Video: Confusing : Dell Official Windows XP CD contains Trojan ? (November 2024)
Kort na het publiceren van mijn review van Tiranium Premium Security 2014 kreeg ik een bericht van een onderzoeker die de handle Malware1 gebruikte. Hij beweerde dat Tiranium verschillende online websites voor het controleren van malware misbruikte om het detectieniveau te verhogen. Zijn notitie bevatte koppelingen naar video's met een oudere versie van de software die vooral verbinding maakte met VirusTotal (hoewel hij toegaf dat er geen directe verbinding meer is). Hij gaf ook wat hij zei een aantal e-mails van VirusTotal naar Tiranium waarin werd geëist dat ze stoppen met het misbruiken van de service.
Ik heb dit gecontroleerd met VirusTotal, maar mijn contactpersoon weigerde commentaar te geven voor publicatie. Ik moest zelf bepalen of dit waar was en of dit een probleem vormde.
Wat is VirusTotal
Voor degenen die er niet bekend mee zijn, is het openbare gezicht van VirusTotal een website waar u een bestand kunt uploaden om te zien of het schadelijk is. De site genereert eerst een hash voor het bestand - een unieke wiskundige vingerafdruk. Als de hash al in de database staat (en de meeste zijn), retourneert deze de opgeslagen resultaten. Als dit niet het geval is, controleert het het bestand met ongeveer 50 belangrijke antivirus-engines, waarbij wordt gemeld dat het bestand als schadelijk is gemarkeerd. Google heeft VirusTotal ongeveer twee jaar geleden overgenomen.
De service gaat verder dan alleen het controleren van bestanden. Volgens haar website, "is de missie van VirusTotal om te helpen bij het verbeteren van de antivirus- en beveiligingsindustrie en het internet veiliger te maken door de ontwikkeling van gratis tools en services." Diezelfde pagina stelt dat "Geen van de diensten of applicaties die op deze site openbaar worden aangeboden, mag worden gebruikt in commerciële producten, commerciële services of voor enig zakelijk doel. Op dezelfde manier mag geen van de services worden gebruikt als vervanging voor beveiligingsproducten."
Met andere woorden, een product dat eenvoudig de resultaten van VirusTotal gebruikt zonder onafhankelijk te verifiëren of het bestand schadelijk is, zou de servicevoorwaarden schenden. En inderdaad, een controversiële test door Kaspersky Lab enkele jaren geleden toonde aan dat blind gebruik maken van detectie van de website een slecht idee is.
Graven Met WireShark
Volgens Malware1 controleert Tiranium eerst een verdacht bestand met behulp van de lokaal geïnstalleerde client. Als er geen overeenkomst is, wordt de hash van het bestand op VirusTotal gecontroleerd. Alleen als het geen resultaten van VirusTotal krijgt, roept het zijn eigen gedragscloudscanner op.
Om mijn onderzoek te starten, heb ik gloednieuwe aangepaste versies van mijn huidige malwarecollectie gemaakt, de bestandsnamen gewijzigd, de bestandsgrootte gewijzigd en enkele niet-uitvoerbare bytes aangepast. Ik heb de hash van elk bestand vergeleken met VirusTotal, om er zeker van te zijn dat alles afwezig was in de database.
Met het WireShark-hulpprogramma voor het traceren van netwerkverkeer startte ik een Tiranium-scan van de map met deze bestanden. Vreemd genoeg liep de scan urenlang door maar was nooit voltooid, en het aantal gescande bestanden veranderde nooit van zijn oorspronkelijke nul. Ik kwam er later achter dat dit kwam omdat de gedragsserverserver enkele uren niet beschikbaar was.
Bij het doorlezen van het WireShark-logboek kon ik inderdaad zien dat Tiranium steeds opnieuw probeerde bestanden naar de gedragswolk te uploaden, waarbij elke poging op een fout uitliep. Wat ik niet vond, was enig bewijs van een directe verbinding met VirusTotal of met een van de andere diensten die in het verleden zouden zijn gebruikt.
Indirect bewijs
Ik heb een aantal van mijn testbestanden naar een andere map verplaatst en ter controle naar VirusTotal verzonden. In alle gevallen ontdekte een meerderheid van de antivirusprogramma's deze als schadelijk; sommige kregen bijna unanieme erkenning als malware.
Zodra alle bestanden door VirusTotal waren verwerkt, heb ik de map meteen gescand met Tiranium. Deze keer herkende het die bestanden meteen als malware. Toen ik de resterende bestanden scande, de bestanden die ik niet had geüpload, bleef de scan hangen, zoals eerder. Hoewel er nog steeds geen directe verbinding was tussen mijn computer en VirusTotal, lijkt het erop dat ik een duidelijke causaliteitsketen had vastgesteld.
Misschien is het OK?
Ik stak mijn hand uit naar mijn connecties in de antivirusindustrie om te zien wat zij dachten. Een onderzoeker wees erop dat antivirusbedrijven een contract kunnen sluiten met VirusTotal om automatisch elk monster te ontvangen dat anderen hebben gedetecteerd maar hun product hebben gemist. Dat leek echter niet de situatie te beschrijven die ik heb waargenomen.
Wat nog belangrijker is, mijn contact met Tiranium bevestigde het gebruik van VirusTotal. "VirusTotal heeft specifieke gebruiksvoorwaarden, " zei hij. "Ze sturen monsters naar bedrijven. Tiranium is een van de bedrijven die dat analyseren, net als alle anderen." Hij merkte op dat de tijd om nieuwe monsters te analyseren kan variëren. "Soms duurt dit uren, soms minuten, soms dagen, " zei hij.
Of misschien niet
Op de VirusTotal-tegoedpagina worden alle leveranciers vermeld die 'een product, tool of resource in VirusTotal hebben geïntegreerd of op de een of andere manier hebben bijgedragen'. Deze leveranciers hebben een overeenkomst getekend met een aantal best practices. Tiranium staat niet bij de genoemde bedrijven. Het ontvangt geen voorbeelden van VirusTotal, dus het gebruik ervan is niet "zoals alle anderen."
Ik heb tot mijn eigen tevredenheid vastgesteld dat de e-mails die door Malware1 worden geleverd en aan Tiranium vertellen om te stoppen met het misbruik van VirusTotal, echt zijn. Ik heb bewijs gezien dat de toepassing op een bepaald moment zelf rechtstreeks was verbonden met VirusTotal voor informatie, wat absoluut misbruik is. Maar steelt de huidige incarnatie het werk van andere leveranciers, zoals Malware1 beweert? Ik kan het niet definitief zeggen, maar mijn vertrouwen is zeker geschokt.
Mogelijk ongewenst?
Blijkbaar ben ik niet alleen. In een discussie op het gerenommeerde Wilders Security-forum uiten verschillende leden hun bezorgdheid over het product. Ten tijde van deze discussie, ongeveer acht maanden geleden, ontdekte een aantal bekende antivirusproducten Tiranium als een "mogelijk ongewenste toepassing" die zou moeten worden verwijderd.
Zelfs nu detecteert Kaspersky een van de twee hoofdbestanden van Tiranium als malware en ESET detecteert ze allebei. Fortinet identificeert de website van Tiranium als kwaadaardig, evenals de BrightCloud-service van Webroot.
Schaduwgedrag
Ik wees deze detectie op mijn Kaspersky-contact en vroeg of hij kon uitleggen waarom Tiranium als malware was gemarkeerd. Hij verdiepte zich in de vraag met aanzienlijk meer vaardigheid dan ik kon verzamelen, en bedacht veel. "Ze gebruiken meer dan vijf verschillende obfuscators om hun code te verdoezelen en er is geen digitale handtekening, " zei hij: "Het is een beetje gek en lijkt verre van legitiem." Er is hier geen rookkanon, maar deze en andere malware-achtige gedragingen waren voldoende om het product te markeren. Hij vond ook verkeer van de server die verwijst naar VT (VirusTotal), Anubis en VirScan, wat een zekere afhankelijkheid van bronnen van derden suggereert.
De BrightCloud-mensen konden niet achterhalen waarom de website van Tiranium als riskant werd gemarkeerd. Ze wezen er echter op dat het IP-adres van Tiranium wordt gedeeld met een flink aantal phishing-websites. De veilige browse-pagina van Google voor het olympe.in-domein dat door Tiranium wordt gebruikt, had alarmerende berichten: "Van de 1341 pagina's die we de afgelopen 90 dagen op de site hebben getest, resulteerden 13 pagina ('s) in het downloaden en installeren van schadelijke software zonder toestemming van de gebruiker."
Ik zei in mijn recensie dat Tiranium een goede eerste poging is, maar niet klaar om onze verschillende antivirusproducten van Editors 'Choice uit te dagen. Ik heb nu het gevoel dat het bedrijf zowel het product moet verbeteren als mijn vertrouwen moet terugwinnen met professionaliteit en transparantie. Corrigeer de spelling- en grammaticafouten, gooi de verduistering weg, onderteken de uitvoerbare bestanden digitaal en zorg ervoor dat deze kan worden geïntegreerd in het Actiecentrum van Windows. Gebruik geen producten van derden die niet volledig transparant zijn. Afzonderlijke webhosting van servers die malware hosten. Voor nu raad ik aan dat u zich houdt aan onze antivirusproducten van Editors 'Choice.