quand on voit l’alerte sur  l’injection sur explorer.exe, il n’est pas certains qu’un utilisateur néophyte puisse faire la différence entre une connexion légitime d’une connexion non légitime.

Certainement les raisons pour lesquelles, l’utilisateur doit lui même installer le pare-feu.

Conclusion

La version Antivirus Pro est trop faible, la version Web Security permet de bloquer des sites malicieux conduisant à Zaccess  / Sireref et de bloquer plus d’ exploit sur site web
Au final, tout de même, la protection offerte est vraiment faible étant donné que la grande partie de la protection est offert par la protection en temps réel qui dépend de la détection de fichier, or à ce jeu là, c’est les pirates qui ont toujours une longueur d’avance.
Pas de garde de fou en aval pour stopper les « malwares connus » qui inconnus.

Notez que la version Web Security Space semble ralentir un peu l’ordinateur enfin tout dépend de la configuration.

image_pdfimage_print
(Visité 141 fois, 1 visites ce jour)
Demande de l'aide sur le forum