هل تثق بمكافحة الفيروسات الخاصة بك؟

بعد وقت قصير من نشر تقييمي لـ Tiranium Premium Security 2014 ، تلقيت رسالة من باحث يستخدم المؤشر Malware1. وادعى أن Tiranium أساء استخدام مواقع الويب المختلفة للتحقق من البرامج الضارة لتعزيز معدل اكتشافها. تضمنت ملاحظته روابط لمقاطع فيديو تعرض إصدارًا أقدم من البرنامج المتصل بـ VirusTotal ، على وجه الخصوص (على الرغم من أنه اعترف بأنه لم يعد هناك اتصال مباشر). كما قدم ما قاله عددًا من رسائل البريد الإلكتروني من VirusTotal إلى Tiranium يطالبه فيها بالكف عن إساءة استخدام الخدمة.

لقد راجعت مع VirusTotal ، لكن جهة الاتصال الخاصة بي رفض التعليق للنشر. كان علي أن أحدد بنفسي ما إذا كان هذا صحيحًا ، وما إذا كان يمثل مشكلة إذا كان الأمر كذلك.

ما هو VirotTotal

بالنسبة لأولئك الذين ليسوا على دراية به ، يعد الوجه العام لـ VirusTotal عبارة عن موقع ويب حيث يمكنك تحميل ملف لمعرفة ما إذا كان ضارًا أم لا. يولد الموقع أولاً تجزئة للملف - بصمة رياضية فريدة. إذا كانت التجزئة موجودة بالفعل في قاعدة البيانات الخاصة بها (ومعظمها) ، فتُرجع النتائج المخزنة. إذا لم يكن كذلك ، فإنه يتحقق الملف مع حوالي 50 من محركات مكافحة الفيروسات الرئيسية ، والإبلاغ الذي وضع علامة على الملف بأنه ضار. حصلت Google على VirusTotal منذ عامين تقريبًا.

الخدمة تتجاوز مجرد فحص الملفات. وفقًا لموقعه على الإنترنت ، "تتمثل مهمة VirusTotal في المساعدة في تحسين صناعة مكافحة الفيروسات والأمن وجعل الإنترنت مكانًا أكثر أمانًا من خلال تطوير الأدوات والخدمات المجانية." تنص نفس الصفحة على أنه "لا ينبغي استخدام أي من الخدمات أو التطبيقات المقدمة بشكل عام على هذا الموقع في المنتجات التجارية أو الخدمات التجارية أو لأي غرض تجاري. وبنفس الطريقة ، لا ينبغي استخدام أي من الخدمات كبديل للمنتجات الأمنية ".

بمعنى آخر ، فإن المنتج الذي يستخدم ببساطة نتائج VirusTotal دون التحقق بشكل مستقل من أن الملف ضار من شأنه أن ينتهك شروط الخدمة. وبالفعل ، أظهر اختبار مثير للجدل أجرته شركة Kaspersky Lab قبل عدة سنوات أن الاستخدام العمياء للكشف من موقع الويب يعد فكرة سيئة.

حفر مع WireShark

وفقًا لبرنامج Malware1 ، يتحقق Tiranium أولاً من ملف مشتبه به باستخدام عميله المثبت محليًا. إذا لم يكن هناك تطابق ، فإنه يتحقق تجزئة الملف على VirusTotal. فقط إذا لم تحصل على أي نتائج من VirusTotal ، فإنها تستدعي الماسح الضوئي السحابي السلوكي الخاص بها.

لبدء التحقيق ، قمت بإنشاء إصدارات معدلة جديدة تمامًا من مجموعة البرامج الضارة الحالية ، وتغيير أسماء الملفات ، وتغيير حجم الملف ، وتعديل بعض وحدات البايت غير القابلة للتنفيذ. راجعت تجزئة كل ملف ضد VirusTotal ، للتأكد من أن جميعهم كانوا غائبين عن قاعدة البيانات.

مع تشغيل أداة تتبع حركة مرور شبكة WireShark ، قمت بإجراء فحص Tiranium للمجلد الذي يحتوي على هذه الملفات. الغريب أن المسح استمر لمدة ساعات ولم يكتمل ، ولم يتغير عدد الملفات الممسوحة ضوئيًا عن الصفر الأولي. تعلمت لاحقًا أن ذلك يرجع إلى توقف خادم السحابة السلوكية لعدة ساعات.

في الواقع ، من خلال الاطلاع على سجل WireShark ، يمكن أن أرى أن Tiranium حاول مرارًا وتكرارًا تحميل الملفات إلى السحابة السلوكية ، وكل محاولة تنتهي بخطأ ما. ما لم أجده هو أي دليل على وجود صلة مباشرة بـ VirusTotal ، أو بأي من الخدمات الأخرى التي زُعم أنها استخدمت في الماضي.

أدلة ظرفية

لقد قمت بنقل بعض ملفات الاختبار الخاصة بي إلى مجلد آخر وقدمتها إلى VirusTotal للتحقق منها. في كل حالة ، اكتشفت غالبية محركات مكافحة الفيروسات أنها ضارة ؛ حصلت بعض الاعتراف شبه بالإجماع كما البرمجيات الخبيثة.

بمجرد أن تتم معالجة جميع الملفات بواسطة VirusTotal ، قمت على الفور بمسح المجلد باستخدام Tiranium. هذه المرة تعرفت على تلك الملفات على أنها برامج ضارة على الفور. عندما قمت بمسح الملفات المتبقية ، الملفات التي لم أحملها ، تمسك المسح ، كما كان من قبل. على الرغم من عدم وجود اتصال مباشر من جهاز الكمبيوتر الخاص بي بـ VirusTotal ، يبدو أنني قد أنشأت سلسلة واضحة من السببية.

ربما كل شيء على مايرام؟

وصلت إلى صلاتي في صناعة مكافحة الفيروسات لأرى ما اعتقدوا. أشار أحد الباحثين إلى أن شركات مكافحة الفيروسات يمكن أن تتعاقد مع VirusTotal لتلقي أي عينة يكتشفها آخرون تلقائيًا ولكن المنتج الخاص بهم قد فات. ومع ذلك ، لا يبدو أن هذا يصف الموقف الذي لاحظته.

الأهم من ذلك ، أكدت جهة اتصال Tiranium استخدام VirusTotal. "VirusTotal له شروط استخدام محددة ،" قال. "إنهم يرسلون عينات إلى الشركات. إن Tiranium هي واحدة من الشركات التي تقوم بتحليل ذلك ، مثل كل الشركات الأخرى." وتابع أن الوقت لتحليل عينات جديدة يمكن أن تختلف. وقال "في بعض الاحيان سيستغرق ذلك ساعات أو دقائق ما أو أيام ما."

أو ربما لا

تسرد صفحة ائتمانات VirusTotal جميع البائعين الذين "قاموا بدمج منتج أو أداة أو مورد في VirusTotal ، أو ساهموا بطريقة ما." قام هؤلاء البائعون بتوقيع اتفاقية تتضمن مجموعة من أفضل الممارسات. Tiranium ليس من بين الشركات المدرجة. إنه لا يتلقى عينات من VirusTotal ، لذا فإن استخدامه "ليس مثل الآخرين".

لقد عقدت العزم على ارتياحي الخاص لأن رسائل البريد الإلكتروني التي توفرها Malware1 والتي تطلب من Tiranium التوقف عن إساءة استخدام VirusTotal حقيقية. لقد رأيت دليلًا على أن التطبيق نفسه مرتبط مباشرة بـ VirusTotal للحصول على المعلومات ، وهو بالتأكيد إساءة استخدام. ولكن هل يسرع تجسدها الحالي عمل البائعين الآخرين ، كما يؤكد برنامج Malware1؟ لا أستطيع أن أقول بشكل قاطع ، ولكن ثقتي تهتز بالتأكيد.

غير المرغوب فيها المحتملة؟

يبدو أنني لست وحدي. في مناقشة حول منتدى Wilders Security المحترم ، أعرب العديد من الأعضاء عن قلقهم بشأن المنتج. في الواقع ، في وقت هذه المناقشة منذ حوالي ثمانية أشهر ، اكتشف عدد من منتجات مكافحة الفيروسات المعروفة Tiranium بأنه "تطبيق غير مرغوب فيه" يجب إزالته.

حتى الآن ، يكتشف Kaspersky أحد الملفين الرئيسيين لـ Tiranium كبرنامج ضار ، وتقوم ESET بالكشف عن كليهما. تحدد Fortinet موقع Tiranium على أنه خبيث ، وكذلك خدمة WebCroet BrightCloud.

سلوكيات شادي

أشرت إلى هذا الكشف إلى جهة اتصال Kaspersky الخاصة بي وسألته عما إذا كان يمكنه توضيح سبب وضع علامة على Tiranium على أنه برامج ضارة. لقد حفرت في السؤال بمهارة أكبر بكثير مما استطعت حشده ، وخرج بالكثير. وقال "إنهم يستخدمون أكثر من خمسة أجهزة تشويش مختلفة للتشويش على الكود ولا يوجد أي توقيع رقمي. إنه مجنون إلى حد ما ولا يبدو بعيدًا عن الشرعي". لا يوجد بندقية تدخين هنا ، ولكن هذه السلوكيات وغيرها من البرامج الضارة التي تشبه البرامج الضارة كانت كافية للحصول على المنتج. وجد أيضًا حركة المرور من الخادم الذي يشير إلى VT (VirusTotal) و Anubis و VirScan ، مما يشير إلى وجود نوع من الاعتماد على مصادر الطرف الثالث.

لم يتمكن الأشخاص من BrightCloud من تحديد السبب الذي جعل موقع الويب الخاص بـ Tiranium محفوفًا بالمخاطر. ومع ذلك ، أشاروا إلى أن عنوان IP الخاص ب Tiranium يتم مشاركته مع عدد لا بأس به من مواقع الخداع. كان لدى صفحة التصفح الآمن من Google لنطاق olympe.in التي يستخدمها Tiranium بعض الأخبار المثيرة للقلق: "من بين 1341 صفحة اختبرناها على الموقع على مدار التسعين يومًا الماضية ، أسفرت 13 صفحة (صفحات) عن تنزيل برامج ضارة وتثبيتها دون موافقة المستخدم ".

لقد قلت في تقييمي أن Tiranium هو جهد أول جيد ، ولكن ليس جاهزًا لتحدي العديد من منتجات برامج مكافحة الفيروسات الخاصة بمحررينا. أشعر الآن أن الشركة تحتاج إلى تحسين المنتج واستعادة ثقتي بكل احترافية وشفافية. إصلاح الأخطاء الإملائية والنحوية ، والتخلي عن التعتيم ، والتوقيع رقمياً على الملفات القابلة للتنفيذ ، والتأكد من تكاملها مع مركز عمل Windows. الامتناع عن أي استخدام لمنتجات الطرف الثالث التي ليست شفافة تماما. افصل استضافة الويب عن الخوادم التي تستضيف برامج ضارة. في الوقت الحالي ، أوصي بأن تلتزم بمنتجات مكافحة الفيروسات الخاصة بمحرري Editors 'Choice.