Même si les versions 2008 commencent à arriver sur le marché, il n'y a pas eu d'amélioration concernant les techniques de détections des virus et rootkits. Les éditeurs ce sont contenté de rajouter des fonctionnalités comme la possibilité de faire un backup en ligne ou l'optimisation du système. AntiVirus utilisés pour le test :
AVG, AntiVir Personal Classic, Avast! Antivirus home edition, BitDefender Internet Security, CA Internet Security Suite, ClamWin, F-Secure Internet Security 2007, Gdata Internet Security 2007, Ikarus aon Viruschecker, McAfee VirusScan Plus 2007,Microsoft OneCare, NOD32, Norman Virus Control, Panda Antivirus 2007, Sophos Anti-Virus, Norton AntiVirus 2007, et Trend Micro PC-Cillin Internet Security 2007.

Rootkits utilisés pour le test :
AFXRootkit 2005, Hackerdefender 1.00, Hackerdefender 1.00 revisited, Vanquish, Winrootkit,
FU-Rootkit, FUTo enhanced,
Maslan.C et Feebs (un ver qui intègre la technologie "rootkit").

Un résultat édifiant !

Tant que les rootkits sont inactifs sur le disque dur, presque tous les logiciels antivirus peuvent les détecter. Mise à part ClamWin (AFXRootkit, Vanquish, FUTO enhanced) et Microsoft OneCare (Vanquish).

Une fois actif, les choses se compliquent !
99% de réussite pour F-Secure Internet Security grâce a son module anti-rootkit "Blacklight". Seul une partie cachée de Winrootkit n'est pas détectée.
Excellente détection pour Norton Antivirus et Trend Micro Internet Security. Aucuns des deux ne détectent le rootkit FU et FUTo.
Kaspersky détecte les différents rootkits, mais pas les modules cachés.
Ensuite ce n'est plus que catastrophe ... Les rootkits ont encore de beaux jours devant eux.

Côté supression !
Les Rootkits découverts sont supprimés par (presque) tous les participants au test.
Trend Micro, ClamWin, Gdata n'arrivent pas a supprimer Masclan.
Feebs pour AntiVir, ClamWin, Gdata.
Winrootkit pour Gdata et Ikarus.
Mais comme la plupart des antivirus ne voyent rien, ils ne suppriment rien !

Les logiciels anti-rootkits (IceSword, RKU, Gmer ...) peuvent venir en aide aux logiciels antivirus, en les détectant et en les rendant inactif. Les rootkits deviennent alors vulnérable face aux antivirus.

Bon point !
Bitdefender propose son logiciel antirootkit (Uncover) sur le CD.
F-Secure intègre son excellent scanner de rootkits (Blacklight).
Très utile, mais malheureusement jugé non-nécessaire par certains éditeurs, la possibilité de booter sur le CD, pour la recherche de malwares. Nous l'avons vu plus haut, les rootkits inactif sont reconnu par pratiquement toutes les solutions antivirus du marché.
CD Boot disponible pour : Gdata, BitDefender, F-Secure, Symantec et Panda.
Kaspersky propose la possibilité de créer un Mini-Windows (Bart-PE) avec scanner et base de signatures virales à jour.

Article sur ID-reseaux.info :
- AntiVirus contre Rootkits