Você confia no seu antivírus?

Logo após publicar minha análise do Tiranium Premium Security 2014, recebi uma mensagem de um pesquisador usando o identificador Malware1. Ele alegou que o Tiranium abusou de vários sites de verificação de malware online para aumentar sua taxa de detecção. Sua nota incluía links para vídeos mostrando uma versão mais antiga do software conectando-se ao VirusTotal, em particular (embora ele admitisse que não há mais uma conexão direta). Ele também forneceu o que disse ser um número de e-mails do VirusTotal para o Tiranium exigindo que parassem de abusar do serviço.

Eu verifiquei com o VirusTotal, mas meu contato se recusou a comentar para publicação. Eu tinha que determinar por mim mesmo se isso era verdade e se constituía um problema.

O que é o VirusTotal

Para quem não conhece, o rosto público do VirusTotal é um site no qual você pode fazer upload de um arquivo para verificar se é malicioso. O site primeiro gera um hash para o arquivo - uma impressão digital matemática exclusiva. Se o hash já estiver em seu banco de dados (e a maioria está), ele retornará os resultados armazenados. Caso contrário, ele verifica o arquivo com cerca de 50 principais mecanismos antivírus, relatando que o sinalizou como malicioso. O Google adquiriu o VirusTotal há cerca de dois anos.

O serviço vai além da simples verificação de arquivos. Segundo o site, "a missão do VirusTotal é ajudar a melhorar o setor de antivírus e segurança e tornar a Internet um lugar mais seguro através do desenvolvimento de ferramentas e serviços gratuitos". Na mesma página, afirma que "nenhum dos serviços ou aplicativos oferecidos publicamente neste site deve ser usado em produtos comerciais, serviços comerciais ou para qualquer finalidade comercial. Da mesma forma, nenhum dos serviços deve ser usado como substituto para produtos de segurança."

Em outras palavras, um produto que simplesmente usasse os resultados do VirusTotal sem verificar independentemente se o arquivo é malicioso violaria os termos de serviço. E, de fato, um teste controverso da Kaspersky Lab há vários anos mostrou que usar cegamente a detecção no site é uma má idéia.

Cavando com WireShark

De acordo com o Malware1, o Tiranium primeiro verifica um arquivo suspeito usando seu cliente instalado localmente. Se não houver correspondência, ele verifica o hash do arquivo no VirusTotal. Somente se não obtiver resultados do VirusTotal, ele invocará seu próprio scanner comportamental de nuvem.

Para iniciar minha investigação, criei versões modificadas totalmente novas da minha coleção de malware atual, alterando os nomes dos arquivos, alterando o tamanho do arquivo e ajustando alguns bytes não executáveis. Eu verifiquei o hash de cada arquivo no VirusTotal, para ter certeza de que todos estavam ausentes no banco de dados.

Com o utilitário de rastreamento de tráfego de rede WireShark em execução, iniciei uma verificação do Tiranium da pasta que contém esses arquivos. Estranhamente, a verificação durou horas, mas nunca terminou, e a contagem de arquivos verificados nunca mudou do seu zero inicial. Soube depois que isso acontecia porque o servidor de nuvem comportamental ficou inativo por várias horas.

De fato, lendo o log do WireShark, pude ver que o Tiranium tentava repetidamente carregar arquivos na nuvem comportamental, cada tentativa terminando em erro. O que eu não encontrei foi qualquer evidência de uma conexão direta com o VirusTotal ou com qualquer outro serviço que supostamente havia sido usado no passado.

Evidência circunstancial

Mudei alguns dos meus arquivos de teste para outra pasta e os enviei ao VirusTotal para verificação. Em todos os casos, a maioria dos mecanismos antivírus os detectou como maliciosos; alguns tiveram reconhecimento quase unânime como malware.

Assim que todos os arquivos foram processados ​​pelo VirusTotal, verifiquei imediatamente a pasta com o Tiranium. Desta vez, reconheceu esses arquivos como malware imediatamente. Quando digitalizei os arquivos restantes, os que não havia carregado, a digitalização travou, como antes. Embora ainda não houvesse conexão direta do meu computador com o VirusTotal, parece que eu havia estabelecido uma clara cadeia de causalidade.

Talvez esteja tudo bem?

Entrei em contato com minhas conexões no setor de antivírus para ver o que eles pensavam. Um pesquisador apontou que as empresas de antivírus podem contratar o VirusTotal para receber automaticamente qualquer amostra detectada por outras pessoas, mas seu produto não atendeu. No entanto, isso não parecia descrever a situação que observei.

Mais importante, meu contato com Tiranium confirmou o uso do VirusTotal. "O VirusTotal tem termos de uso específicos", disse ele. "Eles estão enviando amostras para as empresas. Tiranium é uma das empresas que analisa isso, como todas as outras." Ele continuou observando que o tempo para analisar novas amostras pode variar. "Às vezes isso leva horas, alguns minutos, outros dias", disse ele.

Ou talvez não

A página de créditos do VirusTotal lista todos os fornecedores que "integraram um produto, ferramenta ou recurso no VirusTotal ou contribuíram de alguma forma". Esses fornecedores assinaram um contrato que inclui um conjunto de práticas recomendadas. Tiranium não está entre as empresas listadas. Como não está recebendo amostras do VirusTotal, seu uso não é "como todos os outros".

Decidi com satisfação que os e-mails fornecidos pelo Malware1 dizendo ao Tiranium para parar de usar o VirusTotal são reais. Vi evidências de que ao mesmo tempo o aplicativo se conectava diretamente ao VirusTotal para obter informações, o que é definitivamente um abuso. Mas sua encarnação atual está roubando o trabalho de outros fornecedores, como afirma o Malware1? Não posso dizer definitivamente, mas minha confiança está definitivamente abalada.

Potencialmente Indesejável?

Aparentemente, não estou sozinha. Em uma discussão no conceituado fórum Wilders Security, vários membros expressam preocupação com o produto. De fato, no momento desta discussão, cerca de oito meses atrás, vários produtos antivírus conhecidos detectaram o Tiranium como um "aplicativo potencialmente indesejado" que deveria ser removido.

Mesmo agora, a Kaspersky detecta um dos dois arquivos principais do Tiranium como malware e a ESET detecta os dois. A Fortinet identifica o site da Tiranium como malicioso, assim como o serviço BrightCloud da Webroot.

Comportamentos obscuros

Apontei essa detecção ao meu contato do Kaspersky e perguntei se ele poderia explicar por que o Tiranium foi sinalizado como malware. Ele investigou a questão com muito mais habilidade do que eu poderia reunir, e surgiu com muita coisa. "Eles estão usando mais de cinco ofuscadores diferentes para ofuscar seu código e não há assinatura digital", disse ele. "É um pouco louco e parece longe de ser legítimo". Não há nenhuma arma para fumar aqui, mas esses e outros comportamentos semelhantes a malware foram suficientes para sinalizar o produto. Ele também encontrou tráfego do servidor que faz referência a VT (VirusTotal), Anubis e VirScan, sugerindo algum tipo de dependência de fontes de terceiros.

O pessoal do BrightCloud não conseguiu identificar o motivo pelo qual o site do Tiranium foi considerado arriscado. No entanto, eles apontaram que o endereço IP do Tiranium é compartilhado com vários sites de phishing. A página de navegação segura do Google para o domínio olympe.in usada pelo Tiranium teve algumas notícias alarmantes: "Das 1341 páginas que testamos no site nos últimos 90 dias, 13 página (s) resultaram em software malicioso sendo baixado e instalado sem o consentimento do usuário."

Eu disse na minha análise que o Tiranium é um bom primeiro esforço, mas não está pronto para desafiar nossos diversos produtos antivírus da Editors 'Choice. Agora sinto que a empresa precisa melhorar o produto e recuperar minha confiança com profissionalismo e transparência. Corrija os erros de ortografia e gramática, evite a ofuscação, assine digitalmente os arquivos executáveis ​​e verifique se ele se integra ao Centro de Ação do Windows. Evite usar produtos de terceiros que não sejam totalmente transparentes. Separe a hospedagem da Web dos servidores que hospedam malware. Por enquanto, eu recomendo que você fique com nossos produtos antivírus Editors 'Choice.