Analyse D'eicar.zip Et Autres Questions

Sacles
Sacles
Modifié (mars 2012) dans Produits bitdefender 2012

Bonjour,


Je suis en version d'essai de Bitdefender 2012 Plus et j'ai quelques questions:


1. Eicar (sous différentes formes) est souvent utilisé pour tester son antivirus.


Pourquoi Bitdefender ne réagit-il pas lors du téléchargement d'EICAR (enregistrement via "Enregistrer le cible du lien sous")?


Pourquoi Bitdefender Antivirus Plus affirme-t-il que EICAR.ZIP est "sain"?


95cee5a83e43927a96e292038ca12.png


2. Peut-on régler la fréquence des recherches des mises à jour?


3. Lors d'une alerte de Bitdefender, l'utilisateur peut-il choisir que Bitdefender ne fasse rien (pas de mise en quarantaine)?


4. Malwarebyte dans sa version gratuite (donc non résidente) est-il compatible avec Bitdefender Antivirus?


Merci pour vos futures réponses.

Réponses

  • Yann A.
    Yann A. mod

    Bonjour Sacles,


    Je réponds à vos questions ci-dessous :


    1. D'où vient ce fichier eicar.zip ? Avez-vous, vous même, compresser un fichier eicar ?


    Car les noms des différents tests officiels eicar, sont eicar_com.zip, eicarcom2.zip.


    J'ai fait le test sur ces deux fichiers récupérés sur le site officiel eicar.org en faisant une analyse contextuelle, Bitdefender a bien détecté une menace (Eicar-Test-File (not a virus)). Avez-vous une analyse par le manu contextuel ?


    Avez-vous un autre logiciel de protection installé ?


    2. Non vous ne pouvez pas régler la fréquence des mises à jour.


    3. Lors d'une alerte suite à l'accès d'un fichier détecté par Bitdefender, vous n'avez pas la possibilité de choisir l'action. En revanche vous pouvez définir dans la configuration de l'antivirus (Configuration, Antivirus, Paramètres de l'analyse à l'accès, Personnalisé), différentes actions : 'Action automatique' (c'est Bitdefender qui décide), 'Tout déplacer en quarantaine' ou 'Refuser l'accès').


    Il n'est pas possible de ne rien faire, mais vous pouvez exclure un fichier de l'analyse si jamais il y a une fausse détection sur un fichier donné.


    4. Vous pouvez garder la version Malwarebyte sans résident, mais attention à bien désactiver l'analyse à l'accès dans Bitdefender (protection en temps réel) quand vous lancerez une analyse avec Malwarebytes, ce pour éviter le conflit.


    Cordialement,


    Yann

  • Sacles
    Sacles
    Modifié (mars 2012)

    Re,


    1. D'où vient ce fichier eicar.zip ? Avez-vous, vous même, compresser un fichier eicar ?


    Il vient de ce site: http://securite-informatique.info/virus/eicar/


    En cliquant sur eicar.zip, j'ai une alerte dans le navigateur mais via un clic droit, comme je l'ai indiqué, eicar.zip se télécharge sans alerte et une analyse contextuelle ne donne aucune alerte (une sélection "Analyser dans les archives" dans la configuration personnalisée ne change rien).


    J'ai fait le test sur ces deux fichiers récupérés sur le site officiel eicar.org en faisant une analyse contextuelle, Bitdefender a bien détecté une menace (Eicar-Test-File (not a virus)). Avez-vous une analyse par le manu contextuel ?


    Oui.


    2. OK


    3. Dommage (je ne veux pas rappeler de mauvais souvenirs mais Bitdefender a déjà eu des problèmes avec de faux-positifs qui concernaient des fichiers-systèmes).


    4. OK.

  • Yann A.
    Yann A. mod
    Modifié (mars 2012)

    Bonjour Sacles,


    Vous dites qu'il se télécharge, mais l'avez-vous trouver sur le disque ensuite ? Si vous allez dans Evénements, antivirus, il n'y a aucun événement signalant que le fichier a été bloqué ? Si c'est le cas, c'est que votre protection en temps réel n'est pas en place et donc que Bitdefender ne s'est pas correctement installé.


    Car je viens de faire le test et même si le navigateur a l'air de le télécharger, en réalité il n'en est rien. Deux alertes Bitdefender apparaissent en bas de l'écran. Une à la tentative de téléchargement. Une autre si on insiste et on tente quand même de valider la destination de l'enregistrement. Et si on valide l'enregistrement sur le disque, le fichier ne peut pas être créé et une erreur Windows apparaît. Normal car Bitdefender a bloqué le fichier au téléchargement et à l'écriture.


    Cordialement,


    Yann

  • Sacles
    Sacles
    Modifié (mars 2012)

    Re,


    Merci pour votre aide.


    Vous dites qu'il se télécharge, mais l'avez-vous trouver sur le disque ensuite ?


    Oui bien sûr puisque j'en ai fait une analyse contextuelle via un clic droit sur le fichier eicar.zip > Analyser avec Bitdefender.


    Euréka :rolleyes:


    1. Si je renomme ce téléchargement en eicar.txt et que j'ouvre le fichier, le code d'EICAR ne s'y trouve pas mais c'est le codage d'une page web qui s'y trouve (impossible d'ailleurs de décompresser cet eicar.zip). C'était donc normal que Bitdefender ne réagisse pas.


    2. Si je construis un fichier avec le code d'EICAR


    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


    La Bitdefender réagit et le met en quarantaine.


    3. De plus, si je désactive la barre d'outils Bitdefender dans le navigateur et que j'essaye de télécharger eicar.zip, là Bitdefender me donne l'alerte et place le fichier en quarantaine.


    Tout me paraît donc OK à ce niveau.


    ---------------------------------------------------------


    Je regrette cependant que l'utilisateur ne puisse pas choisir de ne rien faire lors d'une détection. Que se passera-t-il si un jour des fichiers-systèmes sont détectés comme infectés mais qu'il s'agit de faux positifs? C'est, me semble-t-il, une question importante.


    Edité: je suis rassuré. Je viens d'analyser un "bon" eiacar et dans la fenêtre qui s'ouvre (j'ai désactivé l'Auto-pilot), on peut choisir "Ignorer".


    7c28d1c0d2f1689b8da6ddd8c988f.png


    Salut.

  • Yann A.
    Yann A. mod

    Bonjour Sacles,


    En effet ça n'était pas le fichier qui était sauvegardé, mais la partie du code de la page correspondant au lien.


    Il n'y a pas de choix lors des alertes mais vous avez toujours le choixi effectivement lors d'une analyse manuelle.


    Concernant votre remarque sur les choix d'actions, il faut rappeler que la philosophie de la 2012 est de faire au plus simple et de demander le moins de choses à l'utilisateur. Sachez que nous avons déjà remonté ce type de remarques aux développeurs.


    Cordialement,


    Yann

  • Sacles
    Sacles
    Modifié (mars 2012)

    Re,


    Concernant votre remarque sur les choix d'actions, il faut rappeler que la philosophie de la 2012 est de faire au plus simple et de demander le moins de choses à l'utilisateur.


    On pourrait très bien imaginer, comme avec Antivir (ou NOD32 ou d'autres sans doute) une configuration basique et une configuration avancée.


    Cela pourrait satisfaire les deux types d'utilisateurs.

  • Yann A.
    Yann A. mod

    Effectivement, cela a déjà été le cas d'ailleurs, mais je ne peux pas vous dire comment va évoluer Bitdefender, si la philosophie actuelle sera conservée et donc comment sera la 2013.


    Cordialement,


    Yann

Leaders

Catégories

Defenders of the month