Emsisoft Anti-Malware 6.0 : survol rapide

Blacklist WEB

Ci-dessous, trois  sites WEB malicieux bloqués – noté que l’on est pas redirigé vers une page WEB de blocage mais adresse introuvable.
La notification se fait par une popup en bas à droite.


Le blacklistage est assez aggressif – car les domaines de publicités, de barre d’outils sont aussi bloqués.
En soit ce n’est pas choquant, par contre, cela génère un nombre assez hallucinant d’alerte, casimment à chaque visite (et même lors des recherches Google), on a des alertes.

Cela peux avoir, au final, des effets pervers, l’internaute risque de ne plus faire attention aux alertes WEB.
Admettons qu’un internaute surf sur le site/forum d’un ami qui va générer systématiquement des alertes (pubs par exemple) et le jour où il se fera hacké, l’internaute ne fera pas attention car il ne regardera pas les domaines bloqués.

Ci-dessous quelques captures de domaines bloqués :

Il semble y avoir aussi pas mal de faux positifs.
Ci-dessous, le domaine spywareinfo.com qui est bloqué alors que c’est un forum de désinfection US.

ici thepiratebay.org qui est bloqué (chacun aura son avis sur la question)


et ici les pages persos d’orange..

Il n’empêche qu’au niveau des exploits WEB, la protection WEB est inutile.
Ci-dessous des capture d’un site qui conduit vers un exploit sur site WEB qui lance un dropper (dropper vers un rogue/scareware) qui est au final bloqué par la protection IDS.

aaaa

Protection en temps réel et IDS

Ci-dessous une détection sur un dropper d’un malware MSN (nrgbot) :

Ci-dessous un autre Malware par IM – la détection de fichiers ne se fait pas – c’est l’IDS qui prend le relai par une alerte stipulant que le dropper tente de manipuler d’autres processus.

Un autre malware (Worm:Win32/Gamarue.B) qui n’est pas détecté  :

ici on peux voir qu’un svchost.exe est lancé qui va lancer un fichier tmp

L’IDS d’Emsisoft émet une alerte sur ce fichier tmp – alerte qui stipule que le programme souhaite se lancer au démarrage.

J’ai bloqué mais au redémarrage, svchost.exe se lance tout de même – on peux voir la présence d’un fichier .com qui s’est ajouté au démarrage de l’ordinateur

qui est un malware (sans réelle surprise) – la présence de ce svchost.exe permet le téléchargement d’autres malwares.

L’IDS est assez actif avec des alertes hiérarchisée – rouge par exemple pour de l’injection de processus et orange pour un ajout de programme au démarrage.
Néanmoins ce dernier ne semble pas infaillible.

image_pdfimage_print
(Visité 202 fois, 1 visites ce jour)