Plus tôt cette année, le chercheur logiciels malveillants Neil J. Rubenking publié une étude concernant Tiranium Premium Security 2014. Après l'examen a été publié, il a reçu un message d'un utilisateur affirmant que Tiranium abusé de différents sites en ligne associés aux sites Web vérifie les logiciels malveillants afin d'augmenter son taux de détection. Le chercheur, M.. Rubenking fait un chèque avec VirusTotal, Mais il a été refusé un commentaire. C'est pourquoi le chercheur a dû trouver par lui-même s'il s'agissait d'un problème.
La nature de VirusTotal
VirusTotal est un site Web où l'utilisateur peut télécharger un fichier donné et vérifier s'il est malveillant ou non. VirusTotal agit de la manière suivante - il génère le fichier de hachage et, si ce n'est hachage dans la base de données, il renvoie les résultats qui sont stockées. Dans le cas où le hash n'existe pas dans la base de données du site vérifie le fichier avec environ 50 des plus grands moteurs des antivirus. L'utilisateur reçoit alors des rapports sur lesquels les moteurs antivirus ont marqué le fichier comme étant malveillants.
VirusTotal a été acquis par Google environ 2 il ya des années et son service va au-delà de la vérification de fichier. Le but de VirusTotal est de contribuer à l'amélioration de l'industrie antivirus et de sécurité et à aider dans les efforts de l'entreprise pour transformer Internet en un lieu sûr par l'utilisation de services et outils gratuits. Selon le site de VirusTotal, les services publics et les applications ne sont pas autorisés à être utilisés dans des produits commerciaux ou à des fins commerciales. Cela signifie que les produits qui utilisent les résultats de VirusTotal sans vérifier que le fichier est malveillant serait violer effectivement les conditions de service.
Whiteshark
L'utilisateur qui a envoyé un message à Neil J. Rubenking, mentionné ci-dessus, déclaré que Tiranium vérifie un fichier suspect par son client local, puis si aucune correspondance se trouve, le fichier est vérifié sur VirusTotal. Dans le cas où il n'y a pas de résultat à partir de VirusTotal, alors le fichier invoque son propre scanner de comportement.
Rubenking a créé une nouvelle version de son et collection de logiciels malveillants modifiée en changeant la taille du fichier et les noms de fichiers, et l'utilisation de certains octets non exécutables. Le hachage sur chaque fichier a été vérifié avec VirusTotal, afin de s'assurer qu'ils ne sont pas tous dans la base de données.
Puis Neil J. Rubenking utilisé le trafic de traçage réseau utilitaire Wireshark et a commencé une analyse avec Tiranium du dossier qui contient les fichiers. Le scan a duré pendant de longues heures et n'était pas en mesure de terminer. Le numéro du fichier numérisé a montré zéro. Il en était ainsi en tant que serveur nuage de comportement est en baisse dans ce laps de temps. Aucune preuve n'a été trouvée d'une connexion directe à VirusTotal ou le reste des serveurs.
Preuve circonstancielle
Ensuite, l'expert des logiciels malveillants Rubenking réglé certains des fichiers de test dans un autre dossier et a lancé un chèque VirusTotal alors. La plupart des moteurs antivirus détecte ces fichiers comme étant malveillants et d'autres ont obtenu la reconnaissance quasi unanime comme étant des logiciels malveillants.
Après avoir fait cela, l'expert a numérisé les fichiers dans le dossier en utilisant Tiranium et ils ont été immédiatement reconnu que les logiciels malveillants. Même en l'absence de lien direct entre VirusTotal et l'ordinateur, il y avait une chaîne de causalité.
Est-ce OK ou pas?
L'expert contacté des spécialistes qui travaillent dans le secteur de l'antivirus d'entendre ce qu'ils pensent de la situation. Un des spécialistes a déclaré que les éditeurs de logiciels antivirus peuvent entrer en contrat avec VirusTotal afin de recevoir automatiquement les échantillons que d'autres détectés mais leur produit manquer. Toutefois, ce ne décrit pas la situation actuelle.
Le spécialiste à Tiranium confirmé l'utilisation de VirusTotal. Dire que son entreprise est d'analyser les échantillons envoyés tout comme les autres sociétés dans ce domaine do. Il a également confirmé que le temps de nouveaux échantillons analyse ne varie.
Sur la page des crédits de VirusTotal sont énumérés les fournisseurs qui contribuent à l'intégration des outils ou des produits à VirusTotal. Ces fournisseurs ont signé un accord, accepter la meilleure politique des pratiques. Cependant, Tiranium n'est pas une de ces entreprises et il ne reçoit pas d'échantillons de VirusTotal.
Neil J. Rubenking rendu compte que les messages envoyés par l'utilisateur concernant Tiramium abuser VirusTotal sont réels. L'expert a la preuve que l'application est connectée directement à VirusTotal, ce qui est un abus.
Est Tiranium potentiellement indésirables?
Plusieurs autres experts expriment aussi leur inquiétude au sujet Tiranium. Certains produits antivirus populaires ont également détecté Tiranium comme une application qui est potentiellement indésirables et doit être retiré. CAS, Kasperski et Fortinet, et als BrightCloud tout identifier le site de Tiranium comme étant malveillants.
Pourquoi Tiranium est considéré comme malveillant?
Rubenking experts contactés à nouveau de Kaspersky pour découvrir pourquoi Tiranium est considéré logiciels malveillants. Les experts ont fait une recherche et ont confirmé que le site Tiranium utilise plus de cinq obfuscators différentes pour leur code et n'ont pas de signature numérique. Il y avait aussi des logiciels malveillants comme les comportements repéré et le trafic du serveur en référence à VirusTotal, Anubis, et VirSCAN, ou en d'autres termes le recours à des sources tierces. Naturellement, tout cela ne semble pas légitime.
Les experts de BrightCloud ne pouvaient pas donner raison Tiranium a été accepté comme risqué, mais ils ont montré l'adresse IP, qui a été partagé avec les différents sites Web de phishing.
Neil J. Rubenking, être un expert, pense que Tiranium doit améliorer son produit dans un souci de transparence et de regagner la confiance des spécialistes. L'amélioration devrait inclure la fixation des erreurs de grammaire et d'orthographe, signature numérique et l'intégration avec le Centre d'action Windows. En outre, la société doit s'abstenir de produits tiers et des serveurs qui hébergent des logiciels malveillants.