Dlaczego moje oprogramowanie antywirusowe wykrywa dezinstalator XiaoU / LenovoService, oprogramowanie Lenovo, jako złośliwe oprogramowanie?


10

Niedawno kupiłem komputer Lenovo H50-55 z systemem Windows 10 Home x64. Odinstalowałem część oprogramowania Lenovo dostarczonego z komputerem, ale nie wszystkie.

Uruchomiłem pełne skanowanie komputera w poszukiwaniu złośliwego oprogramowania za pomocą programu Avast Free Antivirus, który wykrył C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(który jest plikiem Lenovo) jako złośliwy i powiedział mi, że to „Win32: Malware-gen”.

To skłoniło dalsze dochodzenie i tak wysłał plik do VirusTotal, których wyniki można zobaczyć tutaj (12 z 53 programów antywirusowych wykryto go jako złośliwy).

  • Dwa z programów antywirusowych na VirusTotal wykryty plik setup.exe jako „W32 / OnlineGames.HI.gen! Eldorado”, która według tej stronie Microsoft tutaj może ukraść kilka bardzo poważnych danych.
  • Jest to jednak ogólny artykuł dla rodziny złośliwego oprogramowania (chociaż ta strona firmy Microsoft jest bardziej szczegółowa i zawiera informacje o złośliwym oprogramowaniu o bardzo podobnej nazwie, które kradnie dane uwierzytelniające).

Przesłałem plik do Comodo Valkyrie, którego wyniki można zobaczyć tutaj . Usługa uznała to za złośliwe oprogramowanie. AKTUALIZACJA: Ręczna analiza pliku na Comodo Valkyrie uznała go za czysty.

Powiedziałem Avastowi, aby naprawił plik, ale obawiam się, że nadal może pozostać złośliwe oprogramowanie lub że dane mogły zostać już skradzione.

  • Czy to prawdziwe zagrożenie, czy nie?
  • Co mam teraz zrobić?

Zastanawiam się nad wyczyszczeniem całego komputera i ponowną instalacją systemu Windows 10, ale to nie pomoże, jeśli kradzież danych już miała miejsce.

Nie wiem, czy jest to powiązane, ale znalazłem zadanie w Harmonogramie zadań systemu Windows o nazwie „Lenovo Customer Feedback Program 64 35”, które wyłączyłem, ale wcześniej uruchamiałem exe o nazwie C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.execodziennie. Wydaje się, że w Internecie jest tylko trochę informacji o Programie opinii klientów. Uważam, że zadanie Customer Feedback jest oddzielne od potencjalnie złośliwego pliku. Exe opinie klientów uważane są za bezpieczne przez VirusTotal i Lenovo sami jeszcze artykułu o tym tutaj , który mówi, że wysyła dane nieosobowe.

Moje połączenie sieciowe wydaje się przerywać na krótki okres czasu. Nie wiem, czy jest to związany z tym problem.


1
Znalazłem program Lenovo Customer Feedback Program wspomniany w artykule i wydaje się, że jest to oprogramowanie do monitorowania / śledzenia Lenovo. Więcej o tym i jak go wyłączyć tutaj .
MC10,

1
Dzięki za informacje, @ MC10. Wyłączyłem już zadanie. Nie mam „Lenovo Experience Improvement” na liście Programy i funkcje, ale możliwe, że wcześniej go odinstalowałem. Mam komputer przez mniej niż 90 dni.
LJD200,

Przeczytaj to: lifehacker.com/5717628/… lifehacker.com/... Istnieją linki do niektórych narzędzi, które pomogą Ci pozbyć się crapware i bloatware.
Lionel Doolan,

Wygląda na to, że Avast ostatnio oszalał. Istnieją setki pytań na temat SO z ostatniego miesiąca, które całkowicie rujnują nieszkodliwe użycie Visual Studio w podobny sposób.
Wyścigi lekkości na orbicie

@LionelDoolan dzięki za artykuły; Spojrzę na to.
LJD200,

Odpowiedzi:


12

Jeśli klikniesz link „Analiza statyczna” pliku na stronie Comodo Valkyrie, zobaczysz, że jednym z powodów oflagowania pliku było „wykrycie tablicy funkcji wywołania zwrotnego TLS”. Może istnieć uzasadniony powód włączenia tego kodu do pliku wykonywalnego przesłanego do witryny, ale twórcy szkodliwego oprogramowania mogą wykorzystać kod wywołania zwrotnego TLS, aby udaremnić analizę swojego kodu przez badaczy antywirusowych poprzez usprawnienie procesu debugowania kodu trudny. Na przykład z Wykryj debuger z wywołaniem zwrotnym TLS :

Wywołanie zwrotne TLS to funkcja, która została wywołana przed wykonaniem punktu wejścia procesu. Jeśli uruchomisz plik wykonywalny za pomocą debugera, wywołanie zwrotne TLS zostanie wykonane przed przerwaniem debugera. Oznacza to, że możesz wykonać kontrole antydebugowania, zanim debugger zrobi cokolwiek. Dlatego wywołanie zwrotne TLS jest bardzo skuteczną techniką zapobiegającą debugowaniu.

Oddzwanianie TLS na wolności omawia przykład złośliwego oprogramowania wykorzystującego tę technikę.

Lenovo ma złą reputację w odniesieniu do oprogramowania, które dystrybuowało wraz ze swoimi systemami. Na przykład z artykułu Ars Technica z 15 lutego 2015 r. Komputery Lenovo są dostarczane z oprogramowaniem typu man-in-the-middle, które przerywa połączenia HTTPS :

Lenovo twierdzi, że Lenovo sprzedaje komputery z preinstalowanym oprogramowaniem reklamowym, które przejmuje zaszyfrowane sesje sieciowe i może narażać użytkowników na ataki typu man-in-the-HTTPS, które są trywialne dla atakujących.

Krytyczne zagrożenie występuje na komputerach Lenovo z zainstalowanym oprogramowaniem reklamowym firmy Superfish. Ponieważ wiele osób uważa, że ​​oprogramowanie wstrzykuje reklamy na strony internetowe, w pakiecie Superfish jest coś o wiele bardziej niecnego. Instaluje samopodpisany główny certyfikat HTTPS, który może przechwytywać zaszyfrowany ruch dla każdej witryny odwiedzanej przez użytkownika. Gdy użytkownik odwiedza witrynę HTTPS, certyfikat witryny jest podpisywany i kontrolowany przez Superfish i fałszywie przedstawia się jako oficjalny certyfikat witryny.

Atak typu man-in-the-middle pokonuje ochronę, którą w innym przypadku miałbyś, odwiedzając witrynę przy użyciu HTTPS zamiast HTTP, umożliwiając oprogramowaniu szpiegowanie całego ruchu internetowego, nawet ruchu między użytkownikiem a instytucjami finansowymi, takimi jak banki.

Kiedy naukowcy znaleźli oprogramowanie Superfish na komputerach Lenovo, Lenovo początkowo stwierdził: „Dokładnie zbadaliśmy tę technologię i nie znaleźliśmy żadnych dowodów uzasadniających obawy dotyczące bezpieczeństwa”. Ale firma musiała wycofać to oświadczenie, gdy badacze bezpieczeństwa ujawnili, w jaki sposób oprogramowanie Superfish otworzyło systemy Lenovo na kompromis ze strony złych czynników.

W odpowiedzi na tę klęskę dyrektor techniczny Lenovo (CTO) Peter Hortensius stwierdził następnie: „Mogę dziś powiedzieć o tym, że badamy szeroki zakres opcji, w tym: stworzenie czystszego obrazu komputera (system operacyjny i oprogramowanie, które jest na twoim urządzeniu od razu po wyjęciu z pudełka) ... ”Być może ta opcja została odrzucona. Np. Zobacz artykuł z września 2015 r. Lenovo Caught Red-handed (3. raz): wstępnie zainstalowane oprogramowanie szpiegujące znalezione w laptopach Lenovo przez Swati Khandelwal, analityka ds. Bezpieczeństwa w The Hacker News , omawiające oprogramowanie „Lenovo Customer Feedback Program 64”, które znalazłeś na Twój system.

Aktualizacja :

W odniesieniu do dozwolonych zastosowań wywołań zwrotnych lokalnego magazynu wątków (TLS), w lokalnym wątku Wikipedii znajduje się dyskusja TLSartykuł. Nie wiem, jak często programiści używają go do legalnych zastosowań. Znalazłem tylko jedną osobę, która wspomniała o jego legalnym wykorzystaniu do tej zdolności; wszystkie inne odniesienia do niego, które znalazłem, dotyczyły jego użycia przez złośliwe oprogramowanie. Ale może to być po prostu spowodowane faktem, że pisanie o złośliwym oprogramowaniu jest bardziej prawdopodobne niż programiści piszący o ich legalnym użyciu. Nie sądzę, aby samo korzystanie z niego było rozstrzygającym dowodem na to, że Lenovo próbuje ukryć funkcje oprogramowania, które użytkownicy mogliby uznać za alarmujący, gdyby wiedzieli o wszystkim, co zrobiło oprogramowanie. Biorąc jednak pod uwagę znane praktyki Lenovo, nie tylko w przypadku Superfish, ale także dzięki wykorzystaniu tabeli binarnej platformy Windows (WPBT) dla „silnika systemowego Lenovo” Lenovo użył funkcji antykradzieżowej systemu Windows do zainstalowania trwałego crapware , myślę, że istnieje powód, aby być nieco ostrożnym i znacznie mniej prawdopodobne jest, aby dać Lenovo wątpliwości, niż w przypadku innych firm.

Niestety istnieje wiele firm, które próbują zarabiać więcej na swoich klientach, sprzedając informacje o klientach lub „dostęp” do swoich klientów innym „partnerom”. Czasami odbywa się to za pomocą oprogramowania reklamowego, co niekoniecznie oznacza, że ​​firma udostępnia dane osobowe tym „partnerom”. Czasami firma może chcieć zbierać informacje o zachowaniu swoich klientów, aby zapewnić więcej informacji dla marketerów na temat rodzaju klienta, który firma prawdopodobnie przyciągnie, zamiast informacji identyfikujących osobę.

Jeśli prześlę plik do VirusTotal i znajdę tylko jeden lub dwa spośród wielu programów antywirusowych, których używa do skanowania przesłanych plików oznaczających plik jako zawierający złośliwe oprogramowanie, często uważam je za fałszywie pozytywne raporty, jeśli kod istnieje już od dłuższego czasu jakiś czas, np. jeśli VirusTotal zgłosi wcześniej skanowany plik rok temu, a poza tym nie mam powodu, aby nie ufać twórcy oprogramowania, a wręcz przeciwnie, jakiś powód, aby zaufać twórcy, np. z powodu długiej dobrej reputacji. Ale Lenovo już pogorszyło swoją reputację, a 12 z 53 programów antywirusowych oznaczających przesłany plik to około 23%, co uważam za niepokojąco wysoki odsetek.

Chociaż większość producentów oprogramowania antywirusowego zazwyczaj nie udostępnia żadnych, jeśli w ogóle, konkretnych informacji na temat tego, co prowadzi do oznaczenia pliku jako określonego rodzaju złośliwego oprogramowania i co dokładnie oznacza opis danego złośliwego oprogramowania pod względem jego działania, często trudno jest dokładnie ustalić, co dokładnie musisz się martwić, gdy zobaczysz konkretny opis. W takim przypadku może się zdarzyć, że większość z nich widzi wywołanie zwrotne TLS i tylko na tej podstawie oflaguje plik. Tzn. Możliwe jest, że wszystkie 12 osób składa fałszywie pozytywne twierdzenie na tej samej błędnej podstawie. Czasami różne produkty mają te same podpisy w celu identyfikacji złośliwego oprogramowania, a podpis ten może również występować w legalnym programie.

Jeśli chodzi o wynik „W32 / OnlineGames.HI.gen! Eldorado” zgłoszony przez kilka programów na VirusTotal o nazwie podobnej do PWS: Win32 / OnLineGames.gen! Bbez szczegółowych informacji na temat tego, co doprowadziło do wniosku, że plik jest powiązany z W32 / OnlineGames.HI.gen! Eldorado i jakie zachowanie jest związane z W32 / OnlineGames.HI.gen! Eldorado, tj. jakich kluczy rejestru i plików należy się spodziewać aby znaleźć i jak zachowuje się oprogramowanie z tym konkretnym opisem, nie doszłbym do wniosku, że oprogramowanie kradnie dane uwierzytelniające do gry. Bez innych dowodów uważam, że jest to mało prawdopodobne. Niestety, wiele opisów złośliwego oprogramowania, które zobaczysz, to po prostu podobnie nazwane opisy ogólne, które mają niewielką wartość w określaniu, jak bardzo powinieneś się martwić, widząc ten opis dołączony do pliku. „W32” jest często dołączany na początku wielu nazw przez niektórych producentów programów antywirusowych. Fakt, że dzielą się tym oraz „OnlineGames” i „gen” dla „generic”

Usunąłem oprogramowanie, ponieważ oceniłbym, że korzysta z zasobów systemowych bez korzyści dla mnie, a jeśli grasz w gry online, możesz zresetować hasła jako środek ostrożności, chociaż wątpię, aby oprogramowanie Lenovo skradło dane uwierzytelniające do gier online lub rejestruje naciśnięcia klawiszy. Lenovo nie ma znakomitej reputacji oprogramowania, które zawierają w swoich systemach, ale nie widziałem żadnych doniesień, że dystrybuowali jakiekolwiek oprogramowanie, które działałoby w taki sposób. Okresowa utrata łączności sieciowej może być nawet poza komputerem. Na przykład, jeśli inne systemy w tej samej lokalizacji również okresowo tracą łączność, sądzę, że jest bardziej prawdopodobne, że problem dotyczy routera.


Dzięki za odpowiedź. Więc myślisz, że to może być złośliwe, a jeśli tak, to co myślisz? Kiedy można oczekiwać, że nieszkodliwa aplikacja będzie korzystać z TLS? Rozumiem, że Lenovo miał kilka incydentów dotyczących wstępnie zainstalowanego oprogramowania, ale czy uważasz, że zainstalowaliby złośliwe oprogramowanie, szczególnie potencjalnie keylogger, jak wspomniano w pierwotnym poście? Z jednej strony ten plik wydaje się podejrzany, podejmując kroki, aby pozornie ukryć swój kod.
LJD200,

Z drugiej strony, pochodzi od znanego producenta komputerów PC (chyba że plik został przechwycony przez inny program?) I wydaje się być oznaczony jako złośliwy przez dość niewielką liczbę programów antywirusowych na VirusTotal.
LJD200,

Rootkit Sony również pochodzi od znanego producenta.
Alan Shutko

@ LJD200, zaktualizowałem swój post na podstawie twoich pytań.
punkt księżycowy

@moonpoint Bardzo dziękuję za odpowiedź. To doskonała odpowiedź i oznaczyłem ją jako zaakceptowaną. Ponownie zainstaluję system Windows, aby zachować bezpieczeństwo, ale myślę, że ryzyko kradzieży poważnych danych jest niewielkie. Podejrzany znacznik czasu wykryty również przez Valkyrie, jak sądzę, jest spowodowany wyodrębnieniem pliku ze skrzyni wirusów Avast, co zmienia znacznik czasu. Ten incydent wraz z wieloma innymi, które miały miejsce w przeszłości, zrujnował mój pogląd na Lenovo i nie będę korzystać z ich oprogramowania w przyszłości, ale cieszę się, że ten incydent nie przyszedł do niczego poważnego.
LJD200,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.