Video: Crema - Agorazein (2008) [Completo] (Noviembre 2024)
Poco después de publicar mi revisión de Tiranium Premium Security 2014, recibí un mensaje de un investigador que usaba el controlador Malware1. Afirmó que Tiranium abusó de varios sitios web de verificación de malware en línea para aumentar su tasa de detección. Su nota incluía enlaces a videos que mostraban una versión anterior del software que se conectaba a VirusTotal, en particular (aunque admitió que ya no hay una conexión directa). También proporcionó lo que dijo que eran varios correos electrónicos de VirusTotal a Tiranium exigiendo que dejaran de abusar del servicio.
Verifiqué con VirusTotal, pero mi contacto se negó a comentar para su publicación. Tuve que determinar por mí mismo si esto era cierto y si constituía un problema, de ser así.
¿Qué es VirusTotal?
Para aquellos que no están familiarizados con él, la imagen pública de VirusTotal es un sitio web donde puede cargar un archivo para ver si es malicioso. El sitio primero genera un hash para el archivo, una huella digital matemática única. Si el hash ya está en su base de datos (y la mayoría lo está), devuelve los resultados almacenados. De lo contrario, verifica el archivo con aproximadamente 50 motores antivirus principales, informando que marcó el archivo como malicioso. Google adquirió VirusTotal hace aproximadamente dos años.
El servicio va más allá de simplemente verificar archivos. Según su sitio web, "la misión de VirusTotal es ayudar a mejorar la industria de antivirus y seguridad y hacer de Internet un lugar más seguro mediante el desarrollo de herramientas y servicios gratuitos". Esa misma página dice que "Ninguno de los servicios o aplicaciones ofrecidos públicamente en este sitio debe usarse en productos comerciales, servicios comerciales o para cualquier propósito comercial. De la misma manera, ninguno de los servicios debe usarse como un sustituto de productos de seguridad ".
En otras palabras, un producto que simplemente utiliza los resultados de VirusTotal sin verificar de forma independiente que el archivo es malicioso estaría violando los términos del servicio. Y, de hecho, una prueba controvertida realizada por Kaspersky Lab hace varios años demostró que usar ciegamente la detección del sitio web es una mala idea.
Excavando con WireShark
Según Malware1, Tiranium primero comprueba un archivo sospechoso utilizando su cliente instalado localmente. Si no hay coincidencia, verifica el hash del archivo en VirusTotal. Solo si no obtiene resultados de VirusTotal invoca su propio escáner de comportamiento en la nube.
Para comenzar mi investigación, creé versiones modificadas completamente nuevas de mi colección actual de malware, cambiando los nombres de archivo, alterando el tamaño del archivo y modificando algunos bytes no ejecutables. Verifiqué el hash de cada archivo contra VirusTotal, para asegurarme de que todos estaban ausentes de la base de datos.
Con la utilidad de rastreo de tráfico de red WireShark ejecutándose, inicié un análisis de Tiranium de la carpeta que contiene estos archivos. Curiosamente, el escaneo se ejecutó durante horas pero nunca terminó, y el recuento de archivos escaneados nunca cambió desde su cero inicial. Más tarde supe que esto se debía a que el servidor de comportamiento en la nube estuvo inactivo durante varias horas.
De hecho, al leer el registro de WireShark pude ver que Tiranium intentó una y otra vez subir archivos a la nube de comportamiento, y cada intento terminó en un error. Lo que no encontré fue ninguna evidencia de una conexión directa con VirusTotal, o con cualquiera de los otros servicios que supuestamente se habían utilizado en el pasado.
Evidencia circunstancial
Moví algunos de mis archivos de prueba a otra carpeta y los envié a VirusTotal para su verificación. En todos los casos, la mayoría de los motores antivirus los detectaron como maliciosos; algunos obtuvieron un reconocimiento casi unánime como malware.
Tan pronto como VirusTotal procesó todos los archivos, inmediatamente escaneé la carpeta con Tiranium. Esta vez reconoció esos archivos como malware de inmediato. Cuando escaneé los archivos restantes, los que no había subido, el escaneo se atascó, como antes. Si bien todavía no había una conexión directa desde mi computadora a VirusTotal, parece que había establecido una clara cadena de causalidad.
Tal vez está bien?
Me puse en contacto con mis conexiones en la industria antivirus para ver qué pensaban. Un investigador señaló que las compañías de antivirus pueden contratar VirusTotal para recibir automáticamente cualquier muestra que otros detectaron pero que su producto no detectó. Sin embargo, eso no parecía describir la situación que observé.
Más importante aún, mi contacto con Tiranium confirmó el uso de VirusTotal. "VirusTotal tiene términos de uso específicos", dijo. "Están enviando muestras a las empresas. Tiranium es una de las empresas que analiza eso, como todas las demás". Continuó señalando que el tiempo para analizar nuevas muestras puede variar. "A veces esto llevará horas, a veces minutos, a veces días", dijo.
O tal vez no
La página de créditos de VirusTotal enumera todos los proveedores que han "integrado un producto, herramienta o recurso en VirusTotal, o que han contribuido de alguna manera". Estos proveedores han firmado un acuerdo que incluye un conjunto de mejores prácticas. Tiranium no se encuentra entre las compañías mencionadas. No está recibiendo muestras de VirusTotal, por lo que su uso no es "como todos los demás".
He determinado a mi entera satisfacción que los correos electrónicos proporcionados por Malware1 que le dicen a Tiranium que deje de usar VirusTotal son reales. He visto evidencia de que en algún momento la aplicación misma se conectó directamente a VirusTotal para obtener información, lo que definitivamente es abuso. Pero, ¿está su encarnación actual robando el trabajo de otros proveedores, como afirma Malware1? No puedo decir definitivamente, pero mi confianza definitivamente se ve sacudida.
¿Potencialmente no deseado?
Aparentemente no estoy solo. En una discusión sobre el reconocido foro de Wilders Security, varios miembros expresaron preocupación por el producto. De hecho, en el momento de esta discusión hace unos ocho meses, varios productos antivirus conocidos detectaron Tiranium como una "aplicación potencialmente no deseada" que debería eliminarse.
Incluso ahora, Kaspersky detecta uno de los dos archivos principales de Tiranium como malware, y ESET los detecta a ambos. Fortinet identifica el sitio web de Tiranium como malicioso, al igual que el servicio BrightCloud de Webroot.
Comportamientos sombríos
Señalé esta detección a mi contacto de Kaspersky y le pregunté si podía explicar por qué Tiranium fue marcado como malware. Estudió la pregunta con mucha más habilidad de la que pude reunir, y se le ocurrió mucho. "Están usando más de cinco ofuscadores diferentes para ofuscar su código y no hay firma digital", dijo. "Es un poco loco y parece lejos de ser legítimo". Aquí no hay una pistola humeante, pero estos y otros comportamientos similares al malware fueron suficientes para marcar el producto. También encontró tráfico del servidor que hace referencia a VT (VirusTotal), Anubis y VirScan, lo que sugiere algún tipo de dependencia de fuentes de terceros.
La gente de BrightCloud no pudo determinar la razón por la cual el sitio web de Tiranium fue marcado como riesgoso. Sin embargo, señalaron que la dirección IP de Tiranium se comparte con bastantes sitios web de phishing. La página de navegación segura de Google para el dominio olympe.in utilizado por Tiranium tenía algunas noticias alarmantes: "De las 1341 páginas que probamos en el sitio durante los últimos 90 días, 13 páginas resultaron en la descarga e instalación de software malicioso sin el consentimiento del usuario ".
Dije en mi revisión que Tiranium es un buen primer esfuerzo, pero que no está listo para desafiar nuestros diversos productos antivirus Editors 'Choice. Ahora siento que la empresa necesita mejorar el producto y recuperar mi confianza con profesionalismo y transparencia. Corrija los errores ortográficos y gramaticales, elimine la ofuscación, firme digitalmente los archivos ejecutables y asegúrese de que se integra con el Centro de acción de Windows. Abstenerse de usar productos de terceros que no sean completamente transparentes. Separe el alojamiento web de los servidores que alojan malware. Por ahora, le recomiendo que se quede con nuestros productos antivirus Editors 'Choice.
