A principios de este año, el investigador de malware Neil J. Rubenking publicado una revisión en relación con Tiranium Premium Security 2014. Tras la publicación de la revisión, él recibió un mensaje de un usuario diciendo que Tiranium abusó diferentes sitios web en línea relacionados con cheques de malware sitios web con el fin de aumentar su tasa de detección. El investigador, Sr.. Rubenking hizo un cheque con VirusTotal, sin embargo, él se ha rechazado un comentario. Es por eso que el investigador tenía que averiguar por sí mismo si se trataba de un problema.
La naturaleza de VirusTotal
VirusTotal es un sitio web donde el usuario puede cargar un determinado archivo y compruebe si es malicioso o no. VirusTotal actúa de la siguiente manera - que genera hash para el archivo y si es este hash en la base de datos, devuelve los resultados que se almacenan. En caso de que el hash no existe en la base de datos del sitio web comprueba el archivo con aproximadamente 50 de los antivirus más grandes. Después, el usuario recibe informes sobre la cual antivirus han marcado el archivo como malicioso.
VirusTotal fue adquirida por Google, aproximadamente 2 Hace año y su servicio va más allá de la comprobación de archivos. El objetivo de VirusTotal es ayudar en la mejora de la industria de seguridad y antivirus, y para ayudar en los esfuerzos de la compañía para convertir Internet en un lugar seguro mediante el uso de servicios y herramientas libres. Según el sitio web de VirusTotal, No se permiten los servicios públicos y aplicaciones para su uso en productos comerciales o para fines comerciales. Esto significa que los productos que utilizan los resultados de VirusTotal sin verificar que el archivo es malicioso estaría violando de hecho los términos del servicio.
WhiteShark
El usuario que ha enviado un mensaje a Neil J. Rubenking, mencionado anteriormente, declarado que Tiranium comprueba un archivo sospechoso por su cliente local y luego, si ninguna coincidencia se encuentra, el archivo está desprotegido en VirusTotal. En caso de no haber resultado de VirusTotal, entonces el archivo invoca su propio escáner de comportamiento.
Rubenking ha creado nueva y la versión de su colección de malware modificado cambiando el tamaño del archivo y los nombres de los archivos, y el uso de ciertos bytes no ejecutables. El hash de cada archivo se ha comprobado con VirusTotal, con el fin de asegurarse de que todos no están en la base de datos.
Entonces Neil J. Rubenking utiliza el tráfico de red utilidad de seguimiento WireShark y comenzó un análisis con Tiranium de la carpeta que contiene estos archivos. La exploración duró muchas horas y no pudo terminar. El número del archivo escaneado mostró cero. Esto fue así como el servidor de la nube de comportamiento se redujo en ese periodo de tiempo. No se encontró evidencia de una conexión directa a VirusTotal o el resto de los servidores.
Evidencia circunstancial
A continuación, el experto de malware Rubenking establece algunos de los archivos de prueba en una carpeta diferente y luego inició una verificación de VirusTotal. La mayoría de los antivirus detectan estos archivos como maliciosos y otros tiene el reconocimiento casi unánime como el malware.
Después de hacer eso, el experto examinó los archivos de la carpeta utilizando Tiranium y que fueron reconocidos inmediatamente como malware. Incluso sin la conexión directa entre VirusTotal y el ordenador, había una cadena de causalidad.
¿Eso es correcto o no?
El experto en contacto con los especialistas que trabajan en la industria antivirus para escuchar lo que piensan acerca de la situación. Uno de los especialistas dijeron que las compañías antivirus pueden entrar en contrato con VirusTotal para recibir automáticamente las muestras que otros detectados pero su producto perdido. Aún así, esto no describió la situación actual.
El especialista en Tiranium confirmó el uso de VirusTotal. Decir que su compañía está analizando las muestras enviadas al igual que otras empresas en este ámbito do. También confirmó que el tiempo para nuevos análisis de las muestras no variar.
En la página de créditos de VirusTotal se enumeran los proveedores que contribuyen a la integración de las herramientas o productos en VirusTotal. Estos proveedores han firmado un acuerdo, aceptar la mejor política de prácticas. Sin embargo, Tiranium no es una de estas empresas y no recibe muestras de VirusTotal.
Neil J. Rubenking dio cuenta de que los mensajes enviados por el usuario en relación Tiramium mal uso de VirusTotal son reales. El experto tiene pruebas de que la aplicación está conectada directamente a VirusTotal, que es un abuso.
Es Tiranium potencialmente no deseado?
Varios otros expertos también expresan su preocupación por Tiranium. Algunos productos antivirus populares también han detectado Tiranium como una aplicación potencialmente no deseado y debe ser eliminado. CASO, Kasperski y Fortinet, y als BrightCloud todo identificar el sitio web de Tiranium como malicioso.
¿Por qué se considera Tiranium malicioso?
Rubenking contacto con expertos de nuevo de Kaspersky para averiguar por qué Tiranium se considera el malware. Los expertos hicieron una investigación y confirmó que el sitio web Tiranium está usando más de cinco ofuscadores diferentes para su código y no tienen firma digital. También hubo malware como el comportamiento vio y el tráfico desde el servidor con referencia a VirusTotal, Anubis, y VirScan, o en otras palabras, la dependencia de fuentes de terceros. Naturalmente, todo esto no parece legítimo.
Los expertos de BrightCloud no podían dar razón por la cual fue aceptada como Tiranium riesgoso, sin embargo, mostraron la dirección IP, que se transmitió a los diferentes sitios web de phishing.
Neil J. Rubenking, ser un experto, piensa que Tiranium tiene que mejorar su producto con el fin de ser transparentes y para recuperar la confianza de los especialistas. La mejora debe incluir la fijación de los errores gramaticales y de ortografía, firma digital y la integración con el Centro de Acción de Windows. Además, la empresa debe abstenerse de productos de terceros y de los servidores que el malware de acogida.