Bạn có tin tưởng phần mềm chống vi-rút của bạn?

Ngay sau khi xuất bản bài đánh giá của tôi về Tiranium Premium Security 2014, tôi đã nhận được tin nhắn từ một nhà nghiên cứu sử dụng tay cầm Malware1. Ông tuyên bố rằng Tiranium đã lạm dụng các trang web kiểm tra phần mềm độc hại trực tuyến khác nhau để tăng tỷ lệ phát hiện. Lưu ý của anh ấy bao gồm các liên kết đến các video hiển thị phiên bản cũ hơn của phần mềm kết nối với VirusTotal, đặc biệt (mặc dù anh thừa nhận không còn kết nối trực tiếp). Ông cũng cung cấp những gì ông nói là một số email từ VirusTotal đến Tiranium yêu cầu họ ngừng lạm dụng dịch vụ.

Tôi đã kiểm tra với VirusTotal, nhưng liên hệ của tôi đã từ chối bình luận để xuất bản. Tôi phải tự xác định xem điều này có đúng không, và liệu nó có phải là một vấn đề hay không.

VirusTotal là gì

Đối với những người không quen thuộc với nó, khuôn mặt công khai của VirusTotal là một trang web nơi bạn có thể tải lên một tệp để xem nó có độc hại hay không. Trang web này trước tiên tạo ra một hàm băm cho tập tin một dấu vân tay toán học duy nhất. Nếu hàm băm đã có trong cơ sở dữ liệu của nó (và hầu hết là), nó sẽ trả về kết quả được lưu trữ. Nếu không, nó sẽ kiểm tra tệp với khoảng 50 công cụ chống vi-rút chính, báo cáo đã gắn cờ tệp đó là độc hại. Google mua lại VirusTotal khoảng hai năm trước.

Dịch vụ này vượt ra ngoài việc kiểm tra các tập tin. Theo trang web của mình, "Nhiệm vụ của VirusTotal là giúp cải thiện ngành công nghiệp chống vi-rút và bảo mật và biến internet thành một nơi an toàn hơn thông qua việc phát triển các công cụ và dịch vụ miễn phí." Cùng trang đó nói rằng "Không nên sử dụng dịch vụ hoặc ứng dụng nào được cung cấp công khai trên trang web này trong các sản phẩm thương mại, dịch vụ thương mại hoặc cho bất kỳ mục đích kinh doanh nào. Trong cùng một cách, không nên sử dụng dịch vụ nào thay thế cho các sản phẩm bảo mật . "

Nói cách khác, một sản phẩm chỉ sử dụng kết quả của VirusTotal mà không xác minh độc lập rằng tệp đó là độc hại sẽ vi phạm các điều khoản dịch vụ. Và thực sự, một thử nghiệm gây tranh cãi của Kaspersky Lab vài năm trước cho thấy rằng việc sử dụng phát hiện một cách mù quáng từ trang web là một ý tưởng tồi.

Đào với WireShark

Theo Malware1, trước tiên Tiranium kiểm tra tệp nghi ngờ bằng ứng dụng khách được cài đặt cục bộ. Nếu không có kết quả trùng khớp, nó sẽ kiểm tra hàm băm của tệp trên VirusTotal. Chỉ khi nó không nhận được kết quả nào từ VirusTotal thì nó mới gọi trình quét đám mây hành vi của chính nó.

Để bắt đầu điều tra, tôi đã tạo các phiên bản sửa đổi hoàn toàn mới của bộ sưu tập phần mềm độc hại hiện tại của mình, thay đổi tên tệp, thay đổi kích thước tệp và điều chỉnh một số byte không thể thực thi. Tôi đã kiểm tra hàm băm của mỗi tệp chống lại VirusTotal, để chắc chắn tất cả đều vắng mặt trong cơ sở dữ liệu.

Với tiện ích theo dõi lưu lượng truy cập mạng WireShark đang chạy, tôi đã khởi chạy quét Tiranium của thư mục chứa các tệp này. Kỳ lạ thay, quá trình quét diễn ra trong nhiều giờ nhưng không bao giờ kết thúc và số lượng tệp được quét không bao giờ thay đổi so với số không ban đầu. Sau đó tôi đã biết rằng điều này là do máy chủ đám mây hành vi đã ngừng hoạt động trong vài giờ.

Thật vậy, lướt qua nhật ký WireShark tôi có thể thấy rằng Tiranium đã thử lặp đi lặp lại để tải các tệp lên đám mây hành vi, mỗi lần thử kết thúc bằng một lỗi. Những gì tôi không tìm thấy là bất kỳ bằng chứng nào về kết nối trực tiếp với VirusTotal hoặc với bất kỳ dịch vụ nào khác được cho là đã được sử dụng trong quá khứ.

Bằng chứng tuần hoàn

Tôi đã chuyển một số tệp thử nghiệm của mình sang một thư mục khác và gửi chúng đến VirusTotal để kiểm tra. Trong mọi trường hợp, phần lớn các công cụ chống vi-rút phát hiện ra chúng là độc hại; một số được công nhận gần như nhất trí là phần mềm độc hại.

Ngay khi tất cả các tệp được VirusTotal xử lý, tôi lập tức quét thư mục bằng Tiranium. Lần này nó nhận ra những tập tin đó là phần mềm độc hại ngay lập tức. Khi tôi quét các tệp còn lại, những tệp tôi chưa tải lên, quá trình quét bị kẹt, như trước đây. Mặc dù vẫn không có kết nối trực tiếp từ máy tính của tôi đến VirusTotal, nhưng có vẻ như tôi đã thiết lập một chuỗi quan hệ nhân quả rõ ràng.

Có lẽ không sao?

Tôi đã liên hệ với các kết nối của mình trong ngành công nghiệp chống vi-rút để xem họ nghĩ gì. Một nhà nghiên cứu đã chỉ ra rằng các công ty chống vi-rút có thể hợp đồng với VirusTotal để tự động nhận bất kỳ mẫu nào mà người khác phát hiện nhưng sản phẩm của họ bị bỏ lỡ. Tuy nhiên, điều đó dường như không mô tả tình huống mà tôi quan sát được.

Quan trọng hơn, liên hệ Tiranium của tôi đã xác nhận việc sử dụng VirusTotal. "VirusTotal có các điều khoản sử dụng cụ thể", ông nói. "Họ đang gửi mẫu cho các công ty. Tiranium là một trong những công ty phân tích điều đó, giống như tất cả những người khác." Ông tiếp tục lưu ý rằng thời gian để phân tích các mẫu mới có thể thay đổi. "Đôi khi điều này sẽ mất hàng giờ, đôi khi vài phút, đôi khi vài ngày, " ông nói.

Hoặc có thể không

Trang tín dụng VirusTotal liệt kê tất cả các nhà cung cấp đã "tích hợp một sản phẩm, công cụ hoặc tài nguyên trong VirusTotal hoặc đã đóng góp bằng cách nào đó". Các nhà cung cấp này đã ký một thỏa thuận bao gồm một tập hợp các thực tiễn tốt nhất. Tiranium không nằm trong số các công ty được liệt kê. Nó không nhận được các mẫu từ VirusTotal, vì vậy việc sử dụng nó không "giống như tất cả các mẫu khác".

Tôi đã xác định sự hài lòng của riêng mình rằng các email được cung cấp bởi Malware1 nói với Tiranium ngừng lạm dụng VirusTotal là có thật. Tôi đã thấy bằng chứng rằng tại một thời điểm, ứng dụng tự kết nối trực tiếp với VirusTotal để lấy thông tin, đây chắc chắn là lạm dụng. Nhưng liệu hiện tại của nó có đánh cắp công việc của các nhà cung cấp khác, như Malware1 dự định không? Tôi không thể nói dứt khoát, nhưng niềm tin của tôi chắc chắn bị lung lay.

Có khả năng không mong muốn?

Rõ ràng tôi không cô đơn. Trong một cuộc thảo luận trên diễn đàn Wilders Security được đánh giá cao, một số thành viên bày tỏ lo ngại về sản phẩm. Trên thực tế, tại thời điểm thảo luận này khoảng tám tháng trước, một số sản phẩm chống vi-rút nổi tiếng đã phát hiện Tiranium là một "ứng dụng không mong muốn" cần được gỡ bỏ.

Ngay cả bây giờ, Kaspersky phát hiện một trong hai tệp chính của Tiranium là phần mềm độc hại và ESET phát hiện cả hai. Fortinet xác định trang web của Tiranium là độc hại, cũng như dịch vụ BrightCloud của Webroot.

Hành vi mờ ám

Tôi đã chỉ ra phát hiện này cho người liên hệ với Kaspersky của tôi và hỏi liệu anh ta có thể giải thích tại sao Tiranium bị gắn cờ là phần mềm độc hại hay không. Anh ta lao vào câu hỏi với nhiều kỹ năng hơn tôi có thể tập hợp được, và nghĩ ra rất nhiều. "Họ đang sử dụng hơn năm obfuscators khác nhau để làm xáo trộn mã của họ và không có chữ ký điện tử", ông nói "Điều đó hơi điên rồ và có vẻ xa vời." Không có súng hút thuốc ở đây, nhưng những hành vi này và các hành vi giống như phần mềm độc hại khác là đủ để sản phẩm được gắn cờ. Ông cũng tìm thấy lưu lượng truy cập từ máy chủ tham chiếu VT (VirusTotal), Anubis và VirScan, gợi ý một số loại phụ thuộc vào nguồn của bên thứ ba.

Mọi người trong BrightCloud không thể xác định chính xác lý do trang web của Tiranium bị gắn cờ là rủi ro. Tuy nhiên, họ chỉ ra rằng địa chỉ IP của Tiranium được chia sẻ với khá nhiều trang web lừa đảo. Trang duyệt web an toàn của Google cho tên miền olympe.in được Tiranium sử dụng đã có một số tin đáng báo động: "Trong số 1341 trang chúng tôi đã kiểm tra trên trang web trong 90 ngày qua, 13 trang đã dẫn đến việc phần mềm độc hại được tải xuống và cài đặt mà không có sự đồng ý của người dùng . "

Tôi đã nói trong bài đánh giá của mình rằng Tiranium là một nỗ lực đầu tiên tốt, nhưng chưa sẵn sàng để thách thức một số sản phẩm chống vi-rút Lựa chọn của ban biên tập. Bây giờ tôi cảm thấy rằng công ty cần phải cải thiện sản phẩm và lấy lại niềm tin của tôi với tính chuyên nghiệp và minh bạch. Khắc phục lỗi chính tả và ngữ pháp, bỏ phần mã hóa, ký điện tử các tệp thực thi và đảm bảo rằng nó tích hợp với Trung tâm hành động của Windows. Tránh sử dụng các sản phẩm của bên thứ ba không hoàn toàn minh bạch. Lưu trữ web riêng biệt từ các máy chủ lưu trữ phần mềm độc hại. Hiện tại, tôi khuyên bạn nên gắn bó với các sản phẩm chống vi-rút Lựa chọn của ban biên tập.