คุณเชื่อถือโปรแกรมป้องกันไวรัสหรือไม่?

หลังจากเผยแพร่ความเห็นของฉันเกี่ยวกับ Tiranium Premium Security 2014 ฉันได้รับข้อความจากนักวิจัยโดยใช้ด้ามจับ Malware1 เขาอ้างว่า Tiranium ใช้เว็บไซต์ตรวจสอบมัลแวร์ออนไลน์เพื่อเพิ่มอัตราการตรวจจับ บันทึกของเขารวมถึงลิงก์ไปยังวิดีโอที่แสดงซอฟต์แวร์รุ่นเก่าที่เชื่อมต่อกับ VirusTotal โดยเฉพาะ (แม้ว่าเขายอมรับว่าไม่มีการเชื่อมต่อโดยตรงอีกต่อไป) นอกจากนี้เขายังให้สิ่งที่เขาพูดว่ามีอีเมล์จำนวนหนึ่งจาก VirusTotal ถึง Tiranium เรียกร้องให้พวกเขาหยุดใช้บริการในทางที่ผิด

ฉันตรวจสอบกับ VirusTotal แล้ว แต่ผู้ติดต่อของฉันปฏิเสธที่จะแสดงความคิดเห็นเพื่อเผยแพร่ ฉันต้องตัดสินใจด้วยตัวเองว่านี่เป็นเรื่องจริงหรือไม่และมันก่อให้เกิดปัญหาได้หรือไม่

VirusTotal คืออะไร

สำหรับผู้ที่ไม่คุ้นเคยใบหน้าสาธารณะของ VirusTotal เป็นเว็บไซต์ที่คุณสามารถอัปโหลดไฟล์เพื่อดูว่าเป็นอันตรายหรือไม่ ไซต์จะสร้างแฮชก่อนสำหรับไฟล์ซึ่งเป็นลายนิ้วมือทางคณิตศาสตร์ที่ไม่ซ้ำใคร หากแฮชอยู่ในฐานข้อมูลอยู่แล้ว (และส่วนใหญ่จะเป็น) จะส่งคืนผลลัพธ์ที่เก็บไว้ หากไม่ตรวจสอบไฟล์จะมีเอนจิ้นแอนตี้ไวรัสรายใหญ่ประมาณ 50 ตัวรายงานว่าไฟล์ใดถูกตั้งค่าสถานะว่าเป็นอันตราย Google ได้รับ VirusTotal เมื่อประมาณสองปีที่แล้ว

บริการนอกเหนือไปจากการตรวจสอบไฟล์ ตามเว็บไซต์ของ บริษัท "ภารกิจของ VirusTotal คือการช่วยในการปรับปรุงอุตสาหกรรมป้องกันไวรัสและความปลอดภัยและทำให้อินเทอร์เน็ตปลอดภัยยิ่งขึ้นผ่านการพัฒนาเครื่องมือและบริการฟรี" หน้าเดียวกันนั้นระบุว่า "ไม่ควรใช้บริการหรือแอปพลิเคชันสาธารณะในเว็บไซต์นี้ในผลิตภัณฑ์เชิงพาณิชย์บริการเชิงพาณิชย์หรือเพื่อจุดประสงค์ทางธุรกิจใด ๆ ในลักษณะเดียวกันไม่ควรใช้บริการใดแทนผลิตภัณฑ์รักษาความปลอดภัย ."

กล่าวอีกนัยหนึ่งผลิตภัณฑ์ที่ใช้ผลลัพธ์ของ VirusTotal เพียงอย่างเดียวโดยไม่ตรวจสอบอย่างอิสระว่าไฟล์นั้นเป็นอันตรายจะละเมิดข้อกำหนดในการให้บริการ และจริง ๆ แล้วการทดสอบการโต้เถียงของ Kaspersky Lab เมื่อหลายปีก่อนแสดงให้เห็นว่าการใช้การตรวจจับจากเว็บไซต์เป็นความคิดที่ไม่ดี

ขุดด้วย WireShark

ตาม Malware1, Tiranium ตรวจสอบไฟล์ผู้ต้องสงสัยก่อนโดยใช้ไคลเอ็นต์ที่ติดตั้งไว้ในเครื่อง หากไม่มีการจับคู่มันจะตรวจสอบแฮชของไฟล์ใน VirusTotal เฉพาะเมื่อมันไม่ได้ผลลัพธ์จาก VirusTotal มันเรียกใช้เครื่องสแกนคลาวด์พฤติกรรมของตัวเอง

ในการเริ่มต้นการตรวจสอบของฉันฉันได้สร้างคอลเลกชันมัลแวร์ปัจจุบันที่แก้ไขใหม่แล้วเปลี่ยนชื่อไฟล์เปลี่ยนขนาดไฟล์และปรับแต่งไบต์ที่ไม่สามารถเรียกใช้งานได้ ฉันตรวจสอบแฮชของแต่ละไฟล์กับ VirusTotal เพื่อให้แน่ใจว่าทุกอย่างหายไปจากฐานข้อมูล

ด้วยยูทิลิตี้การติดตามปริมาณการใช้เครือข่าย WireShark ฉันเปิดใช้งานการสแกน Tiranium ของโฟลเดอร์ที่มีไฟล์เหล่านี้ น่าแปลกที่การสแกนใช้เวลาหลายชั่วโมง แต่ไม่เคยเสร็จสิ้นและจำนวนไฟล์ที่สแกนไม่เคยเปลี่ยนจากศูนย์เริ่มต้น ฉันเรียนรู้ในภายหลังว่านี่เป็นเพราะคลาวด์เซิร์ฟเวอร์ที่ทำงานผิดปกติเป็นเวลาหลายชั่วโมง

อันที่จริงการอ่านบันทึกของ WireShark ฉันเห็นว่า Tiranium ลองอีกครั้งและอีกครั้งเพื่ออัปโหลดไฟล์ไปยังคลาวด์เชิงพฤติกรรมแต่ละครั้งที่พยายามจบลงด้วยข้อผิดพลาด สิ่งที่ฉัน ไม่ พบคือหลักฐานว่ามีการเชื่อมต่อโดยตรงกับ VirusTotal หรือบริการอื่นใดที่เคยถูกใช้มาก่อน

หลักฐานตามสถานการณ์

ฉันย้ายไฟล์ทดสอบบางไฟล์ไปยังโฟลเดอร์อื่นและส่งไปยัง VirusTotal เพื่อตรวจสอบ ในทุกกรณีโปรแกรมป้องกันไวรัสส่วนใหญ่ตรวจพบว่าเป็นอันตราย บางคนได้รับการยอมรับเป็นเอกฉันท์ว่าเป็นมัลแวร์

ทันทีที่ไฟล์ทั้งหมดถูกประมวลผลโดย VirusTotal ฉันจะสแกนโฟลเดอร์ด้วย Tiranium ทันที คราวนี้มันรับรู้ไฟล์เหล่านั้นเป็นมัลแวร์ทันที เมื่อฉันสแกนไฟล์ที่เหลืออยู่ไฟล์ที่ฉันไม่ได้อัปโหลดสแกนจะติดขัดเหมือนเมื่อก่อน ในขณะที่ยังไม่มีการเชื่อมต่อโดยตรงจากคอมพิวเตอร์ของฉันไปยัง VirusTotal ดูเหมือนว่าฉันได้สร้างสายโซ่ของเวรกรรมที่ชัดเจน

อาจจะไม่เป็นไร

ฉันติดต่อกับคนรู้จักในอุตสาหกรรมแอนติไวรัสเพื่อดูว่าพวกเขาคิดอย่างไร นักวิจัยคนหนึ่งชี้ให้เห็นว่า บริษัท แอนติไวรัสสามารถทำสัญญากับ VirusTotal เพื่อรับตัวอย่างที่ผู้อื่นตรวจพบโดยอัตโนมัติ แต่ผลิตภัณฑ์ของพวกเขาพลาด อย่างไรก็ตามนั่นไม่ได้อธิบายถึงสถานการณ์ที่ฉันสังเกตเห็น

ที่สำคัญผู้ติดต่อ Tiranium ของฉันยืนยันการใช้ VirusTotal "VirusTotal มีข้อกำหนดการใช้งานเฉพาะ" เขากล่าว "พวกเขากำลังส่งตัวอย่างไปยัง บริษัท Tiranium เป็นหนึ่งใน บริษัท ที่วิเคราะห์เช่นเดียวกับคนอื่น ๆ ทั้งหมด" เขากล่าวต่อไปว่าเวลาในการวิเคราะห์ตัวอย่างใหม่อาจแตกต่างกันไป “ บางครั้งการทำเช่นนี้จะใช้เวลาหลายชั่วโมงบางนาทีในบางวัน” เขากล่าว

หรืออาจจะไม่

หน้าเครดิต VirusTotal แสดงรายชื่อผู้จำหน่ายทั้งหมดที่ "รวมผลิตภัณฑ์เครื่องมือหรือทรัพยากรใน VirusTotal หรือมีส่วนร่วมอย่างใดอย่างหนึ่ง" ผู้ขายเหล่านี้ได้ลงนามในข้อตกลงที่มีชุดของแนวปฏิบัติที่ดีที่สุด Tiranium ไม่ได้อยู่ในรายชื่อ บริษัท ไม่ได้รับตัวอย่างจาก VirusTotal ดังนั้นการใช้งานจึงไม่เหมือนกับสิ่งอื่น ๆ

ฉันมุ่งมั่นที่จะสร้างความพึงพอใจให้กับตนเองว่าอีเมลที่จัดหาโดย Malware1 บอก Tiranium ให้หยุดการใช้ VirusTotal อย่างผิด ๆ นั้นเป็นเรื่องจริง ฉันเคยเห็นหลักฐานว่าในครั้งเดียวที่แอปพลิเคชันเชื่อมต่อโดยตรงกับ VirusTotal สำหรับข้อมูลซึ่งเป็นการละเมิดอย่างแน่นอน แต่การจุติใหม่ในปัจจุบันเป็นการขโมยผลงานของผู้ค้ารายอื่น ๆ เนื่องจาก Malware1 เชื่อหรือไม่? ฉันไม่สามารถพูดได้อย่างแน่นอน แต่ความไว้วางใจของฉันจะสั่นไหวอย่างแน่นอน

อาจไม่เป็นที่ต้องการ?

เห็นได้ชัดว่าฉันไม่ได้อยู่คนเดียว ในการอภิปรายในฟอรัม Wilders Security ที่ได้รับการยกย่องสมาชิกหลายคนแสดงความกังวลเกี่ยวกับผลิตภัณฑ์ ในความเป็นจริงในช่วงเวลาของการสนทนาประมาณแปดเดือนที่ผ่านมาผลิตภัณฑ์ป้องกันไวรัสที่รู้จักกันดีจำนวนหนึ่งตรวจพบ Tiranium ว่าเป็น "แอพพลิเคชั่นที่อาจไม่พึงประสงค์" ที่ควรลบออก

ถึงตอนนี้ Kaspersky ตรวจพบหนึ่งในสองไฟล์หลักของ Tiranium ในฐานะมัลแวร์และ ESET ตรวจพบไฟล์ทั้งสอง Fortinet ระบุว่าเว็บไซต์ของ Tiranium เป็นอันตรายเช่นเดียวกับบริการ BrightCloud ของ Webroot

พฤติกรรมร่มรื่น

ฉันชี้การตรวจจับนี้ไปยังที่ติดต่อ Kaspersky ของฉันและถามว่าเขาสามารถอธิบายได้หรือไม่ว่าทำไม Tiranium จึงถูกตั้งค่าสถานะเป็นมัลแวร์ เขาขุดคำถามที่มีทักษะอย่างมีนัยสำคัญมากกว่าที่ฉันสามารถรวบรวมและมาด้วยมาก “ พวกเขาใช้ obfuscators ที่แตกต่างกันมากกว่าห้าคนเพื่อทำให้รหัสของพวกเขางงงวยและไม่มีลายเซ็นดิจิทัล” เขากล่าว“ มันบ้าไปแล้วและดูห่างไกลจากกฎหมาย” ไม่มีปืนสูบบุหรี่อยู่ที่นี่ แต่พฤติกรรมเหล่านี้และมัลแวร์อื่น ๆ ก็เพียงพอที่จะทำให้ผลิตภัณฑ์ติดธงได้ นอกจากนี้เขายังพบทราฟฟิกจากเซิร์ฟเวอร์ที่อ้างอิง VT (VirusTotal) Anubis และ VirScan ซึ่งเป็นการแนะนำการพึ่งพาแหล่งข้อมูลบุคคลที่สามบางประเภท

กลุ่มคน BrightCloud ไม่สามารถระบุสาเหตุที่เว็บไซต์ของ Tiranium ติดธงว่ามีความเสี่ยงได้ อย่างไรก็ตามพวกเขาชี้ให้เห็นว่าที่อยู่ IP ของ Tiranium แชร์กับเว็บไซต์ฟิชชิ่งค่อนข้างน้อย หน้าการเรียกดูที่ปลอดภัยของ Google สำหรับโดเมน olympe.in ที่ Tiranium ใช้นั้นมีข่าวที่น่าตกใจ: "จากหน้า 1341 ที่เราทดสอบบนไซต์ในช่วง 90 วันที่ผ่านมามี 13 หน้าทำให้มีการดาวน์โหลดและติดตั้งซอฟต์แวร์ที่เป็นอันตรายโดยไม่ได้รับความยินยอมจากผู้ใช้ ."

ฉันพูดว่าในการตรวจสอบของฉันว่า Tiranium เป็นความพยายามครั้งแรกที่ดี แต่ไม่พร้อมที่จะท้าทายผลิตภัณฑ์ป้องกันไวรัส Editors 'Choice หลายตัวของเรา ตอนนี้ฉันรู้สึกว่า บริษัท จำเป็นต้องปรับปรุงทั้งผลิตภัณฑ์และฟื้นความไว้วางใจของฉันด้วยความเป็นมืออาชีพและความโปร่งใส แก้ไขข้อผิดพลาดด้านการสะกดและไวยากรณ์ลดความซับซ้อนลงลายมือชื่อในไฟล์ปฏิบัติการและตรวจสอบให้แน่ใจว่าได้รวมเข้ากับ Action Center ของ Windows หลีกเลี่ยงการใช้ผลิตภัณฑ์ของบุคคลที่สามใด ๆ ที่ไม่โปร่งใสอย่างสมบูรณ์ แยกเว็บโฮสติ้งจากเซิร์ฟเวอร์ที่โฮสต์มัลแวร์ ตอนนี้ฉันแนะนำให้คุณใช้ผลิตภัณฑ์ป้องกันไวรัส Editors 'Choice ของเรา