Vous êtes sur le site public du Cert-IST
Comparatif "anti-trojan" et "anti-virus"

Date :15 Avril 2005

Publication: Article

Entre le 22 janvier et le 10 février 2005, la société "Assiste" a mené une étude comparative sur un peu plus d’une dizaine de logiciels de protection "anti-trojan" et "anti-virus". Les conclusions sont proches de celles publiées par "Network World" au mois de décembre 2004 (http://www.nwfusion.com/reviews/2004/121304rev.html).

Nota : Le terme "trojan" est un terme générique adopté pour référencer les parasites non-viraux ; "anti-trojan" faisant référence aux logiciels les détectant (aussi regroupés sous l'appellation "anti-spywares" et "anti-adwares" par les éditeurs d'anti-virus).

L'étude conduite par "Assiste" compare des logiciels "gratuits" ou commerciaux, à savoir :

  • "Spybot Search & Destroy"
  • "A2"
  • "Ad-Aware SE Personal"
  • "InterMute SpySubTract"
  • "Microsoft AntiSpyware" (anciennement "Giant AntiSpyware")
  • "Pestpatrol V4"
  • "Pestpatrol V5 Corporate"
  • "Spy Sweeper"
  • "Tauscan"
  • "TDS-3"
  • "The Cleaner"
  • "Ulead PhotoImpact

Les tests ont été réalisés sur une machine Windows XP SP2, avec le garde-barrière fourni avec ce système et l'anti-virus gratuit AVG (http://www.grisoft.com). Outre la fréquence des mises à jour et les fonctionnalités offertes par les différents outils, cette étude s'est basée sur les 10 critères suivants :

  • Bavardage entre un utilitaire et son serveur : ce critère mesure les caractères envoyés/reçus par l'utilitaire lorsque aucune mise à jour n'est disponible (à noter que ce critère n'a pas été pris en compte dans le comparatif final).
  • Durée d'exécution des analyses à la demande ("on-demand scans") : ce critère cherche à savoir si les analyses à la demande ralentissent le système.
  • Nombre d'objets analysés : ce critère cherche à savoir si la totalité des objets présents sur le système est analysée ou s'il y a des manques. L'étude monte que certains éditeurs gonflent les chiffres ou comptent, en plus des fichiers, chaque élément de la base de registre.
  • Tailles de processus d'analyse (scanners) en mémoire : ce critère mesure le pic de consommation mémoire de l'utilitaire lors d'un scan total.
  • Charge d'utilisation de la puissance du processeur : ce critère calcule le pourcentage des ressources processeur mobilisées par le logiciel lors d'un scan total.
  • Réactivité "on-access" - parasites trouvés : ce critère analyse la fonction la plus importante de ces outils, à savoir la réactivité du logiciel lors de l'accès à un "trojan". L'étude a montré que ce critère est très difficile à analyser, du fait de la variété des réponses fournies par les utilitaires.
  • Réactivité "on boot" - parasites trouvés : ce critère correspond à la recherche des "trojans" lors du démarrage du système. Les résultats obtenus sont nettement moins satisfaisants que ceux du module "on-access", en particulier à cause du fait que ces logiciels ne sont lancés que tardivement dans la séquence de démarrage du système.
  • Analyse "on-demand" - parasites trouvés : ce critère permet de sonder le spectre de la base de signature.
  • Analyse "on-demand" - erreurs et faux positifs : ce critère contrôle que l'utilitaire n'élimine pas d'objets légitimes (faux-positifs).
  • ADS - signalement et gestion : ce critère recherche les logiciels analysant les "ADS" (Alternate Data Stream), technique de plus en plus utilisés par des "trojans". L'étude révèle que très peu d'outils tiennent compte des "ADS".

Les critères essentiels (et en conséquence affectés des plus forts coefficients) sont la réactivité "on-access" et la réactivité "on boot"

Les meilleurs résultats sont obtenus par "Spybot Search & Destroy", suivi de "Pestpatrol V4" et "Microsoft AntiSpyware".

Une dernière partie de l'étude est consacrée au logiciel "Kazaa", qui a servi de "base de trojans" pour cette étude.

Dans le cadre de ces travaux, "Assiste" a créé un observatoire "anti-spywares", impliquant la mise à jour régulière de cette étude (augmentation du nombre de produits comparés, augmentation du nombre de tests, etc...).

 

Pour plus d'information