安全观察 您信任防病毒软件吗?

您信任防病毒软件吗?

视频: 橙客网杯跑跑大奖赛:城镇高速公路 (十一月 2024)

视频: 橙客网杯跑跑大奖赛:城镇高速公路 (十一月 2024)
Anonim

发表我对Tiranium Premium Security 2014的评论后不久,我收到了来自研究人员使用Malware1句柄的消息。 他声称,Tiranium滥用了各种在线恶意软件检查网站,以提高其检测率。 他的笔记包括指向视频的链接,这些视频显示了连接到VirusTotal的较旧版本的软件,特别是(尽管他承认不再存在直接连接)。 他还提供了他所说的从VirusTotal到Tiranium的大量电子邮件,要求他们停止滥用该服务。

我检查了VirusTotal,但我的联系人拒绝发表评论。 我必须自己确定这是否正确,如果是,那么是否构成问题。

什么是VirusTotal

对于那些不熟悉它的人,VirusTotal的公开面孔是一个网站,您可以在其中上传文件以查看其是否为恶意软件。 该站点首先为文件生成一个哈希值-唯一的数学指纹。 如果哈希已经在其数据库中(并且大多数已经存在),它将返回存储的结果。 如果没有,它将使用大约50个主要的防病毒引擎检查该文件,并报告将其标记为恶意文件。 Google大约在两年前收购了VirusTotal。

该服务不仅限于检查文件。 根据其网站,“ VirusTotal的使命是通过开发免费工具和服务来帮助改善防病毒和安全性行业,并使互联网成为更安全的场所。” 同一页面上指出:“在本网站上公开提供的任何服务或应用程序均不得用于商业产品,商业服务或用于任何商业目的。以同样的方式,任何服务均不得替代安全产品。 。”

换句话说,仅使用VirusTotal的结果而未独立验证文件是否为恶意软件的产品将违反服务条款。 确实,几年前卡巴斯基实验室(Kaspersky Lab)进行的一项有争议的测试表明,盲目使用网站检测是一个坏主意。

用WireShark挖掘

根据Malware1的说法,Tiranium首先使用其本地安装的客户端检查可疑文件。 如果没有匹配项,它将在VirusTotal上检查文件的哈希。 仅当它没有从VirusTotal获得任何结果时,它才会调用自己的行为云扫描程序。

为了开始调查,我创建了当前恶意软件集合的全新修改版本,更改了文件名,更改了文件大小,并调整了一些不可执行的字节。 我对照VirusTotal检查了每个文件的哈希,以确保数据库中都没有这些哈希。

运行WireShark网络流量跟踪实用程序后,我对包含这些文件的文件夹启动了Tiranium扫描。 奇怪的是,扫描运行了几个小时,但从未完成,并且扫描的文件数从未从其初始零开始变化。 后来我得知这是因为行为云服务器关闭了几个小时。

确实,细读WireShark日志,我可以看到Tiranium一次又一次尝试将文件上传到行为云,每次尝试均以错误结束。 我没有发现任何证据表明与VirusTotal或过去据称曾使用的任何其他服务直接相关。

旁证

我将一些测试文件移至另一个文件夹,并将其提交给VirusTotal进行检查。 在每种情况下,大多数防病毒引擎都将其检测为恶意软件。 有些几乎被一致认为是恶意软件。

VirusTotal处理完所有文件后,我立即用Tiranium扫描了该文件夹。 这次,它立即将这些文件识别为恶意软件。 当我扫描其余文件时,我没有上载的文件,扫描像以前一样卡住了。 尽管从我的计算机到VirusTotal仍然没有直接连接,但是看来我已经建立了明确的因果关系链。

也许还可以吗?

我联系了防病毒行业的联系人,以了解他们的想法。 一位研究人员指出,防病毒公司可以与VirusTotal签约,以自动接收其他人检测到但他们的产品丢失的任何样本。 但是,这似乎无法描述我观察到的情况。

更重要的是,我与Tiranium的联系人确认已使用VirusTotal。 他说:“ VirusTotal有特定的使用条款。” “他们正在将样品发送给公司。Tiranium是与所有其他公司一样进行分析的公司之一。” 他继续指出,分析新样品的时间可能有所不同。 他说:“有时这将需要数小时,数分钟,数天的时间。”

或者可能不是

VirusTotal积分页面列出了所有“已将产品,工具或资源集成到VirusTotal中或以某种方式做出贡献的”供应商。 这些供应商已经签署了包括一系列最佳实践的协议。 钛不在上市公司之列。 它没有收到VirusTotal的样本,因此它的使用并不像“所有其他”一样。

我已经确定令我满意的是,Malware1提供的告诉Tiranium停止滥用VirusTotal的电子邮件是真实的。 我看到的证据表明,应用程序本身曾一次直接连接到VirusTotal以获得信息,这绝对是滥用。 但是,正如Malware1所主张的那样,它当前的化身是否正在窃取其他供应商的工作? 我不能确切地说,但我的信任肯定动摇了。

可能不需要?

显然我并不孤单。 在备受好评的Wilders Security论坛上的讨论中,几位成员表达了对该产品的关注。 实际上,在大约八个月前的讨论中,许多知名的防病毒产品将Tiranium检测为“应删除的潜在有害应用程序”。

即使是现在,卡巴斯基也将Tiranium的两个主要文件之一检测为恶意软件,而ESET都将它们检测到。 Fortinet和Webroot的BrightCloud服务一样,将Tiranium的网站识别为恶意网站。

阴暗行为

我向卡巴斯基的联系人指出了这种发现,并询问他是否可以解释为什么将Tiranium标记为恶意软件。 他以比我所能召集的更多的技巧研究了这个问题,并提出了很多建议。 他说:“他们使用了五个以上的混淆器来混淆其代码,并且没有数字签名。这有点疯狂,看起来还不合法。” 这里没有吸烟枪,但是这些以及其他类似恶意软件的行为足以使产品受到标记。 他还发现来自服务器的流量引用了VT(VirusTotal),Anubis和VirScan,表明某种程度上依赖第三方来源。

BrightCloud人士无法查明Tiranium网站被标记为具有风险的原因。 但是,他们指出,Tiranium的IP地址与许多钓鱼网站共享。 Google对Tiranium使用的olympe.in域的安全浏览页面有一些令人震惊的消息:“在过去90天内,我们在网站上测试的1341个页面中,有13个页面导致未经用户同意就下载和安装了恶意软件。 。”

我在评论中说,Tiranium是一个很好的第一步,但还没有准备好挑战我们的几种编辑选择的防病毒产品。 我现在觉得公司既需要改进产品,又要以专业和透明的方式重新获得我的信任。 修复拼写和语法错误,消除混淆,对可执行文件进行数字签名,并确保其与Windows的Action Center集成。 请勿使用不完全透明的第三方产品。 将Web托管与托管恶意软件的服务器分开。 目前,我建议您坚持使用我们的“编辑选择”防病毒产品。

您信任防病毒软件吗?