Чому моє антивірусне програмне забезпечення виявляє деінсталятор XiaoU / LenovoService, програмне забезпечення Lenovo як зловмисне програмне забезпечення?

Нещодавно я придбав комп’ютер Lenovo H50-55 з Windows 10 Home x64 на ньому. Я видалив частину програмного забезпечення Lenovo, яке постачається разом із комп'ютером, але не все це.

Я запустив повне сканування зловмисного програмного забезпечення комп'ютера за допомогою Avast Free Antivirus, і він виявив C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(який є файлом Lenovo) як зловмисний і сказав мені, що це "Win32: gen-malware".

Це спонукало до подальшого розслідування, і тому я завантажив файл у VirusTotal, результати якого можна побачити тут (12 із 53 антивірусних програм визнали його шкідливим).

• Два антивірусних програм на VirusTotal виявлений файл setup.exe як «W32 / OnlineGames.HI.gen! Eldorado», яка , згідно з цій сторінці Microsoft тут може вкрасти деякі досить серйозні дані.
• Однак це загальна стаття для сімейства шкідливих програм (хоча ця сторінка Microsoft більш конкретна і стосується дуже подібного фрагмента зловмисного програмного забезпечення, що краде облікові дані).

Я завантажив файл у Comodo Valkyrie, результати якого можна побачити тут . Сервіс вважав це шкідливим програмним забезпеченням. ОНОВЛЕННЯ: Ручний аналіз файлу на Comodo Valkyrie визнав його чистим.

Я сказав Avast виправити файл, але я стурбований тим, що подальше зловмисне програмне забезпечення все ще може залишитися або дані вже можуть бути викрадені.

• Це реальна загроза чи ні?
• Що мені робити далі?

Я розглядаю можливість стерти весь ПК та перевстановити Windows 10 з нуля, але це не допоможе, якщо крадіжка даних вже сталася.

Я не знаю, чи це пов’язано, але я знайшов завдання в Планувальнику завдань Windows під назвою «Програма зворотного зв’язку клієнтів Lenovo 64 35», яке я відключив, але раніше запускав exe, що викликається C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exeщодня. Здається, в Інтернеті є лише небагато інформації про програму зворотного зв’язку з клієнтами. Я вважаю, що завдання зворотного зв’язку із клієнтами є окремим для потенційно шкідливого файлу. VirusTotal відгуки клієнтів вважає безпечним, і самі Lenovo мають статтю про це тут , де йдеться про те, що він надсилає неособисті дані.

Здається, моє мережеве з'єднання випадає на короткий проміжок часу, так часто. Я не знаю, чи це пов’язане питання.

Якщо ви натиснете на посилання "Статичний аналіз" для файлу на сторінці Comodo Valkyrie, ви побачите, що однією з причин позначення файлу було те, що "виявлено масив функцій зворотного виклику TLS". Можливо, існує законна причина включення цього коду до виконуваного файлу, який ви завантажили на сайт, але код зворотного виклику TLS може бути використаний розробниками зловмисних програм для запобігання аналізу їх коду дослідниками антивірусу, зробивши процес налагодження коду більше важко. Наприклад, з налагоджувача виявлення з TLS-зворотним викликом :

Зворотний виклик TLS - це функція, яка викликається перед виконанням точки введення процесу. Якщо ви запускаєте виконуваний файл за допомогою налагоджувача, зворотний виклик TLS буде виконаний до того, як налагоджувач перерветься. Це означає, що ви можете виконати перевірку проти налагодження, перш ніж налагоджувач може зробити що-небудь. Тому зворотний виклик TLS є дуже потужною технікою проти налагодження.

TLS Callbacks in the Wild обговорює приклад зловмисного програмного забезпечення за допомогою цієї методики.

Lenovo має погану репутацію щодо програмного забезпечення, яке вона розповсюджує зі своїми системами. Наприклад, з 15 лютого 2015 року стаття Ars Technica на комп'ютерах Lenovo постачається з рекламним програмним забезпеченням, яке порушує HTTPS-з'єднання :

Lenovo продає комп’ютери, попередньо встановлені з рекламним програмним забезпеченням, яке захоплює зашифровані веб-сеанси, і може зробити користувачів уразливими до HTTPS-атак, що є тривіальними для зловмисників.

Критична загроза є на комп'ютерах Lenovo, на яких встановлено рекламне ПЗ від компанії під назвою Superfish. Оскільки дуже багато людей знаходять програмне забезпечення, яке ін'єктує рекламу на веб-сторінки, в пакеті Superfish є щось набагато більш неприємне. Він встановлює самопідписаний кореневий сертифікат HTTPS, який може перехоплювати зашифрований трафік для кожного веб-сайту, який відвідує користувач. Коли користувач відвідує сайт HTTPS, сертифікат сайту підписується та контролюється Superfish і помилково представляє себе як офіційний сертифікат веб-сайту.

Людина-в-середині атаки перемагає захист, в іншому випадку довелося б, відвідавши сайт , використовуючи HTTPS , а не HTTP дозволяє програмне забезпечення , щоб шпигувати на всіх веб - трафіку навіть трафік між користувачем і фінансових інститутів , таких як банки.

Коли дослідники знайшли програмне забезпечення Superfish на апаратах Lenovo, Lenovo спочатку стверджував: "Ми ретельно дослідили цю технологію і не знайдемо жодних доказів, які б підтверджували проблеми безпеки". Але компанії довелося відкликати це твердження, коли дослідники безпеки виявили, як програмне забезпечення Superfish зробило системи Lenovo відкритими для компромісів зловмисниками.

У відповідь на цю суперечку головний технічний директор Lenovo Петро Гортензіус заявив: "Що я можу сказати про це сьогодні, це те, що ми вивчаємо широкий спектр варіантів, які включають: створення більш чистого образу ПК (операційна система та програмне забезпечення, яке знаходиться на вашому пристрої прямо поза коробкою) ... "Можливо, цю опцію було відхилено. Наприклад, перегляньте статтю вересня 2015 року Lenovo Caught з червоною рукою (втретє): попередньо встановлений шпигунський програм знайдений у ноутбуках Lenovo Swati Khandelwal, аналітик з безпеки в The Hacker News , який обговорює програмне забезпечення «Lenovo Customer Feedback Program 64», яке ви знайшли на ваша система.

Оновлення :

Що стосується законного використання зворотних зворотів локального зберігання (Thread Local Storage - TLS), то в локальній пам’яті Вікіпедії теми обговорюється TLSстаття. Я не знаю, як часто програмісти використовують це для законних цілей. Я знайшов лише одну людину, яка згадує про його законне використання для цього; всі інші посилання на нього, які я знайшов, стосувалися його використання шкідливим програмним забезпеченням. Але це може бути просто тому, що про використання розробниками зловмисних програм, швидше за все, пишуть, ніж програмісти, які пишуть про їх законне використання. Я не думаю, що саме його використання є переконливим доказом, що Lenovo намагається приховати функції в програмному забезпеченні, що його користувачів, ймовірно, виявлять тривожними, якби вони знали все, що робить програмне забезпечення. Але, враховуючи відомі практики Lenovo, не лише із Superfish, а згодом із використанням його бінарної таблиці платформи Windows (WPBT) для "Lenovo System Engine" Lenovo використовував функцію протидії крадіжок Windows для встановлення стійких програмного забезпечення , я думаю, що є причина бути дещо обережними, і набагато рідше це дасть Lenovo користь сумніву, ніж я можу іншим компаніям.

На жаль, існує дуже багато компаній, які намагаються заробити більше грошей на своїх клієнтах, продаючи інформацію про клієнтів або "доступ" для своїх клієнтів іншим "партнерам". І іноді це робиться за допомогою рекламного ПЗ, що не обов'язково означає, що компанія надає особисту інформацію тим партнерам. Інколи компанія може захотіти збирати інформацію про поведінку своїх клієнтів лише для того, щоб вона могла надавати більше інформації маркетологам про тип клієнта, який компанія, швидше за все, залучає, а не інформацію, що визначає особу.

Якщо я завантажую файл в VirusTotal і знайду лише одну-дві з багатьох антивірусних програм, які він використовує для сканування завантажених файлів, на яких позначено файл, як містять зловмисне програмне забезпечення, я часто вважаю це помилковими позитивними звітами, якщо код, очевидно, існує досить якийсь час, наприклад, якщо VirusTotal повідомляє, що він раніше сканував файл рік тому, і я в іншому випадку не маю причин недовіряти розробнику програмного забезпечення, і, навпаки, чомусь довіряти розробнику, наприклад, через давно добру репутацію. Але Lenovo вже попередив свою репутацію, і 12 з 53 антивірусних програм, які позначають завантажений вами файл, становить близько 23%, що я вважаю тривожно високим відсотком.

Хоча, як правило, більшість постачальників антивірусних програм надають мало, якщо така є, конкретної інформації про те, що призводить до того, що файл позначений як певний тип зловмисного програмного забезпечення та що саме означає опис зловмисного програмного забезпечення з точки зору його роботи, його часто важко точно встановити, що саме вам потрібно переживати, коли ви бачите конкретний опис. У цьому випадку навіть може бути те, що більшість із них бачать зворотний виклик TLS і позначає файл лише на цій основі. Тобто, можливо, всі 12 заявляють помилково позитивну претензію на одній і тій же помилковій основі. Іноді різні продукти надають однакові підписи для виявлення шкідливих програм, і цей підпис також може відбуватися в законній програмі.

Що стосується результату "W32 / OnlineGames.HI.gen! Eldorado", про який повідомляє пара програм на VirusTotal, це ім'я, схоже на PWS: Win32 / OnLineGames.gen! Bбез конкретної інформації про те, що призвело до висновку, що файл асоційований з W32 / OnlineGames.HI.gen! Eldorado та яка поведінка пов'язана з W32 / OnlineGames.HI.gen! Eldorado, тобто якими ключами реєстру та файлами слід очікувати щоб знайти і як поводиться програмне забезпечення з цим конкретним описом, я б не зробив висновок, що програмне забезпечення викрадає ігрові облікові дані. Без будь-яких інших доказів я думаю, що це малоймовірно. На жаль, багато описів зловмисного програмного забезпечення, які ви побачите, є так само названими загальними описами, які мають малу цінність для визначення того, наскільки ви повинні хвилюватися, бачачи цей опис, доданий до файлу. "W32" часто додається до початку багатьох імен деякими антивірусними постачальниками. Те, що вони поділяють це та "OnlineGames" та "gen" для "generic"

Я б видалив це програмне забезпечення, оскільки я вважаю, що він використовує системні ресурси без жодної користі для мене, і, якщо ви граєте в онлайн-ігри, ви можете скинути свої паролі в якості запобіжних заходів, хоча я сумніваюся, що програмне забезпечення Lenovo вкрало ігрові облікові записи в Інтернеті або робить журнал натискання клавіш. Lenovo не має зоряної репутації програмного забезпечення, яке вони містять у своїх системах, але я не бачив жодного повідомлення про те, що вони поширювали будь-яке програмне забезпечення, яке працювало б таким чином. А періодична втрата підключення до мережі може бути навіть поза вашим ПК. Наприклад, якщо інші системи в тому самому місці також періодично відчувають втрату підключення, я б подумав, що на маршрутизаторі є більша ймовірність.