Tidligere i år malware forsker Neil J. Rubenking offentliggjort en fornyet undersøgelse vedrørende Tiranium Premium Sikkerhed 2014. Efter gennemgangen blev offentliggjort, han fik en besked fra en bruger hævder, at Tiranium misbrugt forskellige online hjemmesider forbundet med malware checks hjemmesider med henblik på at øge sin opdagelse sats. Forskeren, Hr. Rubenking lavet en check med VirusTotal, men han blev afvist en kommentar. Det er grunden til forskeren skulle finde ud af for sig selv, om det var et problem.
Arten af VirusTotal
VirusTotal er en hjemmeside, hvor brugeren kan uploade en bestemt fil og kontrollere, om det er skadeligt eller ej. VirusTotal fungerer på følgende måde - det genererer hash til filen, og hvis denne hash er i databasen, det returnerer resultaterne, der er lagret. I tilfælde af hash findes ikke i databasen på hjemmesiden tjekker filen med omtrent 50 af de største antivirus motorer. Brugeren får rapporter om, hvor antivirus motorer har markeret filen som værende ondsindet.
VirusTotal blev købt af Google omtrent 2 år siden, og dens tjeneste går ud over fil kontrol. Formålet med VirusTotal er at bistå med forbedring af sikkerhed og antivirus industrien og hjælpe i bestræbelserne i selskabet at omdanne Internettet til et sikkert sted ved at bruge gratis tjenester og værktøjer. Ifølge hjemmesiden af VirusTotal, de offentlige tjenester og applikationer er ikke tilladt at blive brugt i kommercielle produkter eller til erhvervsmæssige formål. Det betyder, at de produkter, der bruger resultaterne fra VirusTotal uden at kontrollere, at filen er skadelig ville være rent faktisk at overtræde vilkårene for tjenesten.
Whiteshark
Den bruger, som sendte en besked til Neil J. Rubenking, nævnt ovenfor, erklærede, at Tiranium kontrollerer en mistænkt fil ved sin lokale klient og derefter, hvis ingen match findes, filen er tjekket på VirusTotal. Hvis der er noget resultat fra VirusTotal, derefter filen påberåber sin egen scanner adfærd.
Rubenking har skabt ny og ændret version af sin malware samling ved at ændre filstørrelsen og filnavne, og ved hjælp af visse ikke-eksekverbare bytes. Hash på hver fil er blevet kontrolleret med VirusTotal, For at sikre, at de ikke alle er i databasen.
Så Neil J. Rubenking brugte netværkstrafik sporing nytte Wireshark og startede en scanning med Tiranium på den mappe, der indeholder disse filer. Scanningen varede i mange lange timer og var ikke i stand til at afslutte. Antallet af filen scannes viste nul. Det var så den adfærdsmæssige cloud server var nede i denne tidsramme. Der blev ikke fundet beviser for en direkte forbindelse til VirusTotal eller resten af serverne.
Indicier
Så malware ekspert Rubenking sæt nogle af de test-filer i en anden mappe, og derefter indledte en VirusTotal kontrol. De fleste af de antivirus motorer opdaget disse filer som værende skadelig og andre fik næsten enstemmig anerkendelse som værende malware.
Efter at gøre det, eksperten scannede filer i mappen ved hjælp Tiranium og de blev straks anerkendt som malware. Selv med nogen direkte sammenhæng mellem VirusTotal og computeren, der var en kæde af kausalitet.
Er det OK eller ikke?
Eksperten kontaktede specialister, der arbejder i antivirus industrien til at høre, hvad de mener om situationen. En af de specialister, sagde, at antivirus virksomhederne kan komme i kontrakt med VirusTotal for automatisk at modtage prøver at andre påviste men deres produkt savnet. Alligevel, dette ikke beskrive den nuværende situation.
Specialisten på Tiranium bekræftede brugen af VirusTotal. At sige, at hans firma er ved at analysere de sendte lige som andre virksomheder på dette område prøver do. Han bekræftede også, at tiden for nye prøver analyser kommer til at afvige.
På kreditter side VirusTotal opregnes de leverandører, der bidrager til integration af redskaber eller produkter i VirusTotal. Disse leverandører har underskrevet en aftale, acceptere den bedste politik praksis. Men, Tiranium er ikke et af disse selskaber, og det ikke modtager prøver fra VirusTotal.
Neil J. Rubenking indså, at de meddelelser, der sendes af brugeren om Tiramium misbruge VirusTotal er reelle. Eksperten har dokumentation for, at ansøgningen er forbundet direkte til VirusTotal, hvilket er et misbrug.
Er Tiranium Potentielt uønsket?
Flere andre eksperter også udtryk for deres bekymring over Tiranium. Nogle populære antivirus produkter har også påvist Tiranium som et program, der er potentielt uønsket og skal fjernes. SAG, Kasperski og Fortinet, og Als BrightCloud alle identificere hjemmeside Tiranium som værende ondsindet.
Hvorfor Tiranium anses ondsindet?
Rubenking kontaktet igen eksperter fra Kaspersky til at finde ud af, hvorfor Tiranium betragtes malware. Eksperterne gjorde en forskning og bekræftede, at Tiranium websted bruger mere end fem forskellige obfuscators for deres kode og har ingen digital signatur. Der var også malware lignende adfærd plettet og trafik fra serveren med henvisning til VirusTotal, Anubis, og VirScan, Eller med andre ord afhængighed af tredjeparts kilder. Naturligvis, alt dette ser ikke lovlig.
Eksperterne fra BrightCloud kunne ikke give grunden blev Tiranium accepteret som risikabel, men de viste IP-adressen, som blev delt med forskellige phishing-websteder.
Neil J. Rubenking, være en ekspert, mener, at Tiranium har at forbedre sit produkt for at være transparent og at genvinde specialisterne tillid. Forbedringen bør omfatte fastsættelse af grammatik og stavefejl, digital signatur og integration med Windows aktionsplan center. Ud selskabet bør afstå fra tredjepartsprodukter og fra servere, som er vært malware.
