Почему мое антивирусное программное обеспечение обнаруживает в качестве вредоносного ПО деинсталлятор XiaoU / LenovoService, программное обеспечение Lenovo?


10

Недавно я приобрел компьютер Lenovo H50-55 с Windows 10 Home x64. Я удалил часть программного обеспечения Lenovo, поставляемого с компьютером, но не все.

Я запустил полное сканирование компьютера на наличие вредоносных программ, используя Avast Free Antivirus, и он обнаружил C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(это файл Lenovo) как вредоносный и сказал, что это «Win32: Malware-gen».

Это побудило к дальнейшему расследованию, и поэтому я загрузил файл в VirusTotal, результаты которого можно посмотреть здесь (12 из 53 антивирусных программ обнаружили его как вредоносный).

  • Два антивирусных программ на VirusTotal обнаружен файл setup.exe как «W32 / OnlineGames.HI.gen! Eldorado», которая , согласно этой странице Microsoft здесь может украсть некоторые довольно серьезные данные.
  • Это, однако, общая статья для семейства вредоносных программ (хотя эта страница Microsoft более конкретна и посвящена вредоносному ПО с аналогичным названием, которое крадет учетные данные).

Я загрузил файл в Comodo Valkyrie, результаты которого можно посмотреть здесь . Служба посчитала это вредоносным ПО. ОБНОВЛЕНИЕ: Ручной анализ файла на Comodo Valkyrie посчитал его чистым.

Я попросил Avast исправить файл, но я обеспокоен тем, что все еще могут остаться другие вредоносные программы или что данные уже могли быть украдены.

  • Это реальная угроза или нет?
  • Что я должен делать дальше?

Я собираюсь стереть весь компьютер и переустановить Windows 10 с нуля, но это не поможет, если кража данных уже произошла.

Я не знаю, связано ли это с этим, но я обнаружил в планировщике задач Windows задачу «Lenovo Customer Feedback Program 64 35», которую я отключил, но ранее запускал исполняемый файл, который вызывался C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exeкаждый день. Похоже, в Интернете есть только небольшая информация о Программе обратной связи с клиентами. Я считаю, что задача «Обратная связь с клиентом» отделена от потенциально вредоносного файла. Ех обратной связи с клиентом считается безопасным VirusTotal и Lenovo сами есть статья об этом здесь , в котором говорится , что он посылает неличные данные.

Кажется, что мое сетевое соединение прерывается на короткие промежутки времени. Я не знаю, является ли это связанной проблемой.


1
Я нашел программу обратной связи с клиентами Lenovo, упомянутую в статье, и, похоже, это программное обеспечение для мониторинга и отслеживания Lenovo. Подробнее об этом и как его отключить здесь .
MC10

1
Спасибо за информацию, @ MC10. Я уже отключил задачу. У меня нет «Lenovo Experience Improvement», перечисленных в разделе «Программы и компоненты», но возможно, что я ранее удалил его. У меня был компьютер менее 90 дней.
LJD200 26.12.15

Прочитайте это: lifehacker.com/5717628/… lifehacker.com/… Есть ссылки на некоторые утилиты, которые помогут избавиться от программных и вредоносных программ.
Лайонел Дулан

Аваст, похоже, сошел с ума в последнее время. За последний месяц или около сотни вопросов о SO полностью разрушают безвредное использование Visual Studio аналогичным образом.
Гонки легкости на орбите

@LionelDoolan спасибо за статьи; Я взгляну.
LJD200

Ответы:


12

Если щелкнуть ссылку «Статический анализ» для файла на странице Comodo Valkyrie, вы увидите, что одной из причин пометки файла была причина «Обнаружен массив функций обратного вызова TLS». Возможно, существует законная причина для включения этого кода в исполняемый файл, загруженный вами на сайт, но разработчики вредоносных программ могут использовать код обратного вызова TLS, чтобы помешать анализу кода антивирусными исследователями, сделав процесс отладки более понятным. сложно. Например, от Отладчика обнаружения с обратным вызовом TLS :

Обратный вызов TLS - это функция, которая вызывается перед выполнением точки входа в процесс. Если вы запустите исполняемый файл с отладчиком, обратный вызов TLS будет выполнен до того, как отладчик прервется. Это означает, что вы можете выполнить анти-отладочные проверки, прежде чем отладчик сможет что-либо сделать. Таким образом, обратный вызов TLS является очень мощной анти-отладочной техникой.

TLS Callbacks в Wild обсуждает пример вредоносного ПО, использующего эту технику.

У Lenovo плохая репутация в отношении программного обеспечения, которое она распространяла со своими системами. Например, из статьи Ars Technica от 15 февраля 2015 года ПК Lenovo поставляются с рекламным ПО типа «человек посередине», которое разрывает HTTPS-соединения :

По словам исследователей, Lenovo продает компьютеры с предустановленным рекламным ПО, которое захватывает зашифрованные веб-сеансы и может сделать пользователей уязвимыми для HTTPS-атак типа «человек посередине», которые для злоумышленников тривиальны.

Критическая угроза присутствует на компьютерах Lenovo, на которых установлено рекламное ПО от компании Superfish. Несмотря на то, что многие люди находят программное обеспечение, которое внедряет рекламу в веб-страницы, в пакете Superfish есть нечто гораздо более гнусное. Он устанавливает корневой сертификат HTTPS с собственной подписью, который может перехватывать зашифрованный трафик для каждого веб-сайта, который посещает пользователь. Когда пользователь посещает сайт HTTPS, сертификат сайта подписывается и контролируется Superfish и ложно выступает в качестве официального сертификата сайта.

Человек-в-середине атаки побеждает защиту, в противном случае пришлось бы, посетив сайт , используя HTTPS , а не HTTP позволяет программное обеспечение , чтобы шпионить на всех веб - трафика даже трафик между пользователем и финансовых институтов , таких как банки.

Когда исследователи обнаружили программное обеспечение Superfish на компьютерах Lenovo, Lenovo первоначально заявила, что «мы тщательно исследовали эту технологию и не нашли никаких доказательств в обоснование проблем безопасности». Но компании пришлось отказаться от этого заявления, когда исследователи в области безопасности показали, как программное обеспечение Superfish делает системы Lenovo открытыми для компрометации со стороны злоумышленников.

В ответ на этот провал главный технический директор Lenovo Питер Хортензиус (Peter Hortensius) заявил: «Сегодня я могу сказать об этом, что мы изучаем широкий спектр возможностей, в том числе: создание более чистого образа ПК (операционной системы и программное обеспечение, которое находится на вашем устройстве прямо из коробки) ... "Возможно, этот вариант был отменен. Например, см. Статью Lenovo за сентябрь 2015 года, пойманную с поличным (в третий раз): предустановленная шпионская программа, обнаруженная в ноутбуках Lenovo Swati Khandelwal, аналитиком по безопасности в The Hacker News , посвященная программному обеспечению Lenovo Customer Feedback Program 64, которое вы нашли на ваша система.

Обновление :

Что касается законного использования обратных вызовов потока локального хранилища (TLS), в локальном хранилище потока потоков Википедии обсуждается TLS.статья. Я не знаю, как часто программисты используют его для законного использования. Я нашел только одного человека, который упомянул его законное использование этой способности; все остальные ссылки на него, которые я обнаружил, касались его использования вредоносными программами. Но это может быть просто потому, что об использовании разработчиками вредоносного ПО пишут с большей вероятностью, чем программисты об их законном использовании. Я не думаю, что его использование само по себе является убедительным доказательством того, что Lenovo пытается скрыть функции в программном обеспечении, которые его пользователи, вероятно, сочтут тревожными, если будут знать все, что делает программное обеспечение. Но, учитывая известные практики Lenovo, не только с Superfish, но впоследствии с использованием двоичной таблицы платформы Windows (WPBT) для «Lenovo System Engine» Lenovo использовала функцию Windows для защиты от кражи, чтобы установить постоянное программное обеспечение , я думаю, что есть основания для некоторой настороженности и гораздо меньше шансов дать Lenovo пользу от сомнений, чем для других компаний.

К сожалению, есть много компаний, которые пытаются заработать больше денег на своих клиентах, продавая информацию о клиентах или «доступ» к своим клиентам другим «партнерам». И иногда это делается с помощью рекламного ПО, что не обязательно означает, что компания предоставляет личную информацию для этих «партнеров». Иногда компания может захотеть собрать информацию о поведении своих клиентов просто для того, чтобы она могла предоставить маркетологам больше информации о типе клиента, которого компания может привлечь, а не информацию, идентифицирующую человека.

Если я загружаю файл в VirusTotal и нахожу только одну или две из множества антивирусных программ, которые он использует для сканирования загруженных файлов, помечая файл как содержащий вредоносное ПО, я часто расцениваю их как ложные положительные отчеты, если код, очевидно, существовал довольно долго. Некоторое время, например, если VirusTotal сообщает о том, что он ранее сканировал файл год назад, и у меня нет никаких оснований не доверять разработчику программного обеспечения и, наоборот, есть основания доверять разработчику, например, из-за давней хорошей репутации. Но Lenovo уже запятнала свою репутацию, и 12 из 53 антивирусных программ, помечающих загруженный вами файл, составляют около 23%, что, на мой взгляд, вызывает беспокойство.

Несмотря на то, что большинство поставщиков антивирусных программ обычно предоставляют мало, если таковые вообще имеются, конкретной информации о том, что приводит к тому, что файл помечается как определенный тип вредоносного ПО, и точно, что означает конкретное описание вредоносного ПО с точки зрения его работы, часто трудно точно определить, что именно вам нужно беспокоиться, когда вы видите конкретное описание. В этом случае может даже случиться так, что большинство из них увидят обратный вызов TLS и отметят файл только на этой основе. Т.е. возможно, что все 12 делают ложные положительные заявления на одной и той же ошибочной основе. И иногда разные продукты используют одни и те же подписи для идентификации вредоносных программ, и эта подпись также может встречаться в легальной программе.

Что касается результата "W32 / OnlineGames.HI.gen! Eldorado", о котором сообщили несколько программ на VirusTotal, имя которого похоже на PWS: Win32 / OnLineGames.gen! Bбез конкретной информации о том, что привело к выводу, что файл связан с W32 / OnlineGames.HI.gen! Eldorado и какое поведение связано с W32 / OnlineGames.HI.gen! Eldorado, т. е. какие ключи реестра и файлы следует ожидать чтобы найти и как программное обеспечение с этим конкретным описанием ведет себя, я бы не пришел к выводу, что программное обеспечение крадет игровые учетные данные. Без каких-либо других доказательств я думаю, что это маловероятно. К сожалению, многие из описаний вредоносных программ, которые вы увидите, являются просто одноименными общими описаниями, которые не имеют большого значения для определения степени беспокойства при просмотре этого описания, прикрепленного к файлу. «W32» часто присоединяется к началу множества имен некоторыми поставщиками антивирусов. Тот факт, что они разделяют это и "OnlineGames" и "Gen" для "универсального"

Я бы удалил программное обеспечение, так как я бы посчитал, что оно использует системные ресурсы без какой-либо выгоды для меня, и, если вы играете в онлайн-игры, вы можете сбросить пароли в качестве меры предосторожности, хотя я сомневаюсь, что программное обеспечение Lenovo украло учетные данные онлайн-игр или делает запись нажатия клавиш. У Lenovo нет звездной репутации в отношении программного обеспечения, которое они включают в свои системы, но я не видел сообщений о том, что они распространяли какое-либо программное обеспечение, которое будет работать таким образом. И периодическая потеря сетевого подключения может даже быть за пределами вашего ПК. Например, если другие системы в том же месте также периодически испытывают потерю соединения, я думаю, что более вероятно, что проблема в маршрутизаторе.


Спасибо за Ваш ответ. Таким образом, вы думаете, что это может быть вредоносным, и если да, то как вы думаете, что это делает? Когда вы ожидаете, что не-вредоносное приложение будет использовать TLS? Я понимаю, что у Lenovo было несколько инцидентов, связанных с предустановленным программным обеспечением, но думаете ли вы, что они установят вредоносные программы, особенно потенциально кейлоггер, как упомянуто в оригинальном посте? С одной стороны, этот файл кажется подозрительным, принимая меры, чтобы скрыть его код.
LJD200 26.12.15

С другой стороны, это от известного производителя ПК (разве что файл был похищен другой программой?), И, похоже, он помечен как вредоносный довольно небольшим количеством антивирусных программ на VirusTotal.
LJD200 26.12.15

Руткит от Sony тоже был от известного производителя.
Алан Шутко

@ LJD200, я обновил свой пост на основе ваших вопросов.
Лунная точка

@moonpoint Большое спасибо за ваш ответ. Это отличный ответ, и я отметил его как принятый. Я переустановлю Windows, чтобы быть в безопасности, но я думаю, что риск кражи любых серьезных данных невелик. Думаю, подозрительная метка времени также обнаружена Валькирией из-за того, что я извлек файл из сундука вирусов Avast, который изменяет метку времени. Этот инцидент, наряду с множеством других, которые произошли в прошлом, бросил тень на мой взгляд на Lenovo, и я не буду использовать их программное обеспечение в будущем, но я рад, что этот инцидент не привел к чему-либо серьезному.
LJD200
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.