Eerder dit jaar heeft de malware onderzoeker Neil J. Rubenking publiceerde een onderzoek betreffende Tiranium Premium Security 2014. Na de beoordeling werd gepubliceerd, hij kreeg een bericht van een gebruiker te beweren dat Tiranium misbruikt verschillende online websites in verband met malware controleert websites om de detectie te verhogen. De onderzoeker, De heer. Rubenking maakte een cheque met VirusTotal, Maar hij was een reactie gedaald. Dat is de reden waarom de onderzoeker moest zelf ontdekken of dit een probleem.
De aard van VirusTotal
VirusTotal is een website waar de gebruiker een bepaald bestand kan uploaden en controleren of het kwaadaardig is of niet. VirusTotal werkt als volgt - een en hash voor het bestand en indien hash in de database, zij de resultaten die opgeslagen terugkeert. In het geval dat de hash niet bestaat in de database van de website controleert of het bestand met ongeveer 50 van de grootste antivirus-engines. De gebruiker krijgt dan rapporten waarop antivirusprogramma het bestand hebt gemarkeerd als kwaadaardig.
VirusTotal werd overgenomen door Google ongeveer 2 jaar geleden en de service gaat verder dan het bestand controleren. Het doel van VirusTotal is te helpen bij de verbetering van de veiligheid en antivirus-industrie en om te helpen bij de inspanningen van het bedrijf om Internet te zetten in een veilige plaats door middel van het gebruik van diensten en tools vrij. Volgens de website van VirusTotal, de openbare diensten en toepassingen mogen niet worden gebruikt in commerciële producten of voor zakelijke doeleinden. Dit betekent dat de producten die de resultaten van VirusTotal gebruiken zonder te verifiëren dat het bestand kwaadaardig zou zijn eigenlijk het schenden van de voorwaarden van de dienst.
Whiteshark
De gebruiker die een bericht gestuurd naar Neil J. Rubenking, bovenvermelde, verklaarde dat Tiranium controleert een verdacht bestand op de lokale client en dan als er geen wedstrijd is te vinden, het bestand wordt gecontroleerd op VirusTotal. In het geval dat er geen resultaat uit VirusTotal, vervolgens het bestand zich beroept op zijn eigen scanner van gedrag.
Rubenking heeft nieuwe gemaakt en aangepaste versie van zijn malware-verzameling door het veranderen van de bestandsgrootte en de bestandsnamen, en het gebruik van bepaalde niet-uitvoerbare bytes. De hash op elk bestand is gecontroleerd met VirusTotal, om ervoor te zorgen dat ze allemaal niet in de database.
Dan Neil J. Rubenking gebruikt het netwerkverkeer traceren nut WireShark en begon een scan met Tiranium van de map waarin deze bestanden bevat. De scan duurde vele lange uren en was niet in staat om te voltooien. Het nummer van het bestand gescand toonde nul. Dit was zo omdat de gedrags-cloud server daalde in dat tijdsbestek. Er werd geen bewijs gevonden van een directe verbinding met VirusTotal of de rest van de servers.
Indirect bewijs
Stel vervolgens de malware expert Rubenking enkele van de test-bestanden in een andere map en vervolgens startte een VirusTotal cheque. De meeste van de antivirus-engines gedetecteerd deze bestanden als kwaadaardig en anderen kregen bijna unanieme erkenning als zijnde malware.
Na het doen van dat, de expert gescande bestanden in de map met behulp Tiranium en ze werden onmiddellijk herkend als malware. Zelfs met geen directe verbinding tussen VirusTotal en de computer, er was een keten van causaliteit.
Is dat OK of niet?
De deskundige gecontacteerd specialisten die werkzaam zijn in de antivirus-industrie om te horen wat zij denken over de situatie. Een van de specialisten zei dat de antivirus bedrijven kunnen krijgen in contract met VirusTotal om de monsters die anderen ontdekt automatisch te ontvangen, maar hun product gemist. Toch, Dit heeft de huidige situatie niet te beschrijven.
De specialist op Tiranium bevestigde het gebruik van VirusTotal. Zegt dat zijn bedrijf is het analyseren van de monsters gestuurd net als andere bedrijven in dit gebied niet. Hij bevestigde ook dat de tijd voor nieuwe monsters analyses varieert.
Op de credits pagina van VirusTotal opgesomd de leveranciers die bijdragen tot de integratie van gereedschappen of producten VirusTotal. Deze leveranciers hebben een overeenkomst ondertekend, het accepteren van de 'best practices' beleid. Echter, Tiranium is niet een van deze bedrijven en het heeft geen monsters ontvangen van VirusTotal.
Neil J. Rubenking besefte dat de berichten die door de gebruiker met betrekking tot Tiramium misbruiken VirusTotal zijn echte. De deskundige is aangetoond dat de toepassing rechtstreeks is aangesloten op VirusTotal, dat is een misbruik.
Is Tiranium potentieel ongewenste?
Verscheidene andere deskundigen uiten ook hun bezorgdheid over Tiranium. Enkele populaire antivirus producten hebben ook ontdekt Tiranium als een applicatie die mogelijk ongewenst en moet worden verwijderd. CASE, Kasperski en Fortinet, en ALS BrightCloud al de website van Tiranium identificeren als kwaadaardig.
Waarom Tiranium kwaadaardige wordt beschouwd?
Rubenking opnieuw contact experts van Kaspersky te vinden waarom Tiranium wordt beschouwd als malware. De experts maakten een onderzoek en bevestigde dat Tiranium website maakt gebruikt van meer dan vijf verschillende obfuscators voor hun code en hebben geen digitale handtekening. Er was ook malware gedrag gesignaleerd en verkeer van de server met verwijzing naar VirusTotal, Anubis, en VirScan, of met andere woorden een beroep op externe bronnen. Naturally, dit alles niet legitiem kijken.
De experts van BrightCloud kon niet reden op te geven waarom werd Tiranium geaccepteerd als risicovol, maar ze het IP adres getoond, die gedeeld werd met verschillende phishing websites.
Neil J. Rubenking, een expert, denkt dat Tiranium heeft om zijn product te verbeteren, transparant te zijn en het vertrouwen van de specialisten 'te herwinnen. De verbetering moet onder meer de vaststelling van de grammatica en spelling fouten, digitale handtekening en de integratie met het Windows Onderhoudscentrum's. Daarnaast moet het bedrijf zich te onthouden van producten van derden en van de servers die als host malware.
