No início deste ano, o pesquisador de malware Neil J. Rubenking publicou uma resenha sobre Tiranium Premium Security 2014. Após a revisão foi publicado, ele recebeu uma mensagem de um usuário alegando que o Tiranium abusou de diferentes sites online associados a sites de verificação de malware para aumentar sua taxa de detecção. O pesquisador, Sr. Rubenking fez uma verificação com o VirusTotal, no entanto, ele foi recusado um comentário. Por isso, o pesquisador teve que descobrir por si mesmo se isso era um problema..
A natureza do VirusTotal
VirusTotal é um site no qual o usuário pode fazer upload de um determinado arquivo e verificar se é malicioso ou não. O VirusTotal atua da seguinte maneira - gera hash para o arquivo e se esse hash estiver no banco de dados, retorna os resultados armazenados. Caso o hash não exista no banco de dados, o site verifica o arquivo com aproximadamente 50 dos maiores mecanismos antivírus. O usuário então recebe relatórios sobre quais mecanismos antivírus marcaram o arquivo como malicioso.
O VirusTotal foi adquirido pelo Google aproximadamente 2 anos atrás e seu serviço vai além da verificação de arquivos. O objetivo do VirusTotal é ajudar no aprimoramento do setor de segurança e antivírus e nos esforços da empresa para transformar a Internet em um local seguro, usando ferramentas e serviços gratuitos. De acordo com o site da VirusTotal, os serviços e aplicativos públicos não podem ser utilizados em produtos comerciais ou para fins comerciais. Isso significa que os produtos que usam os resultados do VirusTotal sem verificar se o arquivo é malicioso violariam realmente os termos de serviço.
Tubarão branco
O usuário que enviou uma mensagem para Neil J. Rubenking, Mencionado acima, afirmou que o Tiranium verifica um arquivo suspeito por seu cliente local e, se não for encontrada nenhuma correspondência, o arquivo é verificado no VirusTotal. Caso não haja resultado do VirusTotal, então o arquivo chama seu próprio verificador de comportamento.
Rubenking criou uma versão nova e modificada de sua coleção de malware, alterando o tamanho e os nomes dos arquivos, e usando certos bytes não executáveis. O hash em cada arquivo foi verificado com o VirusTotal, para garantir que todos eles não estejam no banco de dados.
Então Neil J. Rubenking usou o utilitário de rastreamento de tráfego de rede WireShark e iniciou uma verificação com o Tiranium da pasta que contém esses arquivos. A verificação durou muitas horas e não conseguiu terminar. O número do arquivo verificado mostrou zero. Isso ocorreu porque o servidor de nuvem comportamental ficou inativo naquele período de tempo. Não foram encontradas evidências de uma conexão direta com o VirusTotal ou o restante dos servidores.
Evidência circunstancial
Em seguida, o especialista em malware Rubenking configurou alguns dos arquivos de teste em uma pasta diferente e, em seguida, iniciou uma verificação do VirusTotal. A maioria dos mecanismos antivírus detectou esses arquivos como maliciosos e outros obtiveram reconhecimento quase unânime como malware.
Depois de fazer isso, o especialista examinou os arquivos na pasta usando o Tiranium e eles foram imediatamente reconhecidos como malware. Mesmo sem conexão direta entre o VirusTotal e o computador, havia uma cadeia de causalidade.
Tudo bem ou não??
O especialista entrou em contato com especialistas que trabalham no setor de antivírus para ouvir o que pensam sobre a situação. Um dos especialistas disse que as empresas de antivírus podem entrar em contrato com o VirusTotal para receber automaticamente as amostras que outros detectaram, mas o produto perdeu. Mesmo assim, isso não descreveu a situação atual.
O especialista da Tiranium confirmou o uso do VirusTotal. Dizendo que sua empresa está analisando as amostras enviadas assim como outras empresas nessa esfera. Ele também confirmou que o tempo para novas análises de amostras varia.
Na página de créditos do VirusTotal são enumerados os fornecedores que contribuem para a integração de ferramentas ou produtos no VirusTotal. Esses fornecedores assinaram um contrato, aceitando a política de melhores práticas. Contudo, O Tiranium não é uma dessas empresas e não recebe amostras da VirusTotal.
Neil J. Rubenking percebeu que as mensagens enviadas pelo usuário relativas ao uso incorreto do Tiramium pelo VirusTotal são reais. O especialista tem evidências de que o aplicativo está conectado diretamente ao VirusTotal, que é um abuso.
Tiranium é potencialmente indesejado?
Vários outros especialistas também expressam sua preocupação com o Tiranium. Alguns produtos antivírus populares também detectaram o Tiranium como um aplicativo potencialmente indesejado e que precisa ser removido. ESET, Kasperski e Fortinet, e também BrightCloud identificam o site Tiranium como sendo malicioso.
Por que o Tiranium é considerado malicioso?
Rubenking contatou novamente especialistas da Kaspersky para descobrir por que o Tiranium é considerado malware. Os especialistas fizeram uma pesquisa e confirmaram que o site Tiranium está usando mais de cinco ofuscadores diferentes para seu código e não tem assinatura digital. Havia também malware como comportamento detectado e tráfego do servidor com referência ao VirusTotal, Anubis, e VirScan, ou, em outras palavras, confiar em fontes de terceiros. Naturalmente, tudo isso não parece legítimo.
Os especialistas da BrightCloud não puderam explicar por que o Tiranium foi aceito como arriscado., no entanto, eles mostraram o endereço IP, que foi compartilhado com diferentes sites de phishing.
Neil J. Rubenking, sendo um especialista, considera que o Tiranium precisa melhorar seu produto para ser transparente e recuperar a confiança dos especialistas. A melhoria deve incluir a correção dos erros gramaticais e ortográficos, assinatura digital e integração com o Centro de Ação do Windows. Além disso, a empresa deve evitar produtos de terceiros e servidores que hospedam malware.
