Video: Тестирование Avast Premium Security 20.9.2437 (Desember 2024)
Tak lama setelah menerbitkan ulasan saya tentang Tiranium Premium Security 2014, saya mendapat pesan dari seorang peneliti menggunakan pegangan Malware1. Dia mengklaim bahwa Tiranium menyalahgunakan berbagai situs web pengecekan malware untuk meningkatkan tingkat deteksi. Catatannya termasuk tautan ke video yang menunjukkan versi lama dari perangkat lunak yang terhubung ke VirusTotal, khususnya (meskipun ia mengakui tidak ada lagi koneksi langsung). Dia juga menyediakan apa yang dia katakan adalah sejumlah email dari VirusTotal ke Tiranium menuntut mereka berhenti menyalahgunakan layanan.
Saya memeriksa dengan VirusTotal, tetapi kontak saya menolak berkomentar untuk publikasi. Saya harus menentukan sendiri apakah ini benar, dan apakah itu merupakan masalah jika demikian.
Apa itu VirusTotal
Bagi mereka yang tidak terbiasa dengan itu, muka publik VirusTotal adalah situs web tempat Anda dapat mengunggah file untuk melihat apakah itu berbahaya. Situs ini pertama kali menghasilkan hash untuk file tersebut - sidik jari matematika yang unik. Jika hash sudah ada di database-nya (dan sebagian besar) hash mengembalikan hasil yang disimpan. Jika tidak, ia memeriksa file dengan sekitar 50 mesin antivirus utama, melaporkan yang menandai file tersebut sebagai berbahaya. Google mengakuisisi VirusTotal sekitar dua tahun lalu.
Layanan ini lebih dari sekadar memeriksa file. Menurut situs webnya, "Misi VirusTotal adalah membantu meningkatkan industri antivirus dan keamanan dan menjadikan internet tempat yang lebih aman melalui pengembangan alat dan layanan gratis." Halaman yang sama menyatakan bahwa "Tidak satu pun dari layanan atau aplikasi yang ditawarkan secara publik di situs ini harus digunakan dalam produk komersial, layanan komersial atau untuk tujuan bisnis apa pun. Dengan cara yang sama, tidak ada layanan yang dapat digunakan sebagai pengganti produk keamanan."
Dengan kata lain, produk yang hanya menggunakan hasil VirusTotal tanpa memverifikasi secara independen bahwa file tersebut berbahaya akan melanggar persyaratan layanan. Dan memang, tes kontroversial oleh Kaspersky Lab beberapa tahun lalu menunjukkan bahwa menggunakan deteksi buta dari situs web adalah ide yang buruk.
Menggali Dengan WireShark
Menurut Malware1, Tiranium pertama-tama memeriksa file yang dicurigai menggunakan klien yang dipasang secara lokal. Jika tidak ada yang cocok, ia memeriksa hash file di VirusTotal. Hanya jika tidak mendapat hasil dari VirusTotal barulah ia mengaktifkan pemindai cloud perilakunya sendiri.
Untuk memulai penyelidikan, saya membuat versi baru yang dimodifikasi dari koleksi malware saya saat ini, mengubah nama file, mengubah ukuran file, dan mengutak-atik beberapa byte yang tidak dapat dieksekusi. Saya memeriksa hash dari setiap file terhadap VirusTotal, untuk memastikan semua tidak ada di database.
Dengan utilitas penelusuran lalu lintas jaringan WireShark berjalan, saya meluncurkan pemindaian Tiranium pada folder yang berisi file-file ini. Anehnya, pemindaian berjalan berjam-jam tetapi tidak pernah selesai, dan jumlah file yang dipindai tidak pernah berubah dari nol awalnya. Saya mengetahui kemudian bahwa ini karena server cloud perilaku turun selama beberapa jam.
Memang, membaca log WireShark saya bisa melihat bahwa Tiranium mencoba lagi dan lagi untuk mengunggah file ke cloud behavioral, setiap upaya berakhir dengan kesalahan. Apa yang saya tidak temukan adalah bukti koneksi langsung ke VirusTotal, atau ke layanan lain yang diduga telah digunakan di masa lalu.
Bukti tidak langsung
Saya memindahkan beberapa file pengujian saya ke folder lain dan mengirimkannya ke VirusTotal untuk diperiksa. Dalam setiap kasus, sebagian besar mesin antivirus mendeteksi mereka sebagai perangkat jahat; beberapa mendapat pengakuan hampir bulat sebagai malware.
Segera setelah semua file diproses oleh VirusTotal, saya segera memindai folder dengan Tiranium. Kali ini mengenali file-file itu sebagai malware segera. Ketika saya memindai file yang tersisa, yang belum saya unggah, pemindaian macet, seperti sebelumnya. Meskipun masih belum ada koneksi langsung dari komputer saya ke VirusTotal, tampaknya saya telah membangun rantai sebab akibat yang jelas.
Mungkin tidak apa-apa?
Saya menjangkau koneksi saya di industri antivirus untuk melihat apa yang mereka pikirkan. Seorang peneliti menunjukkan bahwa perusahaan antivirus dapat membuat kontrak dengan VirusTotal untuk secara otomatis menerima sampel yang terdeteksi oleh orang lain tetapi produk mereka terlewatkan. Namun, itu sepertinya tidak menggambarkan situasi yang saya amati.
Lebih penting lagi, kontak Tiranium saya mengonfirmasi penggunaan VirusTotal. "VirusTotal memiliki ketentuan penggunaan khusus, " katanya. "Mereka mengirim sampel ke perusahaan. Tiranium adalah salah satu perusahaan yang menganalisa itu, seperti yang lainnya." Dia kemudian mencatat bahwa waktu untuk menganalisis sampel baru dapat bervariasi. "Kadang-kadang ini akan memakan waktu berjam-jam, kadang-kadang beberapa menit, beberapa hari, " katanya.
Atau mungkin tidak
Halaman kredit VirusTotal mencantumkan semua vendor yang telah "mengintegrasikan produk, alat, atau sumber daya dalam VirusTotal, atau telah berkontribusi entah bagaimana." Vendor ini telah menandatangani perjanjian yang mencakup serangkaian praktik terbaik. Tiranium tidak termasuk dalam daftar perusahaan. Itu tidak menerima sampel dari VirusTotal, jadi penggunaannya tidak "seperti yang lainnya."
Saya sudah bertekad untuk kepuasan saya sendiri bahwa email yang disediakan oleh Malware1 memberi tahu Tiranium untuk berhenti menyalahgunakan VirusTotal adalah nyata. Saya telah melihat bukti bahwa pada suatu waktu aplikasi itu sendiri terhubung langsung ke VirusTotal untuk informasi, yang jelas merupakan penyalahgunaan. Tetapi apakah inkarnasinya saat ini mencuri karya vendor lain, seperti yang diperdebatkan Malware1? Saya tidak bisa mengatakan dengan pasti, tetapi kepercayaan saya benar-benar terguncang.
Mungkin Tidak Diinginkan?
Ternyata saya tidak sendiri. Dalam sebuah diskusi di forum Wilders Security, beberapa anggota menyatakan keprihatinan tentang produk tersebut. Bahkan, pada saat diskusi ini sekitar delapan bulan lalu, sejumlah produk antivirus terkenal mendeteksi Tiranium sebagai "aplikasi yang mungkin tidak diinginkan" yang harus dihapus.
Bahkan sekarang, Kaspersky mendeteksi salah satu dari dua file utama Tiranium sebagai malware, dan ESET mendeteksi keduanya. Fortinet mengidentifikasi situs web Tiranium sebagai berbahaya, seperti halnya layanan BrightCloud Webroot.
Perilaku Shady
Saya menunjukkan deteksi ini ke kontak Kaspersky saya dan bertanya apakah dia bisa menjelaskan mengapa Tiranium ditandai sebagai malware. Dia menggali pertanyaan dengan keterampilan yang jauh lebih besar daripada yang bisa saya kumpulkan, dan muncul dengan banyak. "Mereka menggunakan lebih dari lima obfuscator berbeda untuk mengaburkan kode mereka dan tidak ada tanda tangan digital, " katanya, "Ini sedikit gila dan terlihat jauh dari legit." Tidak ada pistol merokok di sini, tetapi ini dan perilaku seperti malware lainnya cukup untuk membuat produk ditandai. Dia juga menemukan lalu lintas dari server yang merujuk VT (VirusTotal), Anubis, dan VirScan, menyarankan semacam ketergantungan pada sumber pihak ketiga.
Orang-orang BrightCloud tidak dapat menunjukkan alasan bahwa situs web Tiranium ditandai sebagai berisiko. Namun, mereka menunjukkan bahwa alamat IP Tiranium dibagikan dengan beberapa situs web phishing. Halaman penjelajahan aman Google untuk domain olympe.in yang digunakan oleh Tiranium memiliki berita yang mengkhawatirkan: "Dari 1.341 halaman yang kami uji di situs selama 90 hari terakhir, 13 halaman mengakibatkan perangkat lunak berbahaya diunduh dan diinstal tanpa persetujuan pengguna.."
Saya mengatakan dalam ulasan saya bahwa Tiranium adalah upaya pertama yang baik, tetapi tidak siap untuk menantang beberapa produk antivirus Pilihan Editor kami. Saya sekarang merasa bahwa perusahaan perlu meningkatkan produk dan mendapatkan kembali kepercayaan saya dengan profesionalisme dan transparansi. Perbaiki kesalahan ejaan dan tata bahasa, selau kebingungan, tandatangani secara digital file yang dapat dieksekusi, dan pastikan itu terintegrasi dengan Windows's Action Center. Menahan diri dari segala penggunaan produk pihak ketiga yang tidak sepenuhnya transparan. Pisahkan hosting Web dari server yang meng-host malware. Untuk saat ini, saya sarankan Anda tetap menggunakan produk antivirus Pilihan Editor kami.