Früher in diesem Jahr hat die Malware-Forscher Neil J. Rubenking veröffentlichte eine Rezension über Tiranium Premium Security 2014. Nach der Bewertung wurde veröffentlicht, er habe eine Nachricht von einem Benutzer behauptet, dass Tiranium missbraucht verschiedene Online-Websites mit Malware prüft Websites verbunden, um ihre Erkennungsrate zu erhöhen. Der Forscher, Herr. Rubenking einen Scheck mit Virustotal, jedoch wurde er einen Kommentar abgelehnt. Das ist, warum die Forscher mussten für sich selbst herausfinden, ob dies ein Problem war.
Die Art der Virustotal
Virustotal ist eine Website, wo der Benutzer eine bestimmte Datei hochladen und prüfen, ob es bösartig ist oder nicht. Total wirkt in der folgenden Weise - es erzeugt Hash für die Datei und wenn diese Hash in der Datenbank, es die Ergebnisse, die gespeichert werden, kehrt. Falls der Hash nicht in der Datenbank vorhanden die Website überprüft die Datei mit etwa 50 der größten Antivirenprogrammen. Der Benutzer erhält dann Berichte über die Antivirenprogrammen haben die Datei als bösartige markiert.
Virustotal wurde von Google etwa erworben 2 vor Jahren seinen Dienst und geht über die Dateiüberprüfung. Das Ziel der Virustotal ist es, in die Verbesserung der Sicherheit und Antivirus-Industrie zu unterstützen und bei den Bemühungen des Unternehmens, um Internet zu einem sicheren Ort drehen durch mit dem kostenlosen Services und Tools helfen. Laut der Website von Virustotal, die öffentlichen Dienste und Anwendungen dürfen nicht in kommerziellen Produkten oder für geschäftliche Zwecke verwendet werden. Dies bedeutet, dass die Produkte, die die Ergebnisse von Virustotal verwenden, ohne zu überprüfen, ob die Datei bösartig ist wäre eigentlich die Verletzung der Nutzungsbedingungen.
White
Der Benutzer, der eine Nachricht an Neil J. verschickt. Rubenking, oben erwähnt, erklärte, dass Tiranium prüft eine verdächtige Datei von seinem lokalen Client und dann, wenn keine Übereinstimmung gefunden werden soll, die Datei auf Virustotal überprüft,. In Fall gibt es kein Ergebnis von Virustotal, dann wird die Datei aufruft eigener Scanner-Verhalten.
Rubenking hat neue erstellt und geändert Version seines Malware-Sammlung, indem Sie die Dateigröße und die Dateinamen, und unter Verwendung bestimmter nicht-ausführbare Bytes. Der Hash für jede Datei mit Virustotal überprüft, um sicherzustellen, dass sie alle sind nicht in der Datenbank.
Dann Neil J. Rubenking verwendet den Netzwerkverkehr Tracing Dienstprogramm Wireshark und begann einen Scan mit Tiranium des Ordners, der diese Dateien enthält,. Der Scan dauerte viele Stunden lang und war nicht in der Lage, zu beenden. Die Anzahl der Datei gescannt zeigte Null. Das war so, wie die Verhaltens Cloud-Server in diesem Zeitrahmen war unten. Es wurden keine Beweise für eine direkte Verbindung zu Virustotal oder dem Rest der Server gefunden.
Indizien
Dann wird die Malware-Experten Rubenking eingestellt einige der Testdateien in einem anderen Ordner und dann leitete eine Virustotal-Check. Die meisten Antivirenprogrammen erkannt diese Dateien als bösartig und anderen haben fast einstimmige Anerkennung als Malware.
Nachdem ich, dass, der Experte flog die Dateien in dem Ordner mit Tiranium und sie wurden sofort als Malware erkannt. Selbst ohne direkte Verbindung zwischen dem Computer und Total, gab es eine Kausalkette.
Ist das OK oder nicht?
Der Experte kontaktiert Spezialisten, die in der Antivirus-Industrie zu hören, was sie über die Situation denken,. Einer der Spezialisten sagen, dass die Antivirus-Unternehmen können im Vertrag mit Virustotal, um die Proben, die andere erkannt automatisch zu erhalten, aber ihr Produkt verpasst. Auch so, dies nicht beschreiben die aktuelle Situation.
Der Spezialist bei Tiranium bestätigt den Einsatz von Virustotal. Zu sagen, dass sein Unternehmen die Analyse der in diesem Bereich ebenso wie andere Unternehmen gesendet Proben nicht. Er bestätigt, daß die Zeit für neue Proben analysiert nicht ändert.
Auf der Seite der Virustotal Credits sind die Anbieter, die auf die Integration von Tools oder Produkte in Virustotal beitragen aufgezählt. Diese Anbieter haben eine Vereinbarung unterzeichnet, der Annahme der besten Praktiken Politik. Jedoch, Tiranium ist nicht eines dieser Unternehmen und es nicht Proben von Virustotal erhalten.
Neil J. Rubenking erkannte, dass die Nachrichten, die vom Benutzer über Tiramium missbrauchen Virustotal geschickt sind real. Der Experte hat Beweise dafür, dass die Anwendung direkt mit Virustotal verbunden, Das ist ein Missbrauch.
Ist Tiranium Potentiell unerwünschte?
Mehrere andere Experten äußern auch ihre Besorgnis über Tiranium. Einige der beliebtesten Antiviren-Produkte haben auch erkannt Tiranium als eine Anwendung, die möglicherweise unerwünscht ist und entfernt werden muss. CASE, Kasperski und Fortinet, und ALS Bright alle auf der Website der Tiranium identifizieren als böswillige.
Warum Tiranium wird als bösartige?
Rubenking wieder kontaktiert Experten von Kaspersky um herauszufinden, warum Tiranium wird als Malware. Die Experten einen Forschung und bestätigt, dass Tiranium Website ist mit mehr als fünf verschiedene obfuscators für ihren Code und haben keine digitale Signatur. Es gab auch Malware wie Verhalten entdeckt und Verkehr von der Server in Bezug auf Virustotal, Anubis, und VirSCAN, oder in anderen Worten die Abhängigkeit von Drittquellen. Natürlich, all dies nicht legitim aussehen.
Die Experten von Brightcloud konnte nicht Grund geben, warum wurde Tiranium als riskant akzeptiert, jedoch zeigten sie die IP-Adresse, die mit verschiedenen Phishing-Websites geteilt wurde.
Neil J. Rubenking, ein Experte, denkt, dass Tiranium hat seine Produkt zu verbessern, transparent zu sein und das Vertrauen der Spezialisten wieder. Die Verbesserung sollte Fixierung der Grammatik und Rechtschreibfehler enthalten, digitale Signatur und die Integration mit der Windows-Action Center der. Darüber hinaus sollte das Unternehmen von Drittprodukten und-Server, die Host-Malware unterlassen.
