10

Недавно я приобрел компьютер Lenovo H50-55 с Windows 10 Home x64. Я удалил часть программного обеспечения Lenovo, поставляемого с компьютером, но не все.

Я запустил полное сканирование компьютера на наличие вредоносных программ, используя Avast Free Antivirus, и обнаружил, что C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe (который является файлом Lenovo), и сообщил мне, что это 'Win32:Malware-ген'.

Это побудило к дальнейшему расследованию, и поэтому я загрузил файл в VirusTotal, результаты которого можно посмотреть здесь (12 из 53 антивирусных программ обнаружили его как вредоносный).

  • Две антивирусные программы на VirusTotal обнаружили файл setup.exe как «W32/OnlineGames».HI.gen!Eldorado», которая , согласно этой странице Microsoft здесь может украсть некоторые довольно серьезные данные.
  • Это, однако, общая статья для семейства вредоносных программ (хотя эта страница Microsoft более конкретна и посвящена вредоносному ПО с очень похожим названием, которое крадет учетные данные).

Я загрузил файл в Comodo Valkyrie, результаты которого можно посмотреть здесь. Служба посчитала это вредоносным ПО. ОБНОВЛЕНИЕ: Ручной анализ файла на Comodo Valkyrie посчитал его чистым.

Я попросил Avast исправить файл, но я обеспокоен тем, что еще может остаться еще одно вредоносное ПО или что данные уже могли быть украдены.

  • Это реальная угроза или нет?
  • Что я должен делать дальше?

Я собираюсь стереть весь компьютер и переустановить Windows 10 с нуля, но это не поможет, если кража данных уже произошла.

Я не знаю, связано ли это с этим, но я нашел в планировщике заданий Windows задачу «Lenovo Customer Feedback Program 64 35», которую я отключил, но ранее запускал исполняемый файл C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe каждый день. Похоже, в Интернете есть лишь небольшая информация о Программе обратной связи с клиентами. Я считаю, что задача «Обратная связь с клиентом» отделена от потенциально вредоносного файла. Ех обратной связи с клиентом считается безопасным VirusTotal и Lenovo сами есть статья об этом здесь, в котором говорится , что он посылает неличные данные.

Кажется, что мое сетевое соединение прерывается на короткие промежутки времени. Я не знаю, является ли это связанной проблемой.

1 ответ1

12

Если щелкнуть ссылку "Статический анализ" для файла на странице Comodo Valkyrie, вы увидите, что одной из причин пометки файла была причина "Обнаружен массив функций обратного вызова TLS". Может быть уважительная причина для включения этого кода в исполняемый файл, загруженный вами на сайт, но разработчики вредоносных программ могут использовать код обратного вызова TLS, чтобы помешать анализу кода антивирусными исследователями, сделав процесс отладки более понятным. сложно. Например, от Отладчика обнаружения с обратным вызовом TLS:

Обратный вызов TLS - это функция, которая вызывается перед выполнением точки входа в процесс. Если вы запустите исполняемый файл с отладчиком, обратный вызов TLS будет выполнен до того, как отладчик прервется. Это означает, что вы можете выполнить анти-отладочные проверки, прежде чем отладчик сможет что-либо сделать. Таким образом, обратный вызов TLS является очень мощной анти-отладочной техникой.

TLS Callbacks в Wild обсуждает пример вредоносного ПО, использующего эту технику.

У Lenovo плохая репутация в отношении программного обеспечения, которое она распространяла со своими системами. Например, из статьи Ars Technica от 15 февраля 2015 года ПК Lenovo поставляются с рекламным ПО типа «человек посередине», которое разрывает HTTPS-соединения:

По словам исследователей, Lenovo продает компьютеры с предустановленным рекламным ПО, которое захватывает зашифрованные веб-сеансы и может сделать пользователей уязвимыми для атак типа HTTPS «человек посередине», которые для злоумышленников тривиальны.

Критическая угроза присутствует на компьютерах Lenovo, на которых установлено рекламное ПО от компании Superfish. Несмотря на то, что многие люди находят программное обеспечение, которое внедряет рекламу в веб-страницы, в пакете Superfish есть нечто гораздо более гнусное. Он устанавливает самозаверяющий корневой HTTPS-сертификат, который может перехватывать зашифрованный трафик для каждого веб-сайта, который посещает пользователь. Когда пользователь посещает сайт HTTPS, сертификат сайта подписывается и контролируется Superfish и ложно выступает в качестве официального сертификата сайта.

Атака «человек посередине» нарушает защиту, которую вы могли бы получить, посещая сайт с использованием HTTPS, а не HTTP, позволяя программному обеспечению отслеживать весь веб-трафик, даже трафик между пользователем и финансовыми учреждениями, такими как банки.

Когда исследователи обнаружили программное обеспечение Superfish на компьютерах Lenovo, Lenovo первоначально заявила, что «мы тщательно исследовали эту технологию и не нашли никаких доказательств в обоснование проблем безопасности». Но компании пришлось отказаться от этого заявления, когда исследователи в области безопасности показали, как программное обеспечение Superfish делает системы Lenovo открытыми для компрометации со стороны злоумышленников.

В ответ на этот провал главный технический директор Lenovo Питер Хортензиус (Peter Hortensius) затем заявил: «Сегодня я могу сказать, что мы исследуем широкий спектр возможностей, в том числе: создание более чистого образа ПК (операционной системы и программное обеспечение, которое находится на вашем устройстве прямо из коробки) ... "Возможно, этот вариант был отменен. Например, см. Статью Lenovo за сентябрь 2015 года, пойманную с поличным (в третий раз): предустановленная шпионская программа, обнаруженная в ноутбуках Lenovo Swati Khandelwal, аналитиком по безопасности в The Hacker News, в которой обсуждается программное обеспечение Lenovo Customer Feedback Program 64, которое вы нашли на ваша система.

Обновление:

Что касается законного использования обратных вызовов потока локального хранилища (TLS), то в статье Википедии потока локальное хранилище обсуждается TLS. Я не знаю, как часто программисты используют его для законного использования. Я нашел только одного человека, который упомянул его законное использование этой способности; все остальные ссылки на него, которые я обнаружил, касались его использования вредоносными программами. Но это может быть просто потому, что об использовании разработчиками вредоносного ПО пишут с большей вероятностью, чем программисты об их законном использовании. Я не думаю, что его использование само по себе является убедительным доказательством того, что Lenovo пытается скрыть функции в программном обеспечении, которые его пользователи, вероятно, сочтут тревожными, если будут знать все, что делает программное обеспечение. Но, учитывая известную практику Lenovo, не только с Superfish, но впоследствии с использованием двоичной таблицы платформы Windows (WPBT) для "Lenovo System Engine", чтобы гарантировать, что программное обеспечение OneKey Optimizer (OKO) будет установлено в системе, даже если пользователь попытался создать "чистую" установку Windows, как описано в документе Lenovo, который использовал функцию защиты от кражи Windows для установки постоянного программного обеспечения, я думаю, что есть причина для некоторой настороженности, и я гораздо реже, чтобы дать Lenovo выгоду от сомнений чем я мог бы другие компании.

К сожалению, есть много компаний, которые пытаются заработать больше денег на своих клиентах, продавая информацию о клиентах или "доступ" к своим клиентам другим "партнерам". И иногда это делается с помощью рекламного ПО, что не обязательно означает, что компания предоставляет личную информацию для этих "партнеров". Иногда компания может захотеть собрать информацию о поведении своих клиентов просто для того, чтобы она могла предоставить маркетологам больше информации о типе клиента, которого компания может привлечь, а не информацию, идентифицирующую человека.

Если я загружаю файл в VirusTotal и нахожу только одну или две из множества антивирусных программ, которые он использует для сканирования загруженных файлов, помечая файл как содержащий вредоносное ПО, я часто расцениваю их как ложно-положительные отчеты, если код, очевидно, существовал довольно долго. какое-то время, например, если VirusTotal сообщает, что он ранее сканировал файл год назад, и у меня нет никаких оснований не доверять разработчику программного обеспечения и, наоборот, какой-либо причине доверять разработчику, например, из-за давней хорошей репутации. Но Lenovo уже запятнала свою репутацию, и 12 из 53 антивирусных программ, помечающих загруженный вами файл, составляют около 23%, что я считаю крайне высоким процентом.

Несмотря на то, что большинство поставщиков антивирусных программ обычно предоставляют мало, если таковые имеются, конкретной информации о том, что приводит к тому, что файл помечается как определенный тип вредоносного ПО, и какому конкретно значению соответствует описание конкретного вредоносного ПО с точки зрения его работы, зачастую трудно точно определить, что именно вам нужно беспокоиться, когда вы видите конкретное описание. В этом случае может даже случиться так, что большинство из них увидят обратный вызов TLS и отметят файл только на этой основе. То есть, возможно, что все 12 делают ложное положительное утверждение на одной и той же ошибочной основе. И иногда разные продукты используют одни и те же подписи для идентификации вредоносных программ, и эта подпись также может встречаться в легальной программе.

Что касается "W32/OnlineGames.HI.gen!Эльдорадо ", о чем сообщает пара программ на VirusTotal, название которых похоже на PWS:Win32/OnLineGames.gen!Б без конкретной информации о том, что привело к выводу, что файл связан с W32/OnlineGames.HI.gen!Эльдорадо и какое поведение связано с W32/OnlineGames.HI.gen!Эльдорадо, т. Е. Какие ключи и файлы реестра следует ожидать и как программное обеспечение с таким конкретным описанием ведет себя, я бы не пришел к выводу, что программное обеспечение крадет игровые учетные данные. Без каких-либо других доказательств я думаю, что это маловероятно. К сожалению, многие из описаний вредоносных программ, которые вы увидите, являются просто одноименными общими описаниями, которые не имеют большого значения для определения степени беспокойства при просмотре этого описания, прикрепленного к файлу. "W32" часто присоединяется к началу множества имен некоторыми поставщиками антивирусов. Тот факт, что они разделяют это и "OnlineGames" и "gen" для "generic" в именах, не приведет меня к выводу, что файлы с этими именами работают одинаково.

Я бы удалил программное обеспечение, так как я бы посчитал, что оно использует системные ресурсы без какой-либо выгоды для меня, и, если вы играете в онлайн-игры, вы можете сбросить пароли в качестве меры предосторожности, хотя я сомневаюсь, что программное обеспечение Lenovo украло учетные данные онлайн-игр или делает запись нажатия клавиш. У Lenovo нет звездной репутации в отношении программного обеспечения, которое они включают в свои системы, но я не видел сообщений о том, что они распространяли какое-либо программное обеспечение, которое будет работать таким образом. И периодическая потеря сетевого подключения может даже быть за пределами вашего ПК. Например, если другие системы в том же месте также периодически испытывают потерю соединения, я бы подумал, что более вероятна проблема на маршрутизаторе.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .