4. Adresse Web numéro 4

Avec cette adresse nous allons atteindre le plus haut niveau d’infection possible. Ce site héberge donc un «downloader», deux script différents, trois chevaux de Troie différents. Et encore ce n’est que ce que nous avons pu retrouver dans les différents logs… et vous allez comprendre pourquoi.


McAfee : C’est simple, il bloque tout sans rien demander à personne. Nous avons dû aller chercher dans les paramètres de réglage ainsi que dans les rapports d’analyse la trace du blocage automatique du script dangereux. Les différents virus sont quant à eux éliminés au fur et à mesure de leur apparition, le downloader bloqué à la source.

BitDefender : Notifie le blocage du script, du downloader et de plusieurs virus, l’infection est contrôlée.

BullGuard : C’est avec cet antivirus que les choses se compliquent. Souvenez-vous, il avait eu quelques difficultés à détecter les virus présents dans les dossiers temporaires d’Internet Explorer. Sachant que pour ce test ces dossiers seront la principale source d’infection, ce n’est pas sans appréhension que nous avons validé le chargement de la page… Après la notification du blocage de plusieurs virus et trojans en l’espace de quelques secondes, une cascade de fenêtre IE se met en route. Les diverses tentatives de fermetures de ces fenêtres se soldent par des échecs, avec pour principe : une de fermée, cinq qui s’ouvrent en plein écran. Le ALT-F4 n’y change rien et le système est de moins en moins réactif. Un CTRL-ALT-SUPPR devrait nous aider à passer le cap, mais une petite fenêtre nous apprend qu’il a été désactivé par notre administrateur (bizarre nous sommes sur une session d’administrateur … !). Dernier recours : nous «arrachons» le câble réseau et attendons patiemment le fin des pop up pour fermer une à une les fenêtres. C’est alors qu’apparaît Spyguard, un soi disant logiciel anti-Spyware qui apparemment s’est installé tout seul, nous apprenant que notre ordinateur est infecté de Spyware jusqu'à la moelle. Pour couronner le tout, le système n’est toujours pas réactif, BullGuard refuse de s’ouvrir, notre bureau possède un joli papier peint bleu style BSOD et arbore un «System failed» de toute beauté en fond d’écran. Bref c’est «la Bérézina»… Suite à ces infections multiples, nous n’avons eu d’autre choix que la réinstallation de notre système complet. La procédure de réparation, les analyses par le biais du réseau et la restauration système n’ont servi à rien…

Norton : Nous étions assez confiants car ayant un des best of des antivirus installé sur notre machine il ne pouvait rien nous arriver de pire qu’avec BullGuard…Et bien non, rien de pire mais exactement la même chose… Cette fois-ci, une fois la tempête passée, nous avons sortie la grosse artillerie : Ad-Aware, Spybot S&D, Microsoft Antispyware, ZoneAlarm, HijackThis, et deux autre antivirus. Le tout en mode sans échec avec prise en charge réseau afin d’obtenir les dernières mises à jour. Les multiples analyses réalisées nous ont alors montré que :

• Pas moins de 3 chevaux de Troie infectaient notre machine,
• Elle avait été transformée en usine à SPAM (tentative d’envoi d’environ 2 mails par secondes),
• Coexistaient pas moins de 8 Spywares
• 5 processus indésirables occupaient toutes les ressources
• Le papier peint de notre bureau ne pouvait plus être changé (Oh malheur, oh désespoir …)

Malgré ces diagnostics et tous nos efforts de traitement (environ 3h), nous ne sommes pas parvenus à remettre sur pied notre système. Ce n’est qu’après une restauration système faisant suite à toutes ces manœuvres, que le système est reparti correctement.


NOD32 : A l’instar de McAfee les notification de blocage virales sont présentes, mais pas celle du script ni celle du downloader.

Kaspersky : Même réaction que NOD32 et McAfee.

avast! : Est-ce que gratuit rime avec risqué ? Et bien apparemment oui, puisque notre système s’est retrouvé infecté après seulement quelques secondes de surf à cette adresse. Si les chevaux de Troie ont été bloqués de manière satisfaisante, ce n’est pas le cas du script et du downloader. La situation ne fut cependant pas aussi préoccupante qu’avec BullGuard ou Norton puisque nous avons réussi à récupérer un système fonctionnel sans trop de difficultés. Peu après l’apparition du fond d’écran signant le début de l’infection, avast! a repéré le downloader, l’a éliminé et a coupé toute connexion Internet. Suite à cela il nous à fortement recommandé de redémarrer, afin de réaliser automatiquement un scan en mode "démarrage", nous nous avons donc suivi ce conseil. avast! à donc procédé au nettoyage en règle de notre poste de travail avant de nous laisser accéder au bureau de Windows. Un coup d’HijackThis et d’antispyware plus tard et notre système étais propre, entièrement fonctionnel.

F-secure : Notre confiance ayant été mise à mal par les trois épisodes précédents, nous avons été rassuré par les réactions de cet antivirus. Les quelques fenêtres apparaissant timidement pour nous signifier qu’une infection a été détecté et contrôlée nous soulagent grandement. Pour le reste des réactions du système, seules trois fenêtres s’ouvrent au total, le script est bloqué et la sécurité du système intacte.

PC-cillin 12 : Si les divers trojans hébergés à cette adresse sont tous bloqués, il en est un qui réussit à passer. Il en va de même pour le script qui s’installe tranquillement et lance alors le téléchargement de trois spyware dont le bien connu Spysherrif. Le scénario catastrophe est rejoué une fois de plus …

AntiVir : Un mur de protection se dresse lors de l’accès à cette adresse : le script est bloqué, les pages de navigation fermées et tous les trojans repérés puis mis en quarantaine.

Panda 2005 : Tout commence par la fermeture de toutes les fenêtres de navigation. La suite est rassurante puisque les différentes notifications nous informent que tous les virus et trojans sont bloqués, tout comme le script malveillant source de nombres de nos malheurs.

AVG : Evitons de nous répéter, pour la troisième fois monsieur Emmerich (Roland de son prénom) prend les commandes. Il nous joue un de ses pires scénarios avec pour acteurs principaux un script et un trojan, et dans les rôles secondaire quelques spyware et autre programmes malicieux. Nous sommes une fois de plus bon pour la réinstallation du système…

Le scénario catastrophe fut trois fois de mise avec ce test. BullGuard, Norton et avast! se sont tous les trois laissés piéger par ces attaques multiples. Si tous les antivirus avaient réagi de la même façon, nous aurions mis cela sur le compte de l'absence de firewall ou d'antispyware. Mais il n'en est rien et cinq de nos huit antivirus ont bien réagi, alors que seules leurs capacités antivirales étaient activées.

Mise à jour : Panda continue sur sa lancée et semble bien parti pour égaler BitDefender. Antivir est le premier antivirus gratuit à passer ce test avec brio. PC-cillin et AVG sont à mettre dans le même panier que Norton et BullGuard, la série noire continue pour ces deux là.

5. Adresse Web numéro 5

Nous gardons avec cette adresse un fort potentiel d’infection, puisque le même type de cocktail viral est présent. Il s’agit simplement d'une variation sur un même thème …


McAfee : Bloque l’ensemble des attaques lors de la navigation.

BitDefender : Le script comme les virus sont bloqués.

BullGuard : Comme pour l’adresse précédente, les virus sont tous bels et bien bloqués, mais pas le script.

Norton : Il ne fait pas mieux que BullGuard et laisse passer le script …

NOD32 : Le contrôle de l’infection est complet. Seule une unique notification virale vient ponctuer cette protection.

Kaspersky : Réagit comme McAfee et Bitdefender.

avast! : Malheureusement comme pour l’adresse précédente, nous avons ici un script malveillant. Il passe donc sans encombre à travers les mailles du filet et l’infection se propage irrémédiablement.

F-secure : Bloque l’ensemble des attaques et contrôle toutes les sources d’infection.

PC-cillin 12 : Comme pour l’adresse précédente le script passe sans être inquiété, seuls les différents trojans et virus sont correctement détectés.

AntiVir : Bloque sans plus de procès le script et le trojan.

Panda 2005 : Toujours les même réactions permettant d’empêcher l’infection de se propager

AVG : Pourquoi espérer ? Peut être parce que les films catastrophes se finissent toujours plus ou moins bien pour le héros… En l’occurrence l’histoire est triste puisqu’elle se répète : la moitié des trojans et le script passent au travers des mailles du filet.

Ces résultats confirment les précédents, avast!, Norton et BullGuard se sont encore laissés piéger par un script.

Mise à jour : AVG et PC-cillin ne sont définitivement pas à la fète avec la protection en temps réelle de notre navigation en zone dangereuse. A l’inverse Panda poursuit tranquillement son "sans fautes", Antivir continue de se détacher d’avast! en passant ces tests sans problème.

Test de protection : navigation dangereuse

Bilan par antivirus

• Introduction
• McAfee
• McAfee - suite
• McAfee - suite
• McAfee - fin
• BitDefender
• BitDefender - suite
• BitDefender - fin
• Kaspersky
• Kaspersky - suite
• Kaspersky - suite
• Kaspersky - fin
• BullGuard
• BullGuard - suite
• BullGuard - fin
• NOD32
• NOD32 - suite
• NOD32 - fin
• Norton
• Norton - suite
• Norton - fin
• F-Secure
• F-Secure - suite
• F-Secure - fin
• Avast
• Avast - suite
• Avast - fin
• Les performances : l'épreuve du chronomètre
• Tests de compression
• Impact dans les jeux
• Test de protection : les infection locales
• Test de protection : infections locales et e-mails
• Test de protection : navigation dangereuse
• Test de protection : navigation dangereuse (suite)
• Bilan par antivirus
• Conclusion générale