Virus
Hors ligneMister_masque Le 08/04/2009 à 15:56 Profil de Mister_masque Configuration de Mister_masque

B'jour,

Pour répondre aux interrogations précédente, j'ai fait un petit test rapide :

Configuration:

- Windows XP SP3 (sans mise à jour autre)
- Antivir 9 intégrant un moteur anti Ad/Spy

- Process Explorer, Firefox & HijackThis

Aucun autre logiciel n'est installé sur la machine



I - Navipromo


On va donc installé Navipromo via le logiciel FunkyEmoticon, remplaçant de MessengerSkinner pour dropper l'Adware.
Nous allons observé le droppage des fichiers dans Application Data est voir si Antivir réagit.

1°) Funky Emoticon

Pas besoin d'observer le drop, Antivir détecte le Setup :




2°) Official Emule

De même, Antivir détecte le Setup :



Le rapport VT, si sa intéresse certain, je ne met que celui de FunkyEmoticon, pour Official emule, c'est pareil :


_________________________________________________________

A-squared     4.0.0.101     2009.04.08     Trojan.Win32.Wintrim!IK
AntiVir     7.9.0.138     2009.04.08     SPR/Agent.BACR
Ikarus     T3.1.1.49.0     2009.04.08     Trojan.Win32.Wintrim
McAfee-GW-Edition     6.7.6     2009.04.08     Riskware.Agent.BACR
Microsoft     1.4502     2009.04.08     Trojan:Win32/Wintrim.G
Prevx1     V2     2009.04.08     Medium Risk Malware
_________________________________________________________



Antivir détecte le setup, mais est impuissant face à une infection installé, Antivir est donc utile en prévention, mais à ce jour, il ne sert à rien contre une infection Navipromo déà installé !
NB: Le fichier "noyau" de Navipromo est un executable dans Application Data, il n'est détecté par AUCUN antivirus grand public (en même temps, c'est pas vraiment leur "domaine")



Remarque: Si on ignore l'alerte du setup, le programme ne s'installe pas (et explorer.exe plante). Je précise que si l'on désactive le guard d'antivir, le programme s'installe parfaitement.

Conclusion: Antivir dans sa version 9, détecte les setup, ce qui n'est pas le cas de ces concurrents comme Avast! ou AVG8. Je rappelle que Navipromo est une infection très en vogue, et que nombre d'internaute vienne sur les forums avec cette infection, qui affiche des fenetre de publicité, et fait la promotion de rogue.


J'espere que ce petit test vous satisfera
--
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels