Emsisoft Anti-Malware 6.0 : survol rapide

Table des matières

ZAccess et Emsisoft

Dans la partie Protection WEB, certains sites de cracks connus pour dropper actuellement du  Zaccess.
Mais certains passent :

A l’exécution le dropper n’est pas bloqué, l’IDS émet une alerte sur une ‘injection de processus..

… mais trop tard, ZAccess est installé.

Notez qu’Emsisoft Anti-Malware émet une alerte de détection sur mrxsmb.sys – mrxsmb.sys est un driver système qui est patché par  Zaccess.
L’antivirus met le driver en quarantaine, ce qui peux par la suite générer des problèmes selon le driver impacté (exemple plus d’USB si driver USB, ou plus de réseau) ou carrément empêcher le lancement de Windows.

Au redémarrage (qui s’avère plus long que d’habitude), Emsisoft Anti-Malware affiche un message d’erreur…

Dans l’observateur d’évènements, on peux voir que Zaccess a bouzillé les permissions sur les fichiers et on obtient un message d’erreur « accès refusé » sur les fichiers d’Emsisoft Anti-Malware.

Opération répétée ci-dessous, avec un dropper issu d’un faux codec (la popup avec Adresse introuvable est dû au blocage d’Emsisoft sur l’adresse toolbar.aol.com – ça semble d’ailleurs faire un peu bugger Firefox – voir paragraphe suivant).

La protection WEB ne bloquant pas l’adresse :

Chose amusante entre les deuxcaptures, celles ci-dessous explorer est suspendu et en dessous, il est en cours d’exécution et dropper son fichier X.
Semblerait que le blocage ne fonctionne pas.

J’ai balancé un pack de 53 fichiers (4 fichiers sont endommagés – donc c’est un pack de 49 fichiers), 42 sont détectés.
Le pack est relativement vieux tout de même, les droppers restants sont des droppers d’aujourd’hui, des Zaccess et un Rloader

Le  Rloader  est bloqué par l’IDS.

IDS et programmes légitimes

J’ai ensuite installé Winamp pour voir comment se comporter l’IDS – le programme des IDS étant de générer trop d’alerte ce qui peux saouler l’utilisateur à la longue.
De plus, pour montrer que l’IDS n’est pas forcément à mettre entre toutes les mains.

A la fin de l’installation, on a droit à une alerte orage (c’est l’ajout de WinAmp au lancement de Windows) :

Au lancement du navigater, on a droit à une alerte WEB sur la connexion vers l’adresse de la barre d’outils pour remplir le contenu de la popup qui ici affiche une « Action Annulée »

La désinstallation génère elle, 3 alertes.

Conclusion et commentaires

Emsisoft Anti-Malware offre une protection correcte mais pas non plus exceptionnelle.

La détection de fichiers malicieux est correcte, mais sans être non plus extraordinaure, les droppers Zaccess, celui du rogue dans exploits WEB, le dropper nrgbot, Worm:Win32/Gamarue.B et enfin le Rloader  ne l’étaient pas au moment du test, ce qui commence à faire beaucoup.
Sur le papier, ce n’est pas trop dramatique pour ce genre de solutons, l’IDS étant derrière en secours.

La partie WEB génère trop d’alerte, ça peux être assez ennervant à la longue et surtout l’internaute risque de ne plus prêter attention.
Et qui bloque pas les sites malicieux qui changent régulièrement : Faux codec passé, les URL des trojans MSN, Exploits, etc

Enfin, la partie IDS permet de stopper des malwares mais n’est pas infaillible (en sachant qu’en théorie, la limite reste celle de l’utilisateur selon ses réactions/compréhension notamment contre les attaques par social engineering), elle semble en dessous de celle d’un Comodo Antivirus
De plus, Il y a des chances que l’IDS d’Emisoft génère plus d’alerte que celle de Comodo Antivirus durant l’utilisation du PC.

En conclusion, une solution qui peut encore faire l’objet d’amélioration, ,n’hésitez pas à tester durant la période des 30 jours, si cette solution vous interresse et que vous souhaitez en faire l’acquisition.

Retrouvez les autres antivirus sur la page des comparatifs Antivirus

image_pdfimage_print
(Visité 186 fois, 1 visites ce jour)

6 Comments

  1. Roberto 20 octobre 2011
  2. malekalmorte 20 octobre 2011
  3. Sioban 21 octobre 2011
  4. Future 27 novembre 2011
  5. SNEC 29 novembre 2011
  6. Future 1 décembre 2011

Add Comment