Вы доверяете своему антивирусу?

Вскоре после публикации моего обзора Tiranium Premium Security 2014 я получил сообщение от исследователя, использующего маркер Malware1. Он утверждал, что Tiranium злоупотреблял различными веб-сайтами для проверки на вредоносное ПО, чтобы повысить уровень обнаружения. В его записке содержались ссылки на видеоролики, показывающие, в частности, более старую версию программного обеспечения, подключенного к VirusTotal (хотя он признал, что прямого подключения больше нет). Он также предоставил, по его словам, несколько писем от VirusTotal к Tiranium с требованием прекратить злоупотребление сервисом.

Я проверил с помощью VirusTotal, но мой контакт отказался комментировать для публикации. Я должен был определить для себя, было ли это правдой, и представляло ли это проблему, если это так.

Что такое VirusTotal

Для тех, кто не знаком с ним, публичное лицо VirusTotal - это веб-сайт, на котором вы можете загрузить файл, чтобы проверить, не является ли он вредоносным. Сначала сайт генерирует хеш для файла - уникальный математический отпечаток. Если хеш уже находится в своей базе данных (и большинство из них), он возвращает сохраненные результаты. Если нет, он проверяет файл примерно с 50 основными антивирусными ядрами, сообщая, что файл помечен как вредоносный. Google приобрел VirusTotal около двух лет назад.

Сервис выходит за рамки простой проверки файлов. Согласно веб-сайту, «миссия VirusTotal состоит в том, чтобы помочь в улучшении антивирусной индустрии и индустрии безопасности и сделать Интернет более безопасным путем разработки бесплатных инструментов и сервисов». На той же странице указано, что «ни одна из услуг или приложений, публично предлагаемых на этом сайте, не должна использоваться в коммерческих продуктах, коммерческих услугах или в каких-либо коммерческих целях. Точно так же ни одна из этих служб не должна использоваться в качестве замены для продуктов безопасности. «.

Другими словами, продукт, который просто использовал результаты VirusTotal без самостоятельной проверки того, что файл является вредоносным, будет нарушать условия обслуживания. И действительно, неоднозначный тест, проведенный «Лабораторией Касперского» несколько лет назад, показал, что слепое использование обнаружения с веб-сайта - плохая идея.

Копаем с WireShark

Согласно Malware1, Tiranium сначала проверяет подозрительный файл, используя локально установленный клиент. Если совпадений нет, он проверяет хеш файла в VirusTotal. Только если он не получает результатов от VirusTotal, он запускает собственный поведенческий облачный сканер.

Чтобы начать расследование, я создал совершенно новые модифицированные версии моей текущей коллекции вредоносных программ, изменив имена файлов, изменив размер файла и настроив некоторые неисполняемые байты. Я проверил хэш каждого файла с VirusTotal, чтобы убедиться, что все они отсутствуют в базе данных.

С запущенной утилитой трассировки сетевого трафика WireShark я запустил сканирование Tiranium папки, содержащей эти файлы. Как ни странно, сканирование длилось часами, но никогда не заканчивалось, и количество проверенных файлов никогда не менялось с исходного нуля. Позже я узнал, что это связано с тем, что поведенческий облачный сервер не работал в течение нескольких часов.

Действительно, просматривая журнал WireShark, я мог видеть, что Tiranium снова и снова пытался загрузить файлы в поведенческое облако, каждая попытка заканчивалась ошибкой. Что я не нашел, так это каких-либо доказательств прямой связи с VirusTotal или с любыми другими службами, которые предположительно использовались в прошлом.

Косвенные улики

Я переместил некоторые из моих тестовых файлов в другую папку и отправил их в VirusTotal для проверки. В каждом случае большинство антивирусных движков обнаруживали их как вредоносные; некоторые получили почти единодушное признание как вредоносное ПО.

Как только все файлы были обработаны VirusTotal, я немедленно отсканировал папку с помощью Tiranium. На этот раз он сразу распознал эти файлы как вредоносные. Когда я сканировал оставшиеся файлы, которые я не загрузил, сканирование зависло, как и раньше. Хотя с моего компьютера по-прежнему не было прямой связи с VirusTotal, похоже, я установил четкую цепочку причинно-следственных связей.

Может все нормально?

Я обратился к своим связям в антивирусной индустрии, чтобы узнать, что они думают. Один исследователь отметил, что антивирусные компании могут заключить контракт с VirusTotal для автоматического получения любого образца, обнаруженного другими, но пропущенного продукта. Однако, похоже, это не описывает ситуацию, которую я наблюдал.

Что еще более важно, мой контакт с Tiranium подтвердил использование VirusTotal. «VirusTotal имеет особые условия использования», - сказал он. «Они отправляют образцы в компании. Тиран является одной из компаний, анализирующих это, как и все остальные». Далее он отметил, что время для анализа новых образцов может варьироваться. «Иногда это занимает часы, иногда минуты, иногда дни», - сказал он.

А может и нет

На странице кредитов VirusTotal перечислены все поставщики, которые «интегрировали продукт, инструмент или ресурс в VirusTotal или внесли свой вклад». Эти поставщики подписали соглашение, которое включает в себя набор лучших практик. Тиран не входит в список компаний. Он не получает образцы от VirusTotal, поэтому его использование не «как у всех».

К своему удовлетворению я решил, что электронные письма, предоставленные Malware1, в которых говорится, что Tiranium следует прекратить злоупотреблять VirusTotal, являются реальными. Я видел доказательства того, что в свое время само приложение подключалось напрямую к VirusTotal для получения информации, что однозначно является злоупотреблением. Но разве его текущее воплощение крадет работу других поставщиков, как утверждает Malware1? Я не могу сказать однозначно, но мое доверие определенно поколеблено.

Потенциально нежелателен?

Видимо, я не одинок. В обсуждении на уважаемом форуме по безопасности Wilders несколько участников выразили озабоченность по поводу продукта. На самом деле, во время этого обсуждения, около восьми месяцев назад, ряд известных антивирусных продуктов обнаружил тиран как «потенциально нежелательное приложение», которое следует удалить.

Даже сейчас Kaspersky обнаруживает один из двух основных файлов Tiranium как вредоносное ПО, а ESET обнаруживает их оба. Fortinet идентифицирует сайт Tiranium как вредоносный, так же как и сервис Webroot BrightCloud.

Тенистое поведение

Я указал на это обнаружение моему контакту с Kaspersky и спросил, может ли он объяснить, почему Tiranium был помечен как вредоносное ПО. Он углубился в вопрос со значительно большим умением, чем я мог собрать, и придумал много. «Они используют более пяти различных обфускаторов, чтобы запутать свой код, и нет цифровой подписи, - сказал он, - это немного сумасшедший и выглядит далеко не законно». Здесь нет пистолета для курения, но этих и других вредоносных программ было достаточно, чтобы пометить продукт. Он также нашел трафик с сервера, ссылающегося на VT (VirusTotal), Anubis и VirScan, что говорит о некоторой зависимости от сторонних источников.

Люди из BrightCloud не смогли определить причину, по которой веб-сайт Tiranium был отмечен как опасный. Однако они указали, что IP-адрес Tiranium используется многими фишинговыми сайтами. На странице безопасного просмотра Google для домена olympe.in, используемого Tiranium, появились некоторые тревожные новости: «Из 1341 страниц, которые мы тестировали на сайте за последние 90 дней, 13 страниц привели к загрузке и установке вредоносного ПО без согласия пользователя «.

В своем обзоре я сказал, что Tiranium - хорошая первая попытка, но она не готова бросить вызов нашим антивирусным продуктам, выбранным несколькими редакциями. Теперь я чувствую, что компании необходимо и улучшить продукт, и вернуть себе доверие с профессионализмом и прозрачностью. Исправьте орфографические и грамматические ошибки, отмените запутывание, поставьте цифровую подпись исполняемых файлов и убедитесь, что они интегрированы с Центром действий Windows. Воздерживаться от любого использования сторонних продуктов, которые не являются полностью прозрачными. Отдельный веб-хостинг от серверов, на которых размещено вредоносное ПО. На данный момент я рекомендую вам придерживаться антивирусных продуктов нашего выбора редакции.