Video: "ЧП. Расследование": "Антивирус" (Oktober 2024)
Kort efter at have offentliggjort min anmeldelse af Tiranium Premium Security 2014, fik jeg en besked fra en forsker ved hjælp af håndtaget Malware1. Han hævdede, at Tiranium misbrugte forskellige online-malware-kontrol af websteder for at styrke dens detekteringshastighed. Hans note inkluderede især links til videoer, der viser en ældre version af softwaren, der opretter forbindelse til VirusTotal (selvom han indrømmede, at der ikke længere er en direkte forbindelse). Han leverede også, hvad han sagde, var en række e-mails fra VirusTotal til Tiranium, hvor han krævede, at de holder op med at misbruge tjenesten.
Jeg tjekket med VirusTotal, men min kontakt afslog ikke at kommentere til offentliggørelse. Jeg var nødt til at afgøre, om dette var sandt, og om det udgør et problem, hvis det var tilfældet.
Hvad er VirusTotal
For dem, der ikke er bekendt med det, er VirusTotals offentlige ansigt et websted, hvor du kan uploade en fil for at se, om den er ondsindet. Webstedet genererer først en hash til filen - et unikt matematisk fingeraftryk. Hvis hash allerede findes i sin database (og de fleste er), returnerer de gemte resultater. Hvis ikke, kontrollerer den filen med omkring 50 større antivirusmotorer, og rapporterer, som markerede filen som ondsindet. Google erhvervede VirusTotal for omkring to år siden.
Tjenesten går ud over blot at kontrollere filer. Ifølge sit websted er "VirusTotals mission at hjælpe med at forbedre antivirus- og sikkerhedsindustrien og gøre internettet til et mere sikkert sted gennem udvikling af gratis værktøjer og tjenester." Samme side siger, at "Ingen af de tjenester eller applikationer, der offentligt udbydes på dette websted, bør bruges i kommercielle produkter, kommercielle tjenester eller til noget forretningsformål. På samme måde bør ingen af tjenesterne bruges som erstatning for sikkerhedsprodukter."
Med andre ord, et produkt, der simpelthen brugte VirusTotals resultater uden uafhængigt at verificere, at filen er ondsindet, ville være i strid med servicevilkårene. Og en kontroversiel test fra Kaspersky Lab for flere år siden viste, at blindt brug af detektion fra webstedet er en dårlig idé.
Digging With WireShark
Ifølge Malware1 kontrollerer Tiranium først en mistænkt fil ved hjælp af dens lokalt installerede klient. Hvis der ikke er nogen match, kontrollerer den filens hash på VirusTotal. Kun hvis det ikke får resultater fra VirusTotal, påberåber det sig sin egen adfærdsskydescanner.
For at starte min undersøgelse oprettede jeg helt nye ændrede versioner af min nuværende malware-samling, ændrede filnavne, ændrede filstørrelsen og finjusterede nogle ikke-eksekverbare bytes. Jeg kontrollerede hash'en for hver fil mod VirusTotal for at være sikker på, at alle var fraværende fra databasen.
Da WireShark-netværkstrafiksporingsværktøjet kørte, lancerede jeg en Tiranium-scanning af den mappe, der indeholder disse filer. Mærkeligt nok kørte scanningen i timevis, men blev aldrig afsluttet, og antallet af scannede filer ændrede sig aldrig fra dets oprindelige nul. Jeg lærte senere, at dette skyldtes, at den adfærdslige skyserver var nede i flere timer.
Faktisk kunne jeg læse WireShark-loggen, at Tiranium prøvede igen og igen at uploade filer til adfærdsskyen, idet hvert forsøg ender med en fejl. Hvad jeg ikke fandt var noget bevis på en direkte forbindelse til VirusTotal eller til nogen af de andre tjenester, der angiveligt var blevet brugt i fortiden.
Omstændighedskrav
Jeg flyttede nogle af mine testfiler til en anden mappe og sendte dem til VirusTotal til kontrol. I alle tilfælde opdagede et flertal af antivirusmotorerne dem som ondsindede; nogle fik næsten enstemmig anerkendelse som malware.
Så snart alle filerne blev behandlet af VirusTotal, scannede jeg straks mappen med Tiranium. Denne gang genkendte de disse filer som malware med det samme. Da jeg scannede de resterende filer, blev de, som jeg ikke havde uploadet, scanningen som før. Selvom der stadig ikke var nogen direkte forbindelse fra min computer til VirusTotal, ser det ud til, at jeg havde etableret en klar kæde af kausalitet.
Måske er det OK?
Jeg rakte ud til mine forbindelser i antivirusbranchen for at se, hvad de troede. En forsker påpegede, at antivirusfirmaer kan kontrakt med VirusTotal for automatisk at modtage alle prøver, som andre har registreret, men deres produkt er gået glip af. Det syntes dog ikke at beskrive den situation, jeg observerede.
Vigtigere er det, at min Tiranium-kontakt bekræftede brugen af VirusTotal. "VirusTotal har specifikke vilkår for brug, " sagde han. "De sender prøver til virksomheder. Tiranium er et af de virksomheder, der analyserer det, ligesom alle andre." Han noterede sig, at tiden til analyse af nye prøver kan variere. "Nogle gange vil dette tage timer, engang minutter, engang dage", sagde han.
Eller måske ikke
VirusTotal-kreditsiden viser alle leverandører, der har "integreret et produkt, et værktøj eller en ressource i VirusTotal, eller som har bidraget på en eller anden måde." Disse leverandører har underskrevet en aftale, der indeholder et sæt af bedste praksis. Tiranium er ikke blandt de børsnoterede virksomheder. Det modtager ikke prøver fra VirusTotal, så brugen heraf er ikke "som alle de andre."
Jeg har bestemt til min egen tilfredshed, at e-mails leveret af Malware1, der fortæller Tiranium om at stoppe med at misbruge VirusTotal, er reelle. Jeg har set beviser for, at selve applikationen på én gang var direkte forbundet med VirusTotal til information, hvilket bestemt er misbrug. Men stjæler dens nuværende inkarnation arbejdet hos andre leverandører, som Malware1 hævder? Jeg kan ikke sige det endeligt, men min tillid er bestemt rystet.
Potentielt uønsket?
Tilsyneladende er jeg ikke alene. I en diskussion på det velkendte Wilders Security-forum udtrykker flere medlemmer bekymring for produktet. Faktisk på tidspunktet for denne diskussion for otte måneder siden opdagede et antal velkendte antivirusprodukter Tiranium som en "potentielt uønsket applikation", der skulle fjernes.
Selv nu registrerer Kaspersky en af Tiraniums to hovedfiler som malware, og ESET opdager dem begge. Fortinet identificerer Tiraniums websted som ondsindet, ligesom Webrots BrightCloud-tjeneste.
Skyggefulde opførsler
Jeg påpegede denne opdagelse til min Kaspersky-kontakt og spurgte, om han kunne forklare, hvorfor Tiranium blev markeret som malware. Han gravede sig ind i spørgsmålet med betydeligt mere dygtighed end jeg kunne mønstre og kom med en masse. "De bruger mere end fem forskellige obfuscatorer til at tilsløre deres kode, og der er ingen digital signatur, " sagde han "Det er lidt skøre og ser langt fra legit ud." Der er ingen rygepistol her, men disse og andre malware-lignende opførsler var tilstrækkelige til at få produktet markeret. Han fandt også trafik fra serveren, der henviser til VT (VirusTotal), Anubis og VirScan, hvilket antydede en form for afhængighed af tredjepartskilder.
BrightCloud-folkene kunne ikke præcisere årsagen til, at Tiraniums websted blev markeret som risikabelt. De påpegede imidlertid, at Tiranium's IP-adresse deles med en hel del phishing-websteder. Googles sikre browsing side til olympe.in-domænet brugt af Tiranium havde nogle alarmerende nyheder: "Af de 1341 sider, vi testede på webstedet i løbet af de sidste 90 dage, resulterede 13 side (r) i, at ondsindet software blev downloadet og installeret uden brugerens samtykke."
Jeg sagde i min anmeldelse, at Tiranium er en god første indsats, men ikke klar til at udfordre vores flere Editors 'Choice-antivirusprodukter. Jeg føler nu, at virksomheden både skal forbedre produktet og genvinde min tillid med professionalisme og gennemsigtighed. Fix stave- og grammatikfejl, grøft obfuskationen, signer de eksekverbare filer digitalt, og sørg for, at den integreres med Windows's Action Center. Afstå fra enhver brug af tredjepartsprodukter, der ikke er fuldt gennemsigtige. Adskilt webhosting fra servere, der er vært for malware. For tiden anbefaler jeg, at du holder dig med vores Editors 'Choice-antivirusprodukter.
