Pas d'amélioration test anti-rootkit pour Antivir

[dominiqd]

Petit rappel concernant le test anti-rootkit effectué par la très sérieuse et indépendante AV-Test.org en date du 13 mars 2008 : Antivir laisse toujours passer un rootkit sur l'échantillon de test

proposé par le labo.

 

Pas d'amélioration par rapport au même test effectué au mois de janvier : un rootkit manqué sur un total de douze.

 

Comment expliquer une telle faiblesse alors que cet antivirus excelle dans tous les autres compartiments ?

 

Espérons qu'il fera des progrès sur ce point après son passage à la très récente version 8, un rootkit n'étant pas à considérer à la légère.

 

D.

 

AV-test.org issues latest figures

 

In-depth testing covers multiple factors.

 

Independent testing body AV-Test.org has released its latest set of results, with a large group of products tested against a number of criteria including proactive detection, spotting and removing active infections, and outbreak response times, as well as simple detection rates.

 

VB100

 

The results show how companies and their products fare against the latest range of samples arriving at AV-Test, with results of checking new arrivals used to determine the accuracy of heuristics and the efficacy of behavioural detection systems. Updates were also monitored over the test period to determine when companies added detection for new items not spotted using heuristics or generic detection. Detection and effective removal of active malware, including rootkits, is also measured, as is the impact on system performance.

 

As in AV-Comparatives' recent figures, multi-engine products such as AEC's Trustport, G DATA's AVK and the gateway scanning product WebWasher all performed very strongly in the pure detection test, with Avira's AntiVir also achieving very high scores in both malware and 'potentially unwanted' categories.

 

The multi-engine products showed their weakness when it came to scanning times and false positives however, and also fared poorly against rootkits, while Avira did well across the board, ranking 'good' or 'very good' in all categories. The only other product to achieve this feat was Sophos, with Symantec and Panda let down only by their response times to outbreaks, marked as merely 'Satisfactory', and McAfee also failing to excel in scanning speed.

 

The results of the tests are shown in full below.

 

Overall results

 

Product malware on demand adware / spyware on demand false positives scan speed proactive detection response times rootkit detection cleaning

AntiVir (Avira) ++ ++ (*1) + ++ + ++ + +

Avast! (Alwil) ++ + + + o + o o

AVG + ++ (*1) + + o o + o

AVK (G Data) ++ ++ o -- + ++ -- -

BitDefender + ++ o - ++ + + o

ClamAV -- -- - -- - ++ -- --

Dr Web o o o o + o + +

eScan + o o - + ++ -- --

eTrust / VET (CA) -- -- ++ o - -- + ++

Fortinet-GW o o -- + ++ + n/a (*2) n/a (*2)

F-Prot (Frisk) + o + + - o o o

F-Secure + o + o ++ + ++ +

Ikarus ++ ++ o + + + o o

K7 Computing -- -- o - - - -- --

Kaspersky + o o - + ++ + +

McAfee + ++ ++ o + o + ++

Microsoft + o ++ o - -- o ++

Nod32 (Eset) + + ++ ++ ++ + + +

Norman o o + - + o o o

Norton (Symantec) + ++ ++ ++ + o ++ ++

Panda + + + + ++ o ++ o

QuickHeal (CAT) - - o o o o - o

Rising o + + o o o o +

Sophos ++ ++ + + ++ + + +

Trend Micro ++ + + + + + ++ +

TrustPort ++ ++ - -- ++ ++ -- --

VBA32 - o o o + o o +

VirusBuster -- -- + o - o o +

WebWasher-GW ++ ++ o ++ ++ ++ n/a (*2) n/a (*2)

ZoneAlarm + o o - + ++ + o

 

Index

++ = very good > 98% > 98% no FP < 2 h

+ = good > 95% > 95% 1 FP 2 - 4 h

o = satisfactory > 90% > 90% 2 FP 4 - 6 h

- = poor > 85% > 85% 3 FP 6 - 8 h

-- = very poor < 85% < 85% > 3 FP > 8 h

 

Notes

(1) the free (personal) edition does not include ad- and spyware detection, so the results would be "--"

(2) not available (this is a gateway product)

 

Detection rates for malware, adware and spyware

 

Product Malware samples Adware and Spyware

AntiVir (Avira) 99.3% 99.1%

Avast! (Alwil) 98.8% 97.9%

AVG 96.3% 98.6%

AVK (G Data) 99.9% 99.9%

BitDefender 97.8% 98.8%

ClamAV 84.8% 82.4%

Dr Web 90.4% 92.8%

eScan 96.7% 92.1%

eTrust / VET (CA) 72.1% 56.5%

Fortinet-GW 92.4% 91.2%

F-Prot (Frisk) 96.7% 92.0%

F-Secure 96.8% 93.5%

Ikarus 98.0% 98.8%

K7 Computing 65.5% 59.5%

Kaspersky 97.2% 92.0%

McAfee 95.6% 98.6%

Microsoft 97.8% 91.5%

Nod32 (Eset) 97.8% 96.3%

Norman 92.8% 91.9%

Norton (Symantec) 95.7% 98.6%

Panda 95.6% 95.6%

QuickHeal (CAT) 85.7% 86.7%

Rising 94.1% 95.9%

Sophos 98.1% 98.8%

Trend Micro 98.7% 95.1%

TrustPort 99.6% 99.8%

VBA32 89.9% 92.1%

VirusBuster 76.2% 77.8%

WebWasher-GW 99.9% 99.9%

ZoneAlarm 96.4% 94.5%

Number of samples 1130556 83054

 

Full testing methodology is here.

 

13 March 2008

[oGu]

Salut!

 

Il lui échappe en scan à la demande une fois installé ou lors du téléchargement du dropper?

 

Le souci c'est qu'un antivirus n'est pas censé être un outil anti-rootkit résident (ça, c'est le rôle d'un HIPS), nombre d'antivirus ne les voient pas, y compris NOD32 pas plus tard qu'hier sur un Zlob, lors d'un test que je faisais...Ce qui n'est pas une raison pour que les éditeurs travaillent sur ce point faible évidemment!!

 

Quel est ce rootkit qui échappe à Antivir?? je n'ai pas encore lu la totalité du test...

 

A+

Modifié le 18 avril 2008 par oGu

[dominiqd]

Hello,

 

Je ne suis pas au courant du détail de la procédure des tests mais seulement des résultats.

Je note simplement qu'Antivir en fait un argument marketing au même titre que les autres éditeurs d'antivirus mais quatre antivirus

réussissent le test complet c-à-d détecter et arrêter les douze rootkits soumis dont F-Secure, Panda, Norton et Trend Micro.

 

Je reste dubitatif lorsque je vois Norton et Panda réussir ce test mais enfin...

 

Voir la page Virusbtn.com en question pour plus de détails à ce sujet :

 

http://www.virusbtn.com/Session-a43f8d5661...2008/03_13a.xml

 

D.

[Invité VIP]

Petit rappel concernant le test anti-rootkit effectué par la très sérieuse et indépendante AV-Test.org en date du 13 mars 2008 : Antivir laisse toujours passer un rootkit sur l'échantillon de test

proposé par le labo.

 

Pas d'amélioration par rapport au même test effectué au mois de janvier : un rootkit manqué sur un total de douze.

 

Comment expliquer une telle faiblesse alors que cet antivirus excelle dans tous les autres compartiments ?

 

Espérons qu'il fera des progrès sur ce point après son passage à la très récente version 8, un rootkit n'étant pas à considérer à la légère.

 

D.

 

AV-test.org issues latest figures

 

In-depth testing covers multiple factors.

 

Independent testing body AV-Test.org has released its latest set of results, with a large group of products tested against a number of criteria including proactive detection, spotting and removing active infections, and outbreak response times, as well as simple detection rates.

 

VB100

 

The results show how companies and their products fare against the latest range of samples arriving at AV-Test, with results of checking new arrivals used to determine the accuracy of heuristics and the efficacy of behavioural detection systems. Updates were also monitored over the test period to determine when companies added detection for new items not spotted using heuristics or generic detection. Detection and effective removal of active malware, including rootkits, is also measured, as is the impact on system performance.

 

As in AV-Comparatives' recent figures, multi-engine products such as AEC's Trustport, G DATA's AVK and the gateway scanning product WebWasher all performed very strongly in the pure detection test, with Avira's AntiVir also achieving very high scores in both malware and 'potentially unwanted' categories.

 

The multi-engine products showed their weakness when it came to scanning times and false positives however, and also fared poorly against rootkits, while Avira did well across the board, ranking 'good' or 'very good' in all categories. The only other product to achieve this feat was Sophos, with Symantec and Panda let down only by their response times to outbreaks, marked as merely 'Satisfactory', and McAfee also failing to excel in scanning speed.

 

The results of the tests are shown in full below.

 

Overall results

 

Product malware on demand adware / spyware on demand false positives scan speed proactive detection response times rootkit detection cleaning

AntiVir (Avira) ++ ++ (*1) + ++ + ++ + +

Avast! (Alwil) ++ + + + o + o o

AVG + ++ (*1) + + o o + o

AVK (G Data) ++ ++ o -- + ++ -- -

BitDefender + ++ o - ++ + + o

ClamAV -- -- - -- - ++ -- --

Dr Web o o o o + o + +

eScan + o o - + ++ -- --

eTrust / VET (CA) -- -- ++ o - -- + ++

Fortinet-GW o o -- + ++ + n/a (*2) n/a (*2)

F-Prot (Frisk) + o + + - o o o

F-Secure + o + o ++ + ++ +

Ikarus ++ ++ o + + + o o

K7 Computing -- -- o - - - -- --

Kaspersky + o o - + ++ + +

McAfee + ++ ++ o + o + ++

Microsoft + o ++ o - -- o ++

Nod32 (Eset) + + ++ ++ ++ + + +

Norman o o + - + o o o

Norton (Symantec) + ++ ++ ++ + o ++ ++

Panda + + + + ++ o ++ o

QuickHeal (CAT) - - o o o o - o

Rising o + + o o o o +

Sophos ++ ++ + + ++ + + +

Trend Micro ++ + + + + + ++ +

TrustPort ++ ++ - -- ++ ++ -- --

VBA32 - o o o + o o +

VirusBuster -- -- + o - o o +

WebWasher-GW ++ ++ o ++ ++ ++ n/a (*2) n/a (*2)

ZoneAlarm + o o - + ++ + o

 

Index

++ = very good > 98% > 98% no FP < 2 h

+ = good > 95% > 95% 1 FP 2 - 4 h

o = satisfactory > 90% > 90% 2 FP 4 - 6 h

- = poor > 85% > 85% 3 FP 6 - 8 h

-- = very poor < 85% < 85% > 3 FP > 8 h

 

Notes

(1) the free (personal) edition does not include ad- and spyware detection, so the results would be "--"

(2) not available (this is a gateway product)

 

Detection rates for malware, adware and spyware

 

Product Malware samples Adware and Spyware

AntiVir (Avira) 99.3% 99.1%

Avast! (Alwil) 98.8% 97.9%

AVG 96.3% 98.6%

AVK (G Data) 99.9% 99.9%

BitDefender 97.8% 98.8%

ClamAV 84.8% 82.4%

Dr Web 90.4% 92.8%

eScan 96.7% 92.1%

eTrust / VET (CA) 72.1% 56.5%

Fortinet-GW 92.4% 91.2%

F-Prot (Frisk) 96.7% 92.0%

F-Secure 96.8% 93.5%

Ikarus 98.0% 98.8%

K7 Computing 65.5% 59.5%

Kaspersky 97.2% 92.0%

McAfee 95.6% 98.6%

Microsoft 97.8% 91.5%

Nod32 (Eset) 97.8% 96.3%

Norman 92.8% 91.9%

Norton (Symantec) 95.7% 98.6%

Panda 95.6% 95.6%

QuickHeal (CAT) 85.7% 86.7%

Rising 94.1% 95.9%

Sophos 98.1% 98.8%

Trend Micro 98.7% 95.1%

TrustPort 99.6% 99.8%

VBA32 89.9% 92.1%

VirusBuster 76.2% 77.8%

WebWasher-GW 99.9% 99.9%

ZoneAlarm 96.4% 94.5%

Number of samples 1130556 83054

 

Full testing methodology is here.

 

13 March 2008

 

Bonjour dominiqd,

 

Ne jette pas trop vite la pierre sur Antivir. Son score est excellent. La version 8 vient de sortir et apporte des améliorations significatives.

Si tu as des remarques intéressantes à partager, tu peux t'inscrire sur le forum d'AVIRA: http://forum.avira.com/index.php

C'est un forum anglophone, mais au moins tu pourras te faire entendre et auras des réponses à tes questions.

Aucun AV n'a un taux de détection de 100% sur la totalité des malwares existents (d'après les spécialistes plus de 2 millions).

Nul n'est parfait, ni la machine, ni l'homme.

 

"Beatus qui prodest quibus potest"

[oGu]

Merci pour le lien.

 

J'ai beau scruter la page et les nombreux liens, y compris celui décrivant la méthodo, et je ne trouve pas quels sont les 12 rootkits testés !

[Sacles]

Bonjour,

 

A ma connaissance, Antivir ne protège pas contre les rootkits. Il a simplement un outil de scan pour les repérer et, s'il y arrive, à les éradiquer.

 

Je préfère la prévention à la thérapie.

 

Petite remarque à notre invité VIP: pourquoi reproduire l'entièreté d'un (long) message précédent.

 

Salut.

Modifié le 18 avril 2008 par Sacles

[dominiqd]

Salut oGu,

 

Je passe ma vie sur le forum d'Avira depuis deux jours exactement, la version 8 et ses quelques "incompatibilités" même avec 'Eventlog' et 'pla' activés...

Je suis "sous" Antivir PE Premium et j'en parle justement pour cette raison.

Je ne comprends pas qu'Antivir qui passe haut la main tous les tests de détection malware, spyware et adware laisse passer un rootkit alors que Norton et Panda...

 

Pour le détail de la procédure de test il faut aller voir l'article sur Av.Test.org datant du mois de janvier, il y a également un lien sous les deux tableaux du test sur la page ci-dessus

qui mènent à la procédure de test d'AV-Test.org.

 

Je ne suis pas en mesure de dire s'il ne détecte pas le dropper, le payload ou les deux mais le résultat est là.

Encore une fois je ne jette pas la pierre à Antivir mais ne sous-estime pas les test d'AV-Test ce serait une erreur.

 

D.

[Sacles]

Re,

 

Pourquoi cette fixation sur la détection? Les rootkits, c'est peut-être très bien de les détecter mais c'est encore mieux de ne pas en avoir.

 

De toute façon, après la détection, l'utilisateur n'est pas encore sorti de l'auberge.

 

Salut.

[oGu]

Pour le détail de la procédure de test il faut aller voir l'article sur Av.Test.org datant du mois de janvier, il y a également un lien sous les deux tableaux du test sur la page ci-dessus

qui mènent à la procédure de test d'AV-Test.org.

 

Oui j'y ai jeté longuement un oeil, mais je n'ai pas vu quels étaient les rootkits testés...Si tu as une meilleure vue ça m'intéresse!

 

A+

[dominiqd]

Hello,

 

Ce n'est pas vraiment ce que je vois sur la page d'Avira sous Antivir PE Premium (mot à mot) :

 

"Avira AntiVir Premium reliably protects you against all threats from viruses, worms, trojans, rootkits, phishings, adware, spyware, bots, and dangerous “drive-by” downloads. Best detection rates and top-class security with several updates every day."

 

Argument marketing pareil aux autres sociétés qui éditent des logiciels de sécurité je suis d'accord mais je tiens à une information complète pour les futurs éventuels utilisateurs.

 

D.