Comparatif d'antivirus et anti-maliciels (anti-malwares, anti-riskwares, anti-spywares, anti-trojans)

   À l'instar de mon comparatif de 2007, j'ai volontairement infecté une machine avec des milliers d'objets dangereux afin de juger de l'efficacité de logiciels de désinfection pour Windows annoncés comme anti-malwares, anti-riskwares, anti-spywares, anti-trojans ou antivirus. Lesdits logiciels ont été paramétrés de façon à maximiser leur capacité de détection, sauf pour l'analyse heuristique qui a été réglée au niveau moyen (lorsqu'elle comptait trois niveaux) ou faible (lorsqu'elle en comportait deux).
   Comme d'habitude, j'ai réalisé cette étude en toute indépendance et n'ai bénéficié d'aucune aide ni subi la moindre pression de quelque société que ce soit. Je l'ai effectuée pour mon propre usage et la porte à votre connaissance afin de vous aider dans votre choix.
   Afin que le prochain comparatif soit encore meilleur, n'hésitez pas à m'envoyer vos cochonneries, de préférence sous forme d'un fichier compressé et crypté. Le nom et le type n'ont pas d'importance : 123.nouzironzoboi, gros.nul, pamela.anderson, xena.kiss ou tout autre nom dextrose⁽¹⁾ conviendra.

Logiciels de désinfection

Comme à l'accoutumée, je n'ai sélectionné que des logiciels utilisables gratuitement, fût-ce durant une période d'essai, généralement de 15 ou 30 jours. Voici les trente-huit logiciels que j'ai retenus, leur version, bien qu'appelée parfois « 2008 », étant la plus récente disponible au 22 mars 2009 :

Anti-maliciels (anti-malwares, anti-riskwares, anti-spywares, anti-trojans) :
1. Ashampoo GmbH & Co. KG : Ashampoo AntiSpyware 2.0.0
2. AxBx : Multi Virus Cleaner 2008 8.6.9
3. Computer Associates International : CA Anti-spyware 11.0.0
4. Crawler.com : Crawler Spyware Terminator 2.5.6
5. Emco Software Ltd. : Malware Destroyer 4.1.5
6. Emsi Software GmbH : a-squared Free 4.0.0
7. Gridinsoft : Anti-Trojan Elite 4.4.7
8. Lavasoft AB : Ad-Aware 7.1.0
9. Malwarebytes : Malwarebytes' Anti-Malware 1.34.0 (MBAM)
10. Malwarebytes : Malwarebytes' RogueRemover FREE 1.24.0
11. Microsoft Corporation : Outil de suppression de logiciels malveillants (MRT) 2.7.2432
12. NETGATE Technologies s.r.o. : Spy Emergency 6.0.6
13. Norman : Norman Malware Cleaner 2009 1.4.3
14. PC Tools : Spyware Doctor 6.0.0
15. Proland Software : Protector Plus for Windows 8.0.69
16. Safer Networking Limited : Spybot - Search & Destroy 1.6.2
17. Simply Super Software : Trojan Remover 6.7.6
18. Sunbelt Software : CounterSpy 3.1.2315
19. SUPERAntiSpyware.com : SUPERAntiSpyware 4.25.1014
20. Remove trojan : Trojan Killer 2.0.0
21. Webroot Software, Inc. : Spy Sweeper 5.8.1
Antivirus :
1. Alch : ClamWin Antivirus 0.94.1
2. ALWIL Software : avast! 4.8.1335
3. AVG Technologies CZ, s.r.o. : AVG 8.0.237
4. Avira GmbH : AntiVir PersonalEdition Classic 8.2.0
5. BitDefender S.R.L. : BitDefender 2009 12.0.11
6. COMODO : Comodo Internet Security 3.8.65951
7. Computer Associates International : CA Antivirus 10.0.0
8. Eset : NOD32 2.70.31
9. FRISK Software : F-PROT Antivirus for DOS
10. FRISK Software : F-PROT Antivirus for Windows 6.0.6
11. Kaspersky Lab : Kaspersky Anti-Virus 8.0.0
12. Microsoft Corporation : Windows Defender 1.1.1593
13. Panda Security, S.L. : Panda antivirus Pro 2009 8.0.0
14. PC Tools Research Pty Ltd : PC Tools AntiVirus 5.0.1
15. Sophos Plc : Sophos Anti-Virus 7.6.5
16. Symantec Corporation : Norton antivirus 2009 16.5.0
17. Trend Micro Inc. : Trend Micro Internet Security Pro 17.0.1305

AntiTrojan Elite, s'est avéré un rogue et je soupçonne la dernière version de Spy Emergency d'en être un également.
Pour rappel, il est fortement déconseillé d'installer plusieurs antivirus ou anti-maliciels sur une même machine en raison des risques de plantage. Toutefois, si vous maîtrisiez suffisamment les subtilités de Windows pour vouloir faire comme moi et étiez capable de contourner les protections de certains installateurs (qui détectent parfois d'autres antivirus déjà installés), voici ce que vous pourriez obtenir :

Collection virale

Par rapport au comparatif précédent, j'ai considérablement augmenté le nombre de cochonneries de ma collection⁽²⁾, avec notamment plus de 2 000 fichiers apparus après 2008. Pour ce test, ma base d'objets dangereux et parfaitement identifiés comportait finalement :

plus de 8 400 fichiers différents⁽³⁾ (certains, tels les installateurs, pouvant contenir d'autres fichiers, parfois récursivement) ;
plus de 27 000 redirections dangereuses (9 000 blocages et 18 000 piratages) ;
plus de 2 500 entrées dans la base de registre.

La taille des fichiers variait entre 17 octets et 83 Mo (médiane : 36 ko) et leur nature était la plus diversifiée possible (capteurs de frappe, chevaux de Troie, composeurs, espiogiciels, exploits, outils d'administration, publiciels, rogues, sniffeurs, vers, virus...). En voici la classification simplifiée établie après analyse par Kaspersky Antivirus :

Classification des maliciels

Les virus représentent une proportion de plus en plus faible des fichiers nuisibles en circulation. Selon Microsoft, au second semestre 2008, seulement un dixième desdits fichiers étaient des vers et virus, tandis que près de la moitié étaient des troyens, dont les cinq plus fréquents — Win32/Vundo, Win32/Zlob, Win32/Renos, Win32/MessengerSkinner et Win32/FakeSecSen — ont, à eux seuls, contaminé plus de 700 000 ordinateurs en France (sans compter le mien ;-) :

troyens divers (trojans) : 24,7 % ;
logiciels indésirables divers : 20,7 % ;
troyens — téléchargeurs, injecteurs et installeurs (downloaders & droppers) : 19,5 % ;
logiciels indésirables — publiciels (adwares) : 17,5 % ;
vers (worms) : 9,6 % ;
troyens — portes dérobées (backdoors) : 3,3 % ;
outils de contrôle et d'espionnage (RAT, sniffers) : 2,2 % ;
virus : 1,1 % ;
logiciels indésirables — espiogiciels (spywares) : 0,6 % ;
exploits : 0,6 %.

Par conséquent, pour mieux déterminer l'efficacité des anti-maliciels, j'ai changé la catégorisation des fichiers testés. Au lieu de distinguer les fichiers selon leur nature (virus ou maliciels), j'ai adopté une classification fonction de leur type, donc de leur dangerosité a priori :

risque potentiellement majeur : le fichier (de type bat, com, exe...) est directement exécuté par le système. En pratique, le risque peut varier du nul au critique selon le système d'exploitation : un exécutable pour Windows sera ignoré sous Unix alors qu'il pourra fortement endommager un ordinateur sous Windows mal protégé ou comportant des failles de sécurité ;
risque potentiellement modéré à élevé : le fichier (de type jpg, mp3, xls...) utilise généralement les vulnérabilités d'un logiciel tiers. Si le logiciel utilisé est faillible, par exemple parce qu'il est bogué, obsolète ou utilise des macros, le risque peut devenir majeur. La nuisance de tels fichiers est considérable car ils sont presque toujours indépendants du système d'exploitation ;
risque potentiellement nul à faible : le fichier, en lui-même inoffensif (de type c, dat, zip...), nécessite un maliciel ou une opération manuelle, telle une compilation ou une décompression . Si une telle action est effectuée, le risque peut alors devenir majeur. Les « traces » de maliciels et les fichiers Eicar, sans danger, relèvent également de cette catégorie.

En ce qui concerne les liens, j'ai conservé ma précédente classification, très satisfaisante :

clefs de la base de registre (liens et autres traces) ;
liens DNS (fichier Hosts).
liens URL (raccourcis Internet) ;

Pour en terminer avec les illustrations et pour vous permettre de juger de la diversité de ma collection de maliciels, voici deux exemples de rapport particulièrement réussis, de par leur caractère à la fois informatif et esthétique ; celui de CounterSpy, sobre et élégant, et celui d'Ad-Aware, plus original :

Résultats

Comparaison de l'efficacité de différents anti-maliciels (avril 2009)
Anti-maliciel Détection des fichiers Détection des liens Note globale⁽⁴⁾
Risque majeur Risque modéré Risque faible Total Registre Hosts URL Total
A-Squared 1755 97 216 2068 494 0 0 494
Ad-Aware 911 67 32 1010 548 0 0 548
Antivir 2141 251 1095 3487 0 0 4 4
Ashampoo 1289 32 21 1342 365 0 0 365
Avast! 2938 205 1002 4145 0 0 1 1
AVG 1809 407 614 2830 9 0 0 9
BitDefender 1858 232 617 2707 0 0 4 4
CA Antivirus 907 139 265 1311 51 0 0 51
CA Anti-Spyware 1446 354 926 2726 0 0 14 14
ClamWin 1312 461 1037 2810 0 0 0 0
Comodo 1771 138 446 2355 0 0 6 6
CounterSpy 1686 58 41 1785 208 0 0 208
F-Prot Dos 1161 132 702 1995 0 0 0 0
F-Prot Windows 1779 401 733 2913 0 0 0 0
Kaspersky 2358 458 529 3345 0 30 3 33
Malware Cleaner 1382 105 240 1727 40 2600 0 2640
Malware Destroyer 0 0 0 0 253 0 0 253
MBAM 101 11 1 113 430 0 0 430
MRT 160 3 5 169 40 0 0 40
Multi Virus Cleaner 66 8 55 129 39 0 0 39
Nod32 1268 226 246 1740 0 0 0 0
Norton 1425 282 583 2290 21 77 4 102
Panda 2631 434 462 3527 0 0 0 0
PC Tools 1049 81 295 1425 0 0 0 0
Protector Plus 874 53 226 1153 0 0 0 0
RogueRemover 0 0 0 0 32 0 0 32
Sophos 2242 391 311 2944 0 0 2 2
Spy Emergency 1310 43 106 280 531 77 2 610
Spy Sweeper 1053 174 76 1303 573 (0)** 7 580
Spybot - S & D (333)* (117)* (47)* (497)* 534 205 0 739
Spyware Doctor 878 137 40 1055 570 1898 101 2549
Spyware Terminator 0 0 0 0 570 0 0 570
SuperAntispyware 146 15 1 161 331 0 3 334
Trend Micro 1982 400 548 2930 526 (0)** 2 528
Trojan Killer 1024 344 5 1373 0 0 0 0
Trojan Remover 519 39 51 609 72 0 0 72
Windows Defender 583 24 45 652 39 0 0 39
* Les fichiers n'ont pu être détectés que grâce au scan contextuel.
** Les modifications du fichier Hosts sont toutefois détectées en temps réel.
Performance nettement inférieure Performance moyenne Performance nettement supérieure

Cookies traqueurs :

Seuls deux logiciels ont détecté des témoins de connexion (environ la moitié) :

Panda Antivirus 47 48 %
AVG Anti-Spyware 44 45 %

Injection du Hosts :

Seuls six logiciels ont détecté des redirections potentiellement dangereuses. Les trois meilleurs sont :

Norman Malware Cleaner 1940 blocages + 660 redirections 21 + 4 %
Spyware Doctor 283 blocages + 1614 redirections 3 + 9 %
Spybot - Search & Destroy aucun blocage + 205 redirections 0 + 1 %

Test Eicar ⁽⁵⁾ :

Ce fichier permet de vérifier le bon fonctionnement d'un antivirus. En le modifiant (compression, multi-archivage, encodage, renommage, etc.), il permet aussi de juger de l'efficacité des détections malgré le camouflage ou le type de compression. Notez qu'aucun logiciel ne détecte mes 38 variations du fichier Eicar en raison du type d'encodage ou du niveau d'archivage que j'ai utilisés. Les meilleurs sont :

BitDefender 37 97 %
Kaspersky Antivirus 33 87 %
A-squared, Avast!, F-PROT (les deux), Panda Antivirus 32 84 %

Bombes logiques :

Ces fichiers — dont un exemple est disponible ici — peuvent provoquer le plantage des antivirus. Si leur signature n'est pas connue, il n'existe que deux moyens de protection : ou bien l'antivirus limite le niveau de récursivité, ou bien il limite la durée du scan, ce qui est plus fiable.

Quatre logiciels ont détecté mes deux bombes (7z et zip) : Ad-Aware, Avira, Fprot Dos et Nod32.
Trois n'ont détecté que la bombe zip : A-squared, Ashampoo et Avast! (qui a planté avec la bombe 7z).
Parmi les logiciels n'ayant rien détecté, seuls quatorze n'ont pas planté : AVG, BitDefender, CA Anti-spyware, Comodo Internet Security, Kaspersky Anti-Virus, MBAM, MRT, Norton antivirus, PC Tools AntiVirus, Sophos Anti-Virus, Spy Emergency, Spy Sweeper, Trend Micro Internet Security et Windows Defender.

Signatures :

Enfin, je rappelle que l'efficacité d'un logiciel de désinfection n'est pas proportionnelle à la richesse annoncée de sa base de données. Ainsi, ClamWin se révèle aussi efficace qu'AVG, qui recense presque quatre fois plus de signatures. On peut ainsi calculer une efficience — rapport du nombre de détections sur le nombre (arrondi) de signatures — dont la très faible valeur peut révéler des rogues :

Logiciel Signatures Détections Efficience Rogue ?
MBAM 69000 543 0,79 % Non
Spy Sweeper 270000 1883 0,70 % Non
Spyware Doctor 600000 3604 0,60 % Non
ClamWin Antivirus 530000 2810 0,53 % Non
Sophos Anti-Virus 640000 2946 0,46 % Non
F-PROT Antivirus for DOS 490000 1995 0,41 % Non
AntiVir 1000000 3491 0,35 % Non
PC Tools AntiVirus 600000 1425 0,24 % Non
Kaspersky Anti-Virus 2000000 3378 0,17 % Non
Malware Cleaner 2900000 4367 0,15 % Non
AVG 2000000 2839 0,14 % Non
Ashampoo AntiSpyware 1600000 1707 0,11 % Non
Spy Emergency 1400000 990 0,071 % Suspect

Conclusion

   Sans surprise, les antivirus dominent ce classement mais Kaspersky Antivirus semble devoir céder sa couronne... Même s'il demeure une référence, Avast!, Panda et Antivir se révèlent les plus efficaces pour la détection des fichiers. Avast! est favorisé par son analyse heuristique très puissante, hélas source de nombreux faux-positifs. Clamwin est le meilleur pour détecter les fichiers indépendants du système d'exploitation ; « évidemment », pourraît-on ajouter puisqu'il est issu de ClamAV, fameux antivirus libre pour Linux. BitDefender est également un antivirus gratuit réputé et toujours bien classé. Bien que sa performance soit moyenne et ses mises à jour arrêtées depuis juin 2008, F-Prot for DOS demeure utile car il peut permettre de décontaminer une machine inutilisable sous Windows. En infiltrant la mémoire et en désactivant les pare-feu et les antivirus, les programmes malveillants peuvent en effet rendre le système d'exploitation incontrôlable et impossible à désinfecter.
   Norman Malware Cleaner, Spyware Doctor, Spybot - Search & Destroy — qui propose une protection en temps réel de la base de registre — et Spy Sweeper sont les plus efficaces pour détecter des liens dangereux.
   On constate toujours que le logiciel idéal n'existe pas : si l'on veut optimiser la détection, il ne faut pas moins de six logiciels, et l'on ne détectera jamais toutes les cochonneries ! Notez qu'un logiciel peut détecter des objets qui ne sont pas reconnus par des logiciels plus performants, aussi, ne faut-il pas hésiter à en utiliser plusieurs. Toutefois, n'oubliez pas qu'il est fortement déconseillé d'installer plusieurs antivirus en raison des risques de conflits, notamment s'ils résident en mémoire et assurent une protection en temps réel.
   Bref, si vous deviez n'en choisir qu'un, je vous recommande Avast!, le gratuiciel qui offre la meilleure protection globale, et ce et en temps réel. Pour ne rien gâcher, il est très rapide !

Airelle

_____________
⁽¹⁾ Anti-sinistrose. Évidemment.
⁽²⁾ Merci à Yvan

d'avoir mis à ma disposition sa propre collection de maliciels, ce qui m'a permis d'en récupérer plusieurs dizaines que je n'avais pas.
⁽³⁾ Les éventuels doublons ont été supprimés après que j'ai contrôlé les signatures MD5 de chacun.
⁽⁴⁾ Pour calculer rigoureusement les notes globales, j'ai normalisé de 0 à 5, en arrondissant à l'entier le plus proche, les résultats obtenus par sommation des six nombres réduits pondérés en fonction de la dangerosité : Σ⁶_i=1 (ρ_i × n_i / n_max).
⁽⁵⁾ European Intitute for Computing Antivirus Research (Institut européen de recherche sur les antivirus informatiques).

Comparatif de logiciels antivirus et anti-maliciels
(anti-malwares, anti-riskwares, anti-spywares, anti-trojans)

Principe

Logiciels de désinfection

Collection virale

Classification des maliciels

Résultats

Conclusion

Comparatif de logiciels antivirus et anti-maliciels(anti-malwares, anti-riskwares, anti-spywares, anti-trojans)

Principe

Logiciels de désinfection

Collection virale

Classification des maliciels

Résultats

Conclusion

Comparatif de logiciels antivirus et anti-maliciels
(anti-malwares, anti-riskwares, anti-spywares, anti-trojans)