Недавно я приобрел компьютер Lenovo H50-55 с Windows 10 Home x64. Я удалил часть программного обеспечения Lenovo, поставляемого с компьютером, но не все.
Я запустил полное сканирование компьютера на наличие вредоносных программ, используя Avast Free Antivirus, и он обнаружил C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe
(это файл Lenovo) как вредоносный и сказал, что это «Win32: Malware-gen».
Это побудило к дальнейшему расследованию, и поэтому я загрузил файл в VirusTotal, результаты которого можно посмотреть здесь (12 из 53 антивирусных программ обнаружили его как вредоносный).
- Два антивирусных программ на VirusTotal обнаружен файл setup.exe как «W32 / OnlineGames.HI.gen! Eldorado», которая , согласно этой странице Microsoft здесь может украсть некоторые довольно серьезные данные.
- Это, однако, общая статья для семейства вредоносных программ (хотя эта страница Microsoft более конкретна и посвящена вредоносному ПО с аналогичным названием, которое крадет учетные данные).
Я загрузил файл в Comodo Valkyrie, результаты которого можно посмотреть здесь . Служба посчитала это вредоносным ПО. ОБНОВЛЕНИЕ: Ручной анализ файла на Comodo Valkyrie посчитал его чистым.
Я попросил Avast исправить файл, но я обеспокоен тем, что все еще могут остаться другие вредоносные программы или что данные уже могли быть украдены.
- Это реальная угроза или нет?
- Что я должен делать дальше?
Я собираюсь стереть весь компьютер и переустановить Windows 10 с нуля, но это не поможет, если кража данных уже произошла.
Я не знаю, связано ли это с этим, но я обнаружил в планировщике задач Windows задачу «Lenovo Customer Feedback Program 64 35», которую я отключил, но ранее запускал исполняемый файл, который вызывался C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
каждый день. Похоже, в Интернете есть только небольшая информация о Программе обратной связи с клиентами. Я считаю, что задача «Обратная связь с клиентом» отделена от потенциально вредоносного файла. Ех обратной связи с клиентом считается безопасным VirusTotal и Lenovo сами есть статья об этом здесь , в котором говорится , что он посылает неличные данные.
Кажется, что мое сетевое соединение прерывается на короткие промежутки времени. Я не знаю, является ли это связанной проблемой.
Ответы:
Если щелкнуть ссылку «Статический анализ» для файла на странице Comodo Valkyrie, вы увидите, что одной из причин пометки файла была причина «Обнаружен массив функций обратного вызова TLS». Возможно, существует законная причина для включения этого кода в исполняемый файл, загруженный вами на сайт, но разработчики вредоносных программ могут использовать код обратного вызова TLS, чтобы помешать анализу кода антивирусными исследователями, сделав процесс отладки более понятным. сложно. Например, от Отладчика обнаружения с обратным вызовом TLS :
TLS Callbacks в Wild обсуждает пример вредоносного ПО, использующего эту технику.
У Lenovo плохая репутация в отношении программного обеспечения, которое она распространяла со своими системами. Например, из статьи Ars Technica от 15 февраля 2015 года ПК Lenovo поставляются с рекламным ПО типа «человек посередине», которое разрывает HTTPS-соединения :
Человек-в-середине атаки побеждает защиту, в противном случае пришлось бы, посетив сайт , используя HTTPS , а не HTTP позволяет программное обеспечение , чтобы шпионить на всех веб - трафика даже трафик между пользователем и финансовых институтов , таких как банки.
Когда исследователи обнаружили программное обеспечение Superfish на компьютерах Lenovo, Lenovo первоначально заявила, что «мы тщательно исследовали эту технологию и не нашли никаких доказательств в обоснование проблем безопасности». Но компании пришлось отказаться от этого заявления, когда исследователи в области безопасности показали, как программное обеспечение Superfish делает системы Lenovo открытыми для компрометации со стороны злоумышленников.
В ответ на этот провал главный технический директор Lenovo Питер Хортензиус (Peter Hortensius) заявил: «Сегодня я могу сказать об этом, что мы изучаем широкий спектр возможностей, в том числе: создание более чистого образа ПК (операционной системы и программное обеспечение, которое находится на вашем устройстве прямо из коробки) ... "Возможно, этот вариант был отменен. Например, см. Статью Lenovo за сентябрь 2015 года, пойманную с поличным (в третий раз): предустановленная шпионская программа, обнаруженная в ноутбуках Lenovo Swati Khandelwal, аналитиком по безопасности в The Hacker News , посвященная программному обеспечению Lenovo Customer Feedback Program 64, которое вы нашли на ваша система.
Обновление :
Что касается законного использования обратных вызовов потока локального хранилища (TLS), в локальном хранилище потока потоков Википедии обсуждается TLS.статья. Я не знаю, как часто программисты используют его для законного использования. Я нашел только одного человека, который упомянул его законное использование этой способности; все остальные ссылки на него, которые я обнаружил, касались его использования вредоносными программами. Но это может быть просто потому, что об использовании разработчиками вредоносного ПО пишут с большей вероятностью, чем программисты об их законном использовании. Я не думаю, что его использование само по себе является убедительным доказательством того, что Lenovo пытается скрыть функции в программном обеспечении, которые его пользователи, вероятно, сочтут тревожными, если будут знать все, что делает программное обеспечение. Но, учитывая известные практики Lenovo, не только с Superfish, но впоследствии с использованием двоичной таблицы платформы Windows (WPBT) для «Lenovo System Engine» Lenovo использовала функцию Windows для защиты от кражи, чтобы установить постоянное программное обеспечение , я думаю, что есть основания для некоторой настороженности и гораздо меньше шансов дать Lenovo пользу от сомнений, чем для других компаний.
К сожалению, есть много компаний, которые пытаются заработать больше денег на своих клиентах, продавая информацию о клиентах или «доступ» к своим клиентам другим «партнерам». И иногда это делается с помощью рекламного ПО, что не обязательно означает, что компания предоставляет личную информацию для этих «партнеров». Иногда компания может захотеть собрать информацию о поведении своих клиентов просто для того, чтобы она могла предоставить маркетологам больше информации о типе клиента, которого компания может привлечь, а не информацию, идентифицирующую человека.
Если я загружаю файл в VirusTotal и нахожу только одну или две из множества антивирусных программ, которые он использует для сканирования загруженных файлов, помечая файл как содержащий вредоносное ПО, я часто расцениваю их как ложные положительные отчеты, если код, очевидно, существовал довольно долго. Некоторое время, например, если VirusTotal сообщает о том, что он ранее сканировал файл год назад, и у меня нет никаких оснований не доверять разработчику программного обеспечения и, наоборот, есть основания доверять разработчику, например, из-за давней хорошей репутации. Но Lenovo уже запятнала свою репутацию, и 12 из 53 антивирусных программ, помечающих загруженный вами файл, составляют около 23%, что, на мой взгляд, вызывает беспокойство.
Несмотря на то, что большинство поставщиков антивирусных программ обычно предоставляют мало, если таковые вообще имеются, конкретной информации о том, что приводит к тому, что файл помечается как определенный тип вредоносного ПО, и точно, что означает конкретное описание вредоносного ПО с точки зрения его работы, часто трудно точно определить, что именно вам нужно беспокоиться, когда вы видите конкретное описание. В этом случае может даже случиться так, что большинство из них увидят обратный вызов TLS и отметят файл только на этой основе. Т.е. возможно, что все 12 делают ложные положительные заявления на одной и той же ошибочной основе. И иногда разные продукты используют одни и те же подписи для идентификации вредоносных программ, и эта подпись также может встречаться в легальной программе.
Что касается результата "W32 / OnlineGames.HI.gen! Eldorado", о котором сообщили несколько программ на VirusTotal, имя которого похоже на PWS: Win32 / OnLineGames.gen! Bбез конкретной информации о том, что привело к выводу, что файл связан с W32 / OnlineGames.HI.gen! Eldorado и какое поведение связано с W32 / OnlineGames.HI.gen! Eldorado, т. е. какие ключи реестра и файлы следует ожидать чтобы найти и как программное обеспечение с этим конкретным описанием ведет себя, я бы не пришел к выводу, что программное обеспечение крадет игровые учетные данные. Без каких-либо других доказательств я думаю, что это маловероятно. К сожалению, многие из описаний вредоносных программ, которые вы увидите, являются просто одноименными общими описаниями, которые не имеют большого значения для определения степени беспокойства при просмотре этого описания, прикрепленного к файлу. «W32» часто присоединяется к началу множества имен некоторыми поставщиками антивирусов. Тот факт, что они разделяют это и "OnlineGames" и "Gen" для "универсального"
Я бы удалил программное обеспечение, так как я бы посчитал, что оно использует системные ресурсы без какой-либо выгоды для меня, и, если вы играете в онлайн-игры, вы можете сбросить пароли в качестве меры предосторожности, хотя я сомневаюсь, что программное обеспечение Lenovo украло учетные данные онлайн-игр или делает запись нажатия клавиш. У Lenovo нет звездной репутации в отношении программного обеспечения, которое они включают в свои системы, но я не видел сообщений о том, что они распространяли какое-либо программное обеспечение, которое будет работать таким образом. И периодическая потеря сетевого подключения может даже быть за пределами вашего ПК. Например, если другие системы в том же месте также периодически испытывают потерю соединения, я думаю, что более вероятно, что проблема в маршрутизаторе.
источник