Если щелкнуть ссылку «Статический анализ» для файла на странице Comodo Valkyrie, вы увидите, что одной из причин пометки файла была причина «Обнаружен массив функций обратного вызова TLS». Возможно, существует законная причина для включения этого кода в исполняемый файл, загруженный вами на сайт, но разработчики вредоносных программ могут использовать код обратного вызова TLS, чтобы помешать анализу кода антивирусными исследователями, сделав процесс отладки более понятным. сложно. Например, от
Отладчика обнаружения с обратным вызовом TLS :
Обратный вызов TLS - это функция, которая вызывается перед выполнением точки входа в процесс. Если вы запустите исполняемый файл с отладчиком, обратный вызов TLS будет выполнен до того, как отладчик прервется. Это означает, что вы можете выполнить анти-отладочные проверки, прежде чем отладчик сможет что-либо сделать. Таким образом, обратный вызов TLS является очень мощной анти-отладочной техникой.
TLS Callbacks в Wild обсуждает пример вредоносного ПО, использующего эту технику.
У Lenovo плохая репутация в отношении программного обеспечения, которое она распространяла со своими системами. Например, из статьи Ars Technica от 15 февраля 2015 года ПК Lenovo поставляются с рекламным ПО типа «человек посередине», которое разрывает HTTPS-соединения :
По словам исследователей, Lenovo продает компьютеры с предустановленным рекламным ПО, которое захватывает зашифрованные веб-сеансы и может сделать пользователей уязвимыми для HTTPS-атак типа «человек посередине», которые для злоумышленников тривиальны.
Критическая угроза присутствует на компьютерах Lenovo, на которых установлено рекламное ПО от компании Superfish. Несмотря на то, что многие люди находят программное обеспечение, которое внедряет рекламу в веб-страницы, в пакете Superfish есть нечто гораздо более гнусное. Он устанавливает корневой сертификат HTTPS с собственной подписью, который может перехватывать зашифрованный трафик для каждого веб-сайта, который посещает пользователь. Когда пользователь посещает сайт HTTPS, сертификат сайта подписывается и контролируется Superfish и ложно выступает в качестве официального сертификата сайта.
Человек-в-середине атаки побеждает защиту, в противном случае пришлось бы, посетив сайт , используя HTTPS , а не HTTP позволяет программное обеспечение , чтобы шпионить на всех веб - трафика даже трафик между пользователем и финансовых институтов , таких как банки.
Когда исследователи обнаружили программное обеспечение Superfish на компьютерах Lenovo, Lenovo первоначально заявила, что «мы тщательно исследовали эту технологию и не нашли никаких доказательств в обоснование проблем безопасности». Но компании пришлось отказаться от этого заявления, когда исследователи в области безопасности показали, как программное обеспечение Superfish делает системы Lenovo открытыми для компрометации со стороны злоумышленников.
В ответ на этот провал главный технический директор Lenovo Питер Хортензиус (Peter Hortensius) заявил: «Сегодня я могу сказать об этом, что мы изучаем широкий спектр возможностей, в том числе: создание более чистого образа ПК (операционной системы и программное обеспечение, которое находится на вашем устройстве прямо из коробки) ... "Возможно, этот вариант был отменен. Например, см. Статью Lenovo за сентябрь 2015 года, пойманную с поличным (в третий раз): предустановленная шпионская программа, обнаруженная в ноутбуках Lenovo Swati Khandelwal, аналитиком по безопасности в The Hacker News , посвященная программному обеспечению Lenovo Customer Feedback Program 64, которое вы нашли на ваша система.
Обновление :
Что касается законного использования обратных вызовов потока локального хранилища (TLS), в локальном хранилище потока потоков Википедии обсуждается TLS.статья. Я не знаю, как часто программисты используют его для законного использования. Я нашел только одного человека, который упомянул его законное использование этой способности; все остальные ссылки на него, которые я обнаружил, касались его использования вредоносными программами. Но это может быть просто потому, что об использовании разработчиками вредоносного ПО пишут с большей вероятностью, чем программисты об их законном использовании. Я не думаю, что его использование само по себе является убедительным доказательством того, что Lenovo пытается скрыть функции в программном обеспечении, которые его пользователи, вероятно, сочтут тревожными, если будут знать все, что делает программное обеспечение. Но, учитывая известные практики Lenovo, не только с Superfish, но впоследствии с использованием двоичной таблицы платформы Windows (WPBT) для «Lenovo System Engine»
Lenovo использовала функцию Windows для защиты от кражи, чтобы установить постоянное программное обеспечение , я думаю, что есть основания для некоторой настороженности и гораздо меньше шансов дать Lenovo пользу от сомнений, чем для других компаний.
К сожалению, есть много компаний, которые пытаются заработать больше денег на своих клиентах, продавая информацию о клиентах или «доступ» к своим клиентам другим «партнерам». И иногда это делается с помощью рекламного ПО, что не обязательно означает, что компания предоставляет личную информацию для этих «партнеров». Иногда компания может захотеть собрать информацию о поведении своих клиентов просто для того, чтобы она могла предоставить маркетологам больше информации о типе клиента, которого компания может привлечь, а не информацию, идентифицирующую человека.
Если я загружаю файл в VirusTotal и нахожу только одну или две из множества антивирусных программ, которые он использует для сканирования загруженных файлов, помечая файл как содержащий вредоносное ПО, я часто расцениваю их как ложные положительные отчеты, если код, очевидно, существовал довольно долго. Некоторое время, например, если VirusTotal сообщает о том, что он ранее сканировал файл год назад, и у меня нет никаких оснований не доверять разработчику программного обеспечения и, наоборот, есть основания доверять разработчику, например, из-за давней хорошей репутации. Но Lenovo уже запятнала свою репутацию, и 12 из 53 антивирусных программ, помечающих загруженный вами файл, составляют около 23%, что, на мой взгляд, вызывает беспокойство.
Несмотря на то, что большинство поставщиков антивирусных программ обычно предоставляют мало, если таковые вообще имеются, конкретной информации о том, что приводит к тому, что файл помечается как определенный тип вредоносного ПО, и точно, что означает конкретное описание вредоносного ПО с точки зрения его работы, часто трудно точно определить, что именно вам нужно беспокоиться, когда вы видите конкретное описание. В этом случае может даже случиться так, что большинство из них увидят обратный вызов TLS и отметят файл только на этой основе. Т.е. возможно, что все 12 делают ложные положительные заявления на одной и той же ошибочной основе. И иногда разные продукты используют одни и те же подписи для идентификации вредоносных программ, и эта подпись также может встречаться в легальной программе.
Что касается результата "W32 / OnlineGames.HI.gen! Eldorado", о котором сообщили несколько программ на VirusTotal, имя которого похоже на
PWS: Win32 / OnLineGames.gen! Bбез конкретной информации о том, что привело к выводу, что файл связан с W32 / OnlineGames.HI.gen! Eldorado и какое поведение связано с W32 / OnlineGames.HI.gen! Eldorado, т. е. какие ключи реестра и файлы следует ожидать чтобы найти и как программное обеспечение с этим конкретным описанием ведет себя, я бы не пришел к выводу, что программное обеспечение крадет игровые учетные данные. Без каких-либо других доказательств я думаю, что это маловероятно. К сожалению, многие из описаний вредоносных программ, которые вы увидите, являются просто одноименными общими описаниями, которые не имеют большого значения для определения степени беспокойства при просмотре этого описания, прикрепленного к файлу. «W32» часто присоединяется к началу множества имен некоторыми поставщиками антивирусов. Тот факт, что они разделяют это и "OnlineGames" и "Gen" для "универсального"
Я бы удалил программное обеспечение, так как я бы посчитал, что оно использует системные ресурсы без какой-либо выгоды для меня, и, если вы играете в онлайн-игры, вы можете сбросить пароли в качестве меры предосторожности, хотя я сомневаюсь, что программное обеспечение Lenovo украло учетные данные онлайн-игр или делает запись нажатия клавиш. У Lenovo нет звездной репутации в отношении программного обеспечения, которое они включают в свои системы, но я не видел сообщений о том, что они распространяли какое-либо программное обеспечение, которое будет работать таким образом. И периодическая потеря сетевого подключения может даже быть за пределами вашего ПК. Например, если другие системы в том же месте также периодически испытывают потерю соединения, я думаю, что более вероятно, что проблема в маршрутизаторе.