Video: Avast Anti-Virus VS Solaris Trojan [Extreme] (Noiembrie 2024)
La scurt timp după ce am publicat recenzia mea asupra Tiranium Premium Security 2014, am primit un mesaj de la un cercetător folosind mânerul Malware1. El a susținut că Tiranium a abuzat de diverse site-uri web de verificare a malware-ului online, pentru a-i spori rata de detectare. Nota sa includea link-uri către videoclipuri care arătau o versiune mai veche a software-ului care se conectează la VirusTotal, în special (deși a recunoscut că nu mai există o conexiune directă). De asemenea, el a furnizat ceea ce a spus că sunt o serie de e-mailuri de la VirusTotal către Tiranium, cerând să înceteze abuzul serviciului.
Am verificat cu VirusTotal, dar contactul meu a refuzat să comenteze pentru publicare. A trebuit să stabilesc pentru mine dacă acest lucru este adevărat și dacă aceasta era o problemă, dacă este cazul.
Ce este VirusTotal
Pentru cei care nu sunt familiarizați cu acest lucru, fața publică a VirusTotal este un site web unde puteți încărca un fișier pentru a vedea dacă este rău intenționat. Site-ul generează mai întâi un hash pentru fișier - o amprentă matematică unică. Dacă hash-ul este deja în baza de date (și majoritatea sunt), returnează rezultatele stocate. În caz contrar, verifică fișierul cu aproximativ 50 de motoare antivirus majore, raportând care a arătat fișierul ca fiind dăunător. Google a achiziționat VirusTotal acum aproximativ doi ani.
Serviciul depășește simpla verificare a fișierelor. Potrivit site-ului său web, „Misiunea VirusTotal este de a ajuta la îmbunătățirea industriei antivirus și securitate și de a face internetul un loc mai sigur prin dezvoltarea de instrumente și servicii gratuite”. Aceeași pagină precizează că „Niciunul dintre serviciile sau aplicațiile oferite public pe acest site nu trebuie utilizat în produse comerciale, servicii comerciale sau în scopuri comerciale. În același mod, niciunul dintre aceste servicii nu ar trebui utilizat ca substitut pentru produsele de securitate..“
Cu alte cuvinte, un produs care a folosit pur și simplu rezultatele VirusTotal fără a verifica în mod independent dacă fișierul este rău intenționat ar încălca termenii serviciului. Și într-adevăr, un test controversat realizat de Kaspersky Lab în urmă cu câțiva ani a arătat că utilizarea orbească a detectării de pe site-ul web este o idee proastă.
Săparea cu WireShark
Conform Malware1, Tiranium verifică mai întâi un fișier suspect utilizând clientul său instalat local. Dacă nu există nicio potrivire, verifică hash-ul fișierului pe VirusTotal. Numai dacă nu obține niciun rezultat de la VirusTotal, invocă propriul scaner cloud de comportament.
Pentru a începe investigația, am creat versiuni modificate complet noi ale colecției mele de malware actuale, schimbând numele fișierelor, modificând dimensiunea fișierului și modificând niște octeți neexecutabili. Am verificat hash-ul fiecărui fișier împotriva VirusTotal, pentru a fi sigur că toate nu au lipsit din baza de date.
Odată cu rularea utilității de urmărire a traficului de rețea WireShark, am lansat o scanare Tiranium a folderului care conține aceste fișiere. În mod ciudat, scanarea a durat ore întregi, dar nu s-a terminat niciodată, iar numărul de fișiere scanate nu s-a schimbat niciodată de la zero inițial. Ulterior am aflat că asta se datorează faptului că serverul cloud comportamental a fost redus timp de câteva ore.
Într-adevăr, peruzând jurnalul WireShark, am putut vedea că Tiranium a încercat din nou să încarce fișiere în cloud-ul comportamental, fiecare încercare se termină cu o eroare. Ceea ce nu am găsit a fost o dovadă a unei conexiuni directe cu VirusTotal sau cu oricare dintre celelalte servicii care ar fi fost folosite în trecut.
Dovadă circumstanțială
Am mutat unele dintre fișierele mele de test într-un alt folder și le-am trimis la VirusTotal pentru verificare. În toate cazurile, majoritatea motoarelor antivirus le-au detectat ca fiind nocive; unii au obținut recunoașterea aproape unanime ca malware.
Imediat ce toate fișierele au fost procesate de VirusTotal, am scanat imediat folderul cu Tiranium. De această dată a recunoscut imediat aceste fișiere ca fiind malware. Când am scanat fișierele rămase, cele pe care nu le-am încărcat, scanarea s-a blocat, ca înainte. Deși încă nu exista o conexiune directă de la computer la VirusTotal, se pare că am stabilit un lanț clar de cauzalitate.
Poate că este în regulă?
Am contactat conexiunile mele din industria antivirusului pentru a vedea ce credeau. Un cercetător a subliniat că companiile antivirus pot contracta cu VirusTotal pentru a primi automat orice probă detectată de alții, dar produsul lor a ratat. Totuși, asta nu părea să descrie situația pe care am observat-o.
Mai important, contactul meu Tiranium a confirmat utilizarea VirusTotal. "VirusTotal are termeni de utilizare specifici", a spus el. "Trimit probe către companii. Tiranium este una dintre companiile care analizează asta, ca toate celelalte." El a continuat să noteze că timpul de analiză a probelor noi poate varia. „Uneori acest lucru va dura ore, alteori minute, alteori zile”, a spus el.
Sau poate nu
Pagina de credite VirusTotal listează toți furnizorii care au „integrat un produs, instrument sau resursă în VirusTotal sau au contribuit cumva”. Acești furnizori au semnat un acord care include un set de bune practici. Tiranium nu se numără printre companiile listate. Nu primește probe de la VirusTotal, așa că utilizarea sa nu este „ca toate celelalte”.
Am stabilit spre propria mea satisfacție că e-mailurile furnizate de Malware1 care îi spun lui Tiranium să nu mai folosească greșit VirusTotal sunt reale. Am văzut dovezi că, la un moment dat, aplicația însăși s-a conectat direct la VirusTotal pentru informații, ceea ce este cu siguranță un abuz. Dar încarnarea sa actuală fură munca altor furnizori, după cum susține Malware1? Nu pot spune definitiv, dar încrederea mea este cu siguranță zdruncinată.
Potențial nedorit?
Se pare că nu sunt singur. Într-o discuție pe bine-apreciatul forum Wilders Security, mai mulți membri își exprimă îngrijorarea cu privire la produs. De fapt, la momentul acestei discuții, în urmă cu aproximativ opt luni, o serie de produse antivirus cunoscute au detectat Tiranium ca o „aplicație potențial nedorită” care ar trebui eliminată.
Chiar și acum, Kaspersky detectează unul dintre cele două fișiere principale ale Tiraniumului ca malware, iar ESET le detectează pe amândouă. Fortinet identifică site-ul Tiranium ca fiind răuvoitor, la fel și serviciul BrightCloud al Webroot.
Comportamente umbroase
Am indicat această detecție către contactul meu Kaspersky și am întrebat dacă poate explica de ce Tiranium a fost semnalat ca fiind un malware. S-a aruncat în întrebare cu mult mai multă pricepere decât am putut să adun și a venit cu multe. „Folosește mai mult de cinci obfuscatori diferiți pentru a-și desconsidera codul și nu există nicio semnătură digitală”, a spus „Este cam nebun și pare departe de a fi legitim”. Aici nu există pistol pentru fumat, dar aceste și alte comportamente asemănătoare malware-ului au fost suficiente pentru a obține produsul sub semnătură. De asemenea, a găsit trafic de pe serverul care face referire la VT (VirusTotal), Anubis și VirScan, ceea ce sugerează un fel de dependență de surse terțe.
Oamenii BrightCloud nu au putut identifica motivul pentru care site-ul web al lui Tiranium a fost marcat ca fiind riscant. Cu toate acestea, ei au subliniat că adresa IP a Tiraniumului este împărtășită cu câteva site-uri web de tip phishing. Pagina de navigare sigură Google pentru domeniul olympe.in folosită de Tiranium a avut câteva noutăți alarmante: „Din cele 1341 de pagini testate pe site în ultimele 90 de zile, 13 pagini au dus la descărcarea și instalarea software-ului rău intenționat fără acordul utilizatorului..“
Am spus în recenzia mea că Tiranium este un prim efort bun, dar nu este pregătit să conteste mai multe produse antivirus aleasă de către editorii noștri. Acum simt că compania trebuie să îmbunătățească produsul și să-mi recâștige încrederea cu profesionalism și transparență. Remediați erorile de ortografie și gramatică, ștergeți fundația, semnați digital fișierele executabile și asigurați-vă că se integrează cu Centrul de acțiune al Windows. Abține-te de la orice utilizare de produse terțe care nu este complet transparentă. Separați găzduirea web de serverele care găzduiesc malware. Deocamdată, vă recomand să vă conformați cu produsele antivirus ale editorilor noștri Choice.