À partir de maintenant, il n’y a plus de comptes d’utilisateurs pour l’octroi de licences. À la place, Emsisoft passe à un système simple basé sur des clés.

Nouvelle interface utilisateur

Après un téléchargement de 97,2 Mo et une installation multilingue simple, vous pouvez choisir dans la fenêtre de bienvenue si vous souhaitez tester le logiciel pendant 30 jours, saisir la clé de licence ou utiliser la version freeware.

Ce qui frappe d’emblée – le cheval de Troie doré de l’interface a été supprimé. Une nouvelle interface utilisateur claire s’affiche et un assistant est lancé pour configurer les paramètres.

L’assistant de sécurité

Dans cette fenêtre, on vous demande si vous souhaitez participer aux interactions en nuage ou mettre à jour des langues supplémentaires. Le réseau cloud est utilisé pour les objets trouvés. Si vous laissez l’option activée, les objets nuisibles trouvés sur votre ordinateur seront automatiquement envoyés au réseau en nuage afin de générer de nouveaux combats de parasites et de pouvoir les distribuer rapidement à tous les utilisateurs d’Emsisoft Anti-Malware. Je désactive les « langues supplémentaires » et les mises à jour bêta, car l’allemand me suffit amplement et je ne suis pas intéressé par les versions bêta.

Si vous avez choisi, les mises à jour et signatures disponibles seront recherchées, téléchargées et installées. L’Assistant de sécurité d’Emsisoft Anti-Malware veut maintenant analyser votre PC. Il continue avec « Analyser le PC maintenant ». Vous avez le choix entre « Analyse rapide », « Analyse intelligente », « Analyse détaillée » ou « Analyse personnelle ». Les descriptions claires se trouvent sous le module d’analyse et en plus dans la fenêtre de droite.

Vous pouvez également ajouter des exceptions tout de suite sous « Modifier les exceptions » – dans ce cas, je le fais avec les fichiers du scanner de virus ESET NOD32 (egui.exe, ekrn.exe) également en cours d’exécution sur le système et je sélectionne finalement le « Scan détaillé ».

Les tests

Deux ordinateurs portables sont testés :
PC1 – ordinateur portable Hewlett-Packard, Intel Core i5 avec Windows 7 Professional SP1 (32 bits), un disque dur, taille du disque dur 215 Go, dont 159 Go occupés

PC2 – Ordinateur portable Samsung, Intel Core Centrino Duo avec 2 disques durs
1er disque dur (C 🙂 144 Go, dont 52 Go occupés avec Windows Vista Business SP2 (32 bits)
2e disque dur (D 🙂 143 Go, dont 42,7 Go occupés par Windows 7 Professional SP1 (32 bits).
La numérisation est effectuée à partir de Windows Vista.

Le scan commence par PC1 et comprend au total 569.639 objets, une animation sympathique s’affiche pendant ce temps. Après 19 minutes et 47 secondes, le « scan détaillé » est terminé avec le PC1. Emsisoft a trouvé ce qu’il cherchait : 3 objets à haut risque, 1 objet à risque moyen et 1 objet à faible risque m’indiquent la liste des résultats par couleur. Le rouge correspond à un risque élevé, le jaune à un risque moyen et le gris à un risque faible. Les extensions E1 et E2 identifient le moteur d’analyse qui a détecté le fichier comme étant malveillant. E1 est le moteur antimalware maison et E2 est le moteur antivirus d’Ikarus.

Sur VirusTotal.com, je m’informe sur le fichier EndProcess.exe qui se trouve dans le répertoire « C:\hp in » et auquel Emsisoft a attribué la mention « risque faible ». À mon humble avis, ce fichier devrait appartenir à Hewlett-Packard. VirusTotal le classe dans la catégorie « Goodware ».

Si l’on clique sur le lien « Riskware.Win32.KillApp!E1 » dans la fenêtre de l’Anti-Malware, une page Web d’information d’Emsisoft s’ouvre et explique ce qu’est un Riskware (programme à risque) et quels programmes sont classés comme Riskware – par exemple les clients de chat IRC, les clients SMTP, les serveurs proxy, les serveurs FTP, les serveurs Web, etc. Et : « D’autres outils qui sont faits pour tuer des processus, cacher des fenêtres ou lire automatiquement des paramètres du système ».

Le fichier HP EndProcess.exe correspond à l’affirmation « pour tuer des processus », car il sert à mettre fin à des processus et peut éteindre l’ordinateur en cas de besoin.
*Faux positif*

L’entrée « Adware.Win32.Agent!E1 » est détectée comme un adware, alors que je peux affirmer avec 100% de certitude qu’il s’agit de mon fond d’écran animé Hewlett-Packard.
*Faux positif*

Je place les 3 entrées Java en quarantaine. De tels messages Java sont délicats en raison des failles de sécurité qui apparaissent régulièrement. Toutefois, la version 6, dont les fichiers ont été incriminés ici, a été désinstallée depuis longtemps et remplacée par la version 7.

Les deux premières entrées citées sont « ajoutées aux exceptions » par un clic droit. Dans la même fenêtre, vous pouvez afficher le fichier journal sous « Afficher le rapport ».

Après 10 heures et à 95 %, Emsisoft Anti-Malware n’a toujours pas terminé avec PC2. Jusque-là, 622 964 objets ont été vérifiés sur le lecteur C, mais le scan est maintenant bloqué sur le lecteur D. 32 objets ont été trouvés.

Les 3 premières entrées de trace (radmin) appartiennent au logiciel de contrôle à distance « Radmin » (télémaintenance) – celui-ci a été installé délibérément. Le « TrojanDownloader.Win32.GhostRA(dmin) » par exemple, auquel Emsisoft fait allusion ici tout comme d’autres programmes de sécurité, a également des entrées de registre complètement différentes.

*Faux positif*

L’entrée Riskware.PSWTool.Win32.Asterisk!E2 est un outil qui peut afficher les mots de passe avec des astérisques en texte clair – « X-Pass ».

*Faux positif*

Riskware.ProductKey!E2 est un outil de Nirsoft qui affiche les clés de produit des programmes installés : Nirsoft ProduKey.

*Faux positif*

not-a-virus:RiskTool.Win32.HideWindows!E2 et Riskware.RiskTool.Win32.HideWindows!E2 font partie d’un programme de console (cmdow.exe) conçu par WinTotal pour le WebSite-Watcher utilisé par l’équipe de Software Archive : Aignes WebSite-Watcher
*Faux positif

Toutes les entrées sont « ajoutées aux exceptions » par un clic droit.
Comme le scanner n’a pas encore scanné le disque dur D : et qu’il n’y a que les possibilités « Pause », « Continuer » ou « Annuler », je dois sans doute me décider pour « Annuler », car même avec « Continuer », rien ne bouge. C’est reparti, tout le monde mérite une deuxième chance. J’ai désinstallé le logiciel de contrôle à distance « Radmin ». Les entrées ajoutées aux exceptions par un clic droit ont été acceptées par l’Anti-Malware, même si j’ai dû annuler ensuite.

Dans le rapport qui se trouve dans le répertoire « C:\Users\Username\Documents\Anti-MalwareReports », il est indiqué quels paramètres d’analyse ont été utilisés, la méthode d’analyse, les objets, le début et la fin de l’analyse, la date, la durée, etc.

Après le premier scan, l’assistant de sécurité passe à la catégorie suivante « Prévenir les logiciels malveillants » en cliquant sur le bouton « Suivant ».

Ici, les paramètres des 3 gardiens en temps réel (gardien de fichiers, analyse de comportement et protection de la navigation) sont affichés. Sous « Éditer les règles d’application » pour l’analyse de comportement, on retrouve le logiciel antivirus qui a été ajouté dans la liste des exceptions avant le lancement de l’analyse détaillée. D’autres règles peuvent y être ajoutées, modifiées ou supprimées. Dans les « Paramètres » de « Télécharger et installer automatiquement les nouvelles mises à jour », vous pouvez déterminer quand les mises à jour doivent être recherchées. Vous pouvez également modifier les analyses planifiées dans les « Paramètres ».

Dans un premier temps, je laisse les paramètres par défaut et je clique sur « Suivant ». L’assistant de sécurité est maintenant terminé et peut être quitté en cliquant sur « Quitter l’assistant ».

Le virus de test

Avant de passer aux autres paramètres, la curiosité l’emporte : Emsisoft peut-il être trompé par un simple virus de test Eicar ? Et voilà – le virus de test avec l’extension « com » a été bloqué dès le téléchargement. Mais avec l’extension « zip », il n’a été bloqué que lors de la décompression sur le disque dur. Un scan manuel préalable du fichier zip a même montré qu’aucun objet suspect n’avait été trouvé.

Les paramètres

Après avoir quitté l’Assistant de sécurité, l’interface utilisateur s’ouvre avec un petit bouton de menu sur le bord, qui abrite les entrées État de sécurité, « Scan PC », Quarantaine, Journal, Gardien et Paramètres. Sous « Analyser le PC », vous pouvez définir quelle action doit être effectuée à la fin de l’analyse.

Vous pouvez choisir entre « Afficher uniquement le rapport », « Mettre les objets trouvés en quarantaine » ou « Arrêter le PC ». Dans l’option de menu Quarantaine, les objets peuvent être envoyés pour analyse, restaurés, réanalysés ou définitivement supprimés. La liste de quarantaine peut être sauvegardée. Sous l’option de menu Protocole, vous pouvez consulter les rapports du gardien, de la quarantaine et des mises à jour, les supprimer ou supprimer des entrées individuelles ou toutes les entrées des listes respectives.Dans l’option de menu Gardien, sous l’onglet « Règles d’application », vous pouvez ajouter, modifier ou supprimer des exceptions supplémentaires. Sous l’onglet « Gardien » (dans la démo « Analyse de comportement »), vous pouvez voir contre quoi Emsisoft Anti-Malware vous protège. Ce qui est nouveau dans la version 6.0 est « Modifications des politiques de sécurité du système ».

Sous l’onglet « Alarmes », vous pouvez régler la sensibilité en pourcentage et influencer ainsi le moment où un message doit apparaître lorsque des objets sont détectés. Vous avez le choix entre « Réduction d’alarme intelligente » et « Réduction d’alarme basée sur la communauté ».

Réduction intelligente des alertes : l’Anti-Malware essaie de reconnaître s’il s’agit d’un programme bénin à l’aide d’une analyse technique du fichier programme d’un programme signalé. Si la réduction intelligente des alertes n’est pas activée, des messages d’avertissement sont émis au démarrage de programmes tels qu’Internet Explorer ou Firefox. Si la réduction intelligente de l’alerte est activée, Emsisoft Anti-Malware reconnaît qu’il s’agit de programmes légitimes et n’émet pas de message d’alerte.

Réduction d’alerte basée sur la communauté : Par une interrogation en ligne du réseau Cloud d’Anti-Malware, les décisions de tous les utilisateurs d’Emsisoft Anti-Malware concernant le programme signalé sont interrogées et affichées en couleur dans un graphique. Anti-Malware affiche ensuite une recommandation sur la manière de procéder avec le programme.

Le mode paranoïaque signale les lancements de programmes supplémentaires et les applications au comportement « suspect » ou similaire à celui d’un logiciel malveillant, mais qui ne sont pas forcément dangereux. Cette option est désactivée par défaut, car elle produit de nombreuses fausses alertes.

L’onglet « Gardien de fichiers » est responsable de l’analyse des fichiers, par exemple pendant le démarrage, la modification ou la création du fichier, lors du téléchargement depuis Internet ou de la lecture du fichier.

L’onglet « Protection de la navigation » est une couche de sécurité supplémentaire qui vous avertit des sites web suspects lorsque vous surfez. Il est possible de définir individuellement des options de surveillance des hôtes en choisissant « Ne pas bloquer », « Alerter », « Bloquer avec info » et « Bloquer de manière invisible ».

Sous l’onglet « Règles d’hébergement », il est possible d’ajouter des sites suspects, comme les sites de phishing ou d’exploitation, afin de les bloquer, ou des sites de confiance qui ne doivent pas être bloqués. Il convient d’activer la liste déjà intégrée. Les règles peuvent être modifiées, ajoutées ou supprimées.

Dans l’option de menu Paramètres, sous l’onglet « Général », on trouve la protection Captcha. L’option activée veille à ce que le gardien ne puisse pas être arrêté de manière non autorisée par d’autres programmes ou via le gestionnaire de tâches. Si le gardien est arrêté, le code captcha doit être saisi. On peut toutefois se demander quelle sécurité cette fonctionnalité supplémentaire apporte réellement, compte tenu des informations sur la fréquence à laquelle les codes captcha sont piratés – voir l’une des dernières actualités de Heise.

L’option « Activer l’autoprotection » offre une protection contre les logiciels malveillants qui tentent de terminer ou de désactiver Emsisoft Anti-Malware sans que l’on s’en aperçoive – elle devrait être obligatoirement utilisée.

Sous l’onglet « Popups », vous pouvez choisir si vous voulez lire les dernières nouvelles d’Emsisoft pendant que les mises à jour sont téléchargées, si vous voulez recevoir les messages popup des mises à jour qui apparaissent dans la barre d’état système, et combien de temps en secondes ils doivent être visibles. Si le système est redémarré, il y a un petit message lorsque de nouvelles signatures ont été téléchargées, comme c’est généralement le cas avec d’autres scanners de virus ou de logiciels espions. Celui-ci ne peut pas être masqué.

Sous l’onglet « Autorisation », vous pouvez en tant qu’administrateur, s’il existe plusieurs comptes d’utilisateurs Windows, interdire à certains utilisateurs de modifier la configuration d’Emsisoft Anti-Malware. Les paramètres par défaut permettent à chaque utilisateur d’utiliser toutes les fonctions sans restriction.

HiJackFree

Le menu contextuel de l’icône du bouclier de protection dans la barre d’état système permet d’accéder à l’outil HiJackFree. L’outil est en anglais et peut également être téléchargé et utilisé gratuitement par les utilisateurs privés. Le cheval de Troie doré est de nouveau présent dans cette interface. L’outil répertorie notamment les processus actifs, les ports, les entrées de démarrage automatique et les services.

Sous « Processes », les entrées sont identifiées par un code couleur. Les entrées vertes sont des processus bénins. Les entrées jaunes peuvent être des entrées bénignes ou malveillantes, la plupart du temps ce sont des programmes qu’Emsisoft HiJackFree ne connaît pas encore. Les entrées rouges peuvent être malveillantes et les entrées blanches sont des processus pour lesquels aucune information en ligne n’a été trouvée. Vous pouvez exécuter une analyse en ligne en cliquant sur l’icône en haut à droite « Online Analysis » et rechercher ou définir des filtres dans la liste. En cliquant sur le processus dans la liste, vous pouvez obtenir plus d’informations dans la fenêtre inférieure ou cliquer en plus sur « View file properties » pour accéder aux propriétés du fichier. Vous pouvez supprimer l’entrée ou le fichier sélectionné ou tuer le processus, mais pour cela, vous devez absolument activer « Save backup ».

Il est également possible d’attribuer une priorité aux processus. Vous devriez toutefois procéder avec prudence avec cet outil. Vous ne devez agir que si vous êtes absolument certain que le processus, le programme de port, l’entrée Autostart ou le service appartient au parasite.

Sous Autres (Others) sont listées les entrées des modules complémentaires d’Internet Explorer, des barres d’outils d’IE, des Shell Extensions (entrées du menu contextuel d’IE), des Shell Hooks, des BHO (Browser Helper Objects) et des ActiveX (exemple Flash-Player). Les entrées des LSP (Layered Service Providers) sont affichées dans un autre sous-dossier. Au niveau de WinSock, les LSP sont des conditions préalables pour que Windows établisse une connexion à Internet. Les flux de données entrants et sortants permettent également d’introduire du « code malveillant ». Le sous-dossier Hosts répertorie les entrées du fichier HOSTS qui se trouve dans le répertoire %Systemroot%system32driversetc. Ce fichier sert à établir une correspondance fixe entre les noms d’hôtes et les adresses IP. Le dernier sous-dossier ActiveX répertorie toutes les DLL ActiveX enregistrées dans tout le système, par exemple les contrôles ActiveX de Microsoft Office Excel. Ceux qui ne sont plus actifs sont affichés en rouge. Inactif signifie qu’il existe dans le registre des informations sur un module pour lequel il n’existe plus de fichier DLL. De telles entrées peuvent en général être supprimées sans problème via le menu contextuel « Uninstall ActiveX ».

Conclusion

Ceux qui ne connaissent pas encore Emsisoft Anti-Malware seront surpris par la rapidité des scans et par la clarté de l’interface utilisateur. Une explication est fournie pour chaque paramètre. Tous les incidents sont consignés et les fichiers correspondants peuvent être exportés et réimportés, tout comme les paramètres. Contrairement à d’autres logiciels de protection, Emsisoft Anti-Malware a été conçu pour fonctionner sans problème en parallèle avec d’autres programmes antivirus et pare-feu. Les découvertes faites par l’assistant de sécurité au début ne devraient pas vous inquiéter. Les riskwares, également appelés « logiciels indésirables », sont également analysés lors de la configuration. Les entrées placées en quarantaine à tort peuvent être recopiées. Dans les paramètres, il est également possible de désactiver les riskwares par la suite. Néanmoins, il faut encore expérimenter avec les paramètres les premiers jours, jusqu’à ce que l’on ait son gardien comme on le souhaite. Pour le virus de test, je pensais que le gardien bloquerait immédiatement le site web, comme c’est le cas avec d’autres scanners de virus. Le gardien n’a cependant pas détecté les virus (de test) sur le site web, ce n’est que lorsque j’ai cliqué sur un virus que le téléchargement a été empêché. Il a montré des faiblesses dans le traitement des fichiers viraux compactés, qui n’ont été détectés que lors de la décompression ou pas du tout lors de l’analyse manuelle.

Dans l’ensemble, Emsisoft Anti-Malware 6 est un bon scanneur, mais il est parfois réglé de manière trop sensible, ce qui entraîne des messages d’erreur.

La démo peut être utilisée sans restriction pendant 30 jours et peut ensuite être débloquée avec une clé de licence. Sinon, elle se transforme après la période d’essai en un scanneur gratuit qui permet de scanner et de nettoyer l’ordinateur à tout moment, mais auquel il manque les fonctions de protection en temps réel.