Video: Don't buy an anti-virus in 2020 - do THIS instead! (Oktober 2024)
Rett etter å ha publisert min anmeldelse av Tiranium Premium Security 2014, fikk jeg en melding fra en forsker som brukte håndtaket Malware1. Han hevdet at Tiranium misbrukte forskjellige nettsteder for å sjekke skadelig programvare for å styrke deteksjonshastigheten. Notatet hans inkluderte lenker til videoer som viser en eldre versjon av programvaren som ble koblet til VirusTotal, spesielt (selv om han innrømmet at det ikke lenger er en direkte forbindelse). Han leverte også det han sa var en rekke e-postmeldinger fra VirusTotal til Tiranium som krevde at de slutter å misbruke tjenesten.
Jeg sjekket med VirusTotal, men kontakten min takket nei til å kommentere for publisering. Jeg måtte selv bestemme om dette var sant, og om det utgjorde et problem i så fall.
Hva er VirusTotal
For de som ikke er kjent med det, er VirusTotals offentlige ansikt et nettsted der du kan laste opp en fil for å se om den er skadelig. Nettstedet genererer først en hasj for filen - et unikt matematisk fingeravtrykk. Hvis hasjen allerede er i sin database (og de fleste er), returnerer de lagrede resultater. Hvis ikke, sjekker den filen med omtrent 50 viktige antivirusmotorer, og rapporterer som flagget filen som ondsinnet. Google kjøpte VirusTotal for omtrent to år siden.
Tjenesten går utover bare å sjekke filer. I følge nettstedet er "VirusTotals oppdrag å hjelpe til med å forbedre antivirus- og sikkerhetsindustrien og gjøre internett til et tryggere sted gjennom utvikling av gratis verktøy og tjenester." På samme side heter det at "Ingen av tjenestene eller applikasjonene som er offentlig tilbudt på dette nettstedet, bør brukes i kommersielle produkter, kommersielle tjenester eller til noe forretningsformål. På samme måte skal ingen av tjenestene brukes som erstatning for sikkerhetsprodukter."
Med andre ord, et produkt som ganske enkelt brukte VirusTotals resultater uten uavhengig å bekrefte at filen er ondsinnet, ville bryte vilkårene for tjenesten. Og en kontroversiell test av Kaspersky Lab for flere år siden viste at blindt bruk av deteksjon fra nettstedet er en dårlig idé.
Å grave med WireShark
I følge Malware1 sjekker Tiranium først en mistenkt fil ved å bruke sin lokalt installerte klient. Hvis det ikke er noe samsvar, sjekker den filens hasj på VirusTotal. Bare hvis den ikke får noen resultater fra VirusTotal, påkaller den sin egen atferdsmessige skyscanner.
For å starte undersøkelsen min opprettet jeg helt nye modifiserte versjoner av min nåværende malware-samling, endret filnavn, endret filstørrelse og justert noen ikke-kjørbare bytes. Jeg sjekket hasjen for hver fil mot VirusTotal, for å være sikker på at alle var fraværende fra databasen.
Med sporingsverktøyet WireShark for nettverkstrafikk i gang, lanserte jeg en Tiranium-skanning av mappen som inneholder disse filene. Merkelig nok, skanningen kjørte i flere timer, men ble aldri ferdig, og antallet skannede filer endret seg aldri fra dets første null. Jeg fikk vite senere at dette var fordi den atferdsmessige skyserveren var nede i flere timer.
Faktisk, gjennom å lese WireShark-loggen, kunne jeg se at Tiranium prøvde igjen og igjen å laste opp filer til atferdsskyen, og hvert forsøk endte på en feil. Det jeg ikke fant var noe bevis på en direkte tilknytning til VirusTotal, eller til noen av de andre tjenestene som angivelig hadde blitt brukt tidligere.
Omstendelig bevis
Jeg flyttet noen av testfilene mine til en annen mappe og sendte dem inn til VirusTotal for kontroll. I alle tilfeller oppdaget et flertall av antivirusmotorene dem som ondsinnet. noen fikk nesten enstemmig anerkjennelse som malware.
Så snart alle filene ble behandlet av VirusTotal, skannet jeg umiddelbart mappen med Tiranium. Denne gangen gjenkjente de filene som malware med en gang. Da jeg skannet de gjenværende filene, ble de som jeg ikke hadde lastet opp, skanningen som før. Selv om det fremdeles ikke var noen direkte forbindelse fra datamaskinen min til VirusTotal, ser det ut til at jeg hadde etablert en tydelig årsakssammenheng.
Kanskje det er OK?
Jeg nådde kontaktene mine i antivirusindustrien for å se hva de trodde. En forsker påpekte at antivirusbedrifter kan inngå kontrakt med VirusTotal for automatisk å motta en hvilken som helst prøve som andre oppdaget, men at produktet deres gikk glipp av. Det syntes imidlertid ikke å beskrive situasjonen jeg observerte.
Enda viktigere, min Tiranium-kontakt bekreftet bruken av VirusTotal. "VirusTotal har spesifikke bruksvilkår, " sa han. "De sender prøver til selskaper. Tiranium er et av selskapene som analyserer det, som alle andre." Han fortsatte å merke seg at tiden for å analysere nye prøver kan variere. "Noen ganger vil dette ta timer, noen minutter, noen dager, " sa han.
Eller kanskje ikke
VirusTotal credits-siden viser alle leverandører som har "integrert et produkt, verktøy eller ressurs i VirusTotal, eller har bidratt på en eller annen måte." Disse leverandørene har signert en avtale som inkluderer et sett med god praksis. Tiranium er ikke blant de børsnoterte selskapene. Den mottar ikke prøver fra VirusTotal, så bruken av den er ikke "som alle de andre."
Jeg har til min egen tilfredshet bestemt at e-postene levert av Malware1 om at Tiranium slutter å misbruke VirusTotal er ekte. Jeg har sett bevis på at selve applikasjonen på en gang koblet direkte til VirusTotal for informasjon, noe som absolutt er misbruk. Men stjeler den nåværende inkarnasjonen arbeidet til andre leverandører, slik Malware1 hevder? Jeg kan ikke si definitivt, men tilliten min er definitivt rystet.
Potensielt uønsket?
Jeg er tydeligvis ikke alene. I en diskusjon på det velrenommerte Wilders Security-forumet uttrykker flere medlemmer bekymring for produktet. På tidspunktet for denne diskusjonen for åtte måneder siden oppdaget et antall kjente antivirusprodukter Tiranium som en "potensielt uønsket applikasjon" som burde fjernes.
Selv nå oppdager Kaspersky en av Tiraniums to hovedfiler som skadelig programvare, og ESET oppdager dem begge. Fortinet identifiserer Tiraniums nettsted som ondsinnet, og Webrots BrightCloud-tjeneste gjør det også.
Skyggefulle oppførsler
Jeg påpekte denne oppdagelsen til Kaspersky-kontakten min og spurte om han kunne forklare hvorfor Tiranium ble flagget som malware. Han gravde seg inn i spørsmålet med betydelig mer dyktighet enn jeg kunne mønstre, og kom med mye. "De bruker mer enn fem forskjellige obfuscators for å obfuscere koden deres, og det er ingen digital signatur, " sa han "Det er litt sprøtt og ser langt fra legit." Det er ingen røykingpistol her, men disse og andre skadelig-lignende oppførsel var tilstrekkelig for å få flagget produktet. Han fant også trafikk fra serveren som refererer til VT (VirusTotal), Anubis og VirScan, noe som antydet en slags tillit til tredjepartskilder.
Folk fra BrightCloud kunne ikke finne grunnen til at Tiraniums nettsted ble flagget som risikabelt. De påpekte imidlertid at Tiraniums IP-adresse deles med ganske mange phishing-nettsteder. Googles trygge surfeside for olympe.in-domenet som ble brukt av Tiranium hadde noen alarmerende nyheter: "Av de 1341 sidene vi testet på nettstedet de siste 90 dagene, resulterte 13 sider i at skadelig programvare ble lastet ned og installert uten brukerens samtykke."
Jeg sa i min anmeldelse at Tiranium er en god førsteinnsats, men ikke klar til å utfordre våre flere Editors 'Choice antivirusprodukter. Jeg føler nå at selskapet både trenger å forbedre produktet og gjenvinne tilliten med profesjonalitet og åpenhet. Løs stave- og grammatikkfeil, grøft obfuskasjonen, signer de kjørbare filene digitalt, og sørg for at den integreres med Windows Action Center. Avstå fra bruk av tredjepartsprodukter som ikke er helt gjennomsiktige. Skill webhotell fra servere som er vert for skadelig programvare. Foreløpig anbefaler jeg at du holder deg til Editors 'Choice antivirusproduktene.
