Ti fidi del tuo antivirus?

Poco dopo aver pubblicato la mia recensione di Tiranium Premium Security 2014, ho ricevuto un messaggio da un ricercatore che utilizzava la maniglia Malware1. Ha affermato che Tiranium ha abusato di vari siti Web di controllo del malware online per rafforzare il suo tasso di rilevamento. La sua nota includeva collegamenti a video che mostravano una versione precedente del software che si connetteva a VirusTotal, in particolare (anche se ha ammesso che non esiste più una connessione diretta). Ha anche fornito ciò che ha detto che erano numerose e-mail da VirusTotal a Tiranium che chiedevano che smettessero di abusare del servizio.

Ho controllato con VirusTotal, ma il mio contatto ha rifiutato di commentare per la pubblicazione. Ho dovuto determinare da solo se questo era vero e se costituiva un problema in tal caso.

Cos'è VirusTotal

Per coloro che non lo conoscono, il volto pubblico di VirusTotal è un sito Web in cui è possibile caricare un file per vedere se è dannoso. Il sito genera innanzitutto un hash per il file: un'impronta digitale matematica unica. Se l'hash è già nel suo database (e la maggior parte lo è) restituisce i risultati memorizzati. In caso contrario, controlla il file con circa 50 principali motori antivirus, segnalando quali file sono stati contrassegnati come dannosi. Google ha acquisito VirusTotal circa due anni fa.

Il servizio va oltre il semplice controllo dei file. Secondo il suo sito web, "La missione di VirusTotal è di aiutare a migliorare il settore antivirus e della sicurezza e rendere Internet un posto più sicuro attraverso lo sviluppo di strumenti e servizi gratuiti". La stessa pagina afferma che "Nessuno dei servizi o applicazioni offerti pubblicamente su questo sito dovrebbe essere utilizzato in prodotti commerciali, servizi commerciali o per scopi commerciali. Allo stesso modo, nessuno dei servizi dovrebbe essere usato come sostituto di prodotti di sicurezza ".

In altre parole, un prodotto che utilizzava semplicemente i risultati di VirusTotal senza verificare in modo indipendente che il file fosse dannoso avrebbe violato i termini di servizio. E in effetti, un controverso test di Kaspersky Lab diversi anni fa ha dimostrato che l'uso cieco del rilevamento dal sito Web è una cattiva idea.

Scavando con WireShark

Secondo Malware1, Tiranium controlla innanzitutto un file sospetto utilizzando il client installato localmente. Se non c'è corrispondenza, controlla l'hash del file su VirusTotal. Solo se non ottiene risultati da VirusTotal, invoca il proprio scanner cloud comportamentale.

Per iniziare la mia indagine, ho creato nuovissime versioni modificate della mia attuale raccolta di malware, modificando i nomi dei file, alterando le dimensioni del file e modificando alcuni byte non eseguibili. Ho controllato l'hash di ogni file con VirusTotal, per essere sicuro che tutti fossero assenti dal database.

Con l'utilità di traccia del traffico di rete WireShark in esecuzione, ho avviato una scansione Tiranium della cartella contenente questi file. Stranamente, la scansione è durata ore ma non è mai terminata e il conteggio dei file scansionati non è mai cambiato rispetto allo zero iniziale. In seguito ho appreso che ciò era dovuto al fatto che il server cloud comportamentale era inattivo per diverse ore.

In effetti, esaminando il registro di WireShark ho potuto vedere che Tiranium ha provato più e più volte a caricare file nel cloud comportamentale, ogni tentativo si è concluso con un errore. Ciò che non ho trovato era alcuna prova di una connessione diretta con VirusTotal o con uno qualsiasi degli altri servizi che si presumeva fossero stati utilizzati in passato.

Prove circostanziali

Ho spostato alcuni dei miei file di test in un'altra cartella e li ho inviati a VirusTotal per il controllo. In ogni caso, la maggior parte dei motori antivirus li ha rilevati come dannosi; alcuni hanno ottenuto un riconoscimento quasi unanime come malware.

Non appena tutti i file sono stati elaborati da VirusTotal, ho immediatamente scansionato la cartella con Tiranium. Questa volta ha riconosciuto subito quei file come malware. Quando ho scannerizzato i file rimanenti, quelli che non avevo caricato, la scansione si è bloccata, come prima. Sebbene non ci fosse ancora alcuna connessione diretta dal mio computer a VirusTotal, sembra che avessi stabilito una chiara catena di causalità.

Forse va bene?

Ho raggiunto le mie connessioni nel settore antivirus per vedere cosa ne pensavano. Un ricercatore ha sottolineato che le società antivirus possono stipulare un contratto con VirusTotal per ricevere automaticamente qualsiasi campione rilevato da altri ma il loro prodotto è mancato. Tuttavia, ciò non sembra descrivere la situazione che ho osservato.

Ancora più importante, il mio contatto Tiranium ha confermato l'uso di VirusTotal. "VirusTotal ha condizioni d'uso specifiche", ha affermato. "Stanno inviando campioni alle aziende. Tiranium è una delle aziende che lo analizzano, come tutte le altre." Ha continuato a notare che il tempo per analizzare nuovi campioni può variare. "A volte ci vorranno ore, qualche minuto, qualche giorno", ha detto.

O forse no

La pagina dei crediti VirusTotal elenca tutti i fornitori che "hanno integrato un prodotto, uno strumento o una risorsa in VirusTotal o hanno contribuito in qualche modo". Questi fornitori hanno firmato un accordo che include una serie di migliori pratiche. Tiranium non è tra le società elencate. Non riceve campioni da VirusTotal, quindi il suo utilizzo non è "come tutti gli altri".

Ho determinato con mia soddisfazione che le email fornite da Malware1 che dicono a Tiranium di smettere di usare impropriamente VirusTotal sono reali. Ho visto prove che una volta l'applicazione stessa si connetteva direttamente a VirusTotal per informazione, che è sicuramente un abuso. Ma la sua attuale incarnazione sta rubando il lavoro di altri venditori, come sostiene Malware1? Non posso dire in modo definitivo, ma la mia fiducia è decisamente scossa.

Potenzialmente indesiderato?

Apparentemente non sono solo. In una discussione sul noto forum Wilders Security, diversi membri esprimono preoccupazione per il prodotto. In effetti, al momento di questa discussione circa otto mesi fa, alcuni noti prodotti antivirus hanno rilevato Tiranium come "un'applicazione potenzialmente indesiderata" che dovrebbe essere rimossa.

Anche ora, Kaspersky rileva uno dei due file principali di Tiranium come malware e ESET li rileva entrambi. Fortinet identifica il sito Web di Tiranium come dannoso, così come il servizio BrightCloud di Webroot.

Comportamenti ombrosi

Ho segnalato questo rilevamento al mio contatto Kaspersky e gli ho chiesto se poteva spiegare perché Tiranium fosse contrassegnato come malware. Ha approfondito la questione con molta più abilità di quanto potessi raccogliere, e ne è uscito molto. "Stanno usando più di cinque diversi offuscatori per offuscare il loro codice e non esiste una firma digitale", ha detto "È un po 'folle e sembra tutt'altro che legittimo". Non c'è una pistola fumante qui, ma questi e altri comportamenti simili a malware erano sufficienti per contrassegnare il prodotto. Ha anche trovato traffico dal server che fa riferimento a VT (VirusTotal), Anubis e VirScan, suggerendo una sorta di dipendenza da fonti di terze parti.

La gente di BrightCloud non è stata in grado di individuare il motivo per cui il sito Web di Tiranium è stato segnalato come rischioso. Tuttavia, hanno sottolineato che l'indirizzo IP di Tiranium è condiviso con alcuni siti Web di phishing. La pagina di navigazione sicura di Google per il dominio olympe.in utilizzato da Tiranium ha avuto alcune notizie allarmanti: "Delle 1341 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 13 pagine hanno causato il download e l'installazione di software dannoso senza il consenso dell'utente ".

Nella mia recensione ho detto che Tiranium è un buon primo sforzo, ma non pronto a sfidare i nostri numerosi prodotti antivirus Editors 'Choice. Ora sento che la società ha bisogno sia di migliorare il prodotto sia di riguadagnare fiducia con professionalità e trasparenza. Correggi gli errori di ortografia e grammaticale, elimina l'offuscamento, firma digitalmente i file eseguibili e assicurati che si integri con il Centro operativo di Windows. Astenersi da qualsiasi uso di prodotti di terze parti che non sia completamente trasparente. Separare l'hosting Web dai server che ospitano malware. Per ora, ti consiglio di restare con i nostri prodotti antivirus Editors 'Choice.