今年の初め、マルウェア研究者 ニールJ. ルーベンキング TiraniumPremiumSecurityに関するレビューを公開 2014. レビューが公開された後, 彼は、検出率を上げるために、マルウェアチェックWebサイトに関連するさまざまなオンラインWebサイトをTiraniumが悪用したと主張するユーザーからのメッセージを受け取りました。. 研究者, 氏. ルーベンキング VirusTotalでチェックしました, しかし彼はコメントを拒否されました. そのため、研究者はこれが問題であったかどうかを自分で調べなければなりませんでした.
VirusTotalの性質
VirusTotalは、ユーザーが特定のファイルをアップロードして、それが悪意のあるものかどうかを確認できるWebサイトです。. VirusTotalは、次のように機能します。ファイルのハッシュを生成し、このハッシュがデータベースにあるかどうかを確認します。, 保存された結果を返します. ハッシュがデータベースに存在しない場合、Webサイトはファイルをおよそ 50 最大のウイルス対策エンジンの. 次に、ユーザーは、ファイルを悪意のあるものとしてマークしたウイルス対策エンジンに関するレポートを取得します。.
VirusTotalは約Googleに買収されました 2 数年前、そのサービスはファイルチェックを超えています. VirusTotalの目的は、セキュリティおよびウイルス対策業界の改善を支援し、無料のサービスとツールを使用してインターネットを安全な場所に変える企業の取り組みを支援することです。. VirusTotalのウェブサイトによると, 公共サービスおよびアプリケーションを商用製品またはビジネス目的で使用することは許可されていません. これは、ファイルが悪意のあるものであることを確認せずにVirusTotalの結果を使用する製品が、実際に利用規約に違反していることを意味します。.
白サメ
NeilJにメッセージを送信したユーザー. ルーベンキング, 上記の通り, Tiraniumは、ローカルクライアントによって疑わしいファイルをチェックし、一致するものが見つからない場合は、, ファイルはVirusTotalでチェックされます. VirusTotalの結果がない場合, 次に、ファイルは独自の動作スキャナーを呼び出します.
Rubenkingは、ファイルサイズとファイル名を変更することにより、マルウェアコレクションの新しいバージョンと変更されたバージョンを作成しました。, 特定の実行不可能なバイトを使用する. 各ファイルのハッシュはVirusTotalでチェックされています, それらがすべてデータベースにないことを確認するために.
それからニールJ. Rubenkingは、ネットワークトラフィックトレースユーティリティWireSharkを使用して、これらのファイルを含むフォルダのTiraniumでスキャンを開始しました。. スキャンは長時間続き、終了できませんでした. スキャンされたファイルの数はゼロを示しました. これは、ビヘイビアークラウドサーバーがその時間枠でダウンしていたためです。. VirusTotalまたはその他のサーバーへの直接接続の証拠は見つかりませんでした.
状況証拠
次に、マルウェアの専門家であるRubenkingが、いくつかのテストファイルを別のフォルダーに設定し、VirusTotalチェックを開始しました。. ほとんどのウイルス対策エンジンはこれらのファイルを悪意のあるものとして検出し、他のエンジンはほぼ満場一致でマルウェアとして認識されました.
それをした後, 専門家がTiraniumを使用してフォルダ内のファイルをスキャンしたところ、すぐにマルウェアとして認識されました. VirusTotalとコンピューターが直接接続されていない場合でも, 因果関係の連鎖がありました.
大丈夫ですか?
専門家は、ウイルス対策業界で働く専門家に連絡して、状況についてどう思うかを聞いた。. 専門家の1人は、ウイルス対策会社がVirusTotalと契約して、他の人が検出したが製品が見落とされたサンプルを自動的に受信できると述べました。. たとえそうであっても, これは現在の状況を説明していません.
TiraniumのスペシャリストがVirusTotalの使用を確認しました. 彼の会社は、この分野の他の会社と同じように送信されたサンプルを分析していると言っています. 彼はまた、新しいサンプル分析の時間が異なることを確認しました.
VirusTotalのクレジットページには、VirusTotalへのツールまたは製品の統合に貢献しているベンダーが列挙されています。. これらのベンダーは契約に署名しました, ベストプラクティスポリシーを受け入れる. でも, Tiraniumはこれらの企業の1つではなく、VirusTotalからサンプルを受け取りません。.
ニールJ. Rubenkingは、TiramiumがVirusTotalを悪用したことに関してユーザーから送信されたメッセージが本物であることに気づきました。. 専門家は、アプリケーションがVirusTotalに直接接続されているという証拠を持っています, これは虐待です.
チラニウムは潜在的に不要ですか?
他の何人かの専門家もチラニウムについて懸念を表明しています. いくつかの人気のあるウイルス対策製品は、潜在的に不要であり、削除する必要があるアプリケーションとしてTiraniumを検出しました. ESET, カスペルスキーとフォーティネット, およびalsBrightCloudはすべて、TiraniumのWebサイトを悪意のあるものとして識別します.
Tiraniumが悪意があると見なされる理由?
Rubenkingは、カスペルスキーの専門家に再度連絡を取り、Tiraniumがマルウェアと見なされる理由を調べました。. 専門家が調査を行い、TiraniumのWebサイトがコードに5つ以上の異なる難読化ツールを使用しており、デジタル署名がないことを確認しました. VirusTotalを参照して、サーバーからの動作やトラフィックなどのマルウェアも検出されました。, アヌビス, およびVirScan, 言い換えれば、サードパーティのソースへの依存. 当然, これはすべて合法的に見えません.
BrightCloudの専門家は、Tiraniumが危険であると認められた理由を説明できませんでした, しかし彼らはIPアドレスを示しました, さまざまなフィッシングWebサイトと共有されていました.
ニールJ. ルーベンキング, 専門家であること, Tiraniumは、透明性を確保し、専門家の信頼を取り戻すために、製品を改善する必要があると考えています。. 改善には、文法とスペルミスの修正が含まれる必要があります, デジタル署名とWindowsのアクションセンターとの統合. さらに、企業はサードパーティ製品やマルウェアをホストするサーバーを控える必要があります.
