Perché il mio software antivirus rileva il programma di disinstallazione XiaoU / LenovoService, il software Lenovo, come malware?

10

Di recente ho acquistato un computer Lenovo H50-55 con Windows 10 Home x64 su di esso. Ho disinstallato alcuni dei software Lenovo forniti con il computer, ma non tutti.

Ho eseguito una scansione completa del malware del computer utilizzando Avast Free Antivirus e ha rilevato C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(che è un file Lenovo) come dannoso e mi ha detto che era "Win32: Malware-gen".

Ciò ha richiesto ulteriori indagini e quindi ho caricato il file su VirusTotal, i cui risultati possono essere visualizzati qui (12 programmi antivirus su 53 lo hanno rilevato come dannoso).

  • Due dei programmi antivirus su VirusTotal hanno rilevato il file setup.exe come "W32 / OnlineGames.HI.gen! Eldorado", che secondo questa pagina di Microsoft qui potrebbe rubare alcuni dati piuttosto seri.
  • Questo è tuttavia un articolo generico per la famiglia di malware (sebbene questa pagina Microsoft sia più specifica e riguardi un malware molto simile che ruba le credenziali).

Ho caricato il file su Comodo Valkyrie, i cui risultati possono essere visualizzati qui . Il servizio lo ha considerato malware. AGGIORNAMENTO: l'analisi manuale del file su Comodo Valkyrie lo ha ritenuto pulito.

Ho detto ad Avast di riparare il file, ma sono preoccupato che ulteriori malware possano ancora rimanere o che i dati potrebbero essere già stati rubati.

  • È una vera minaccia o no?
  • Cosa dovrei fare dopo?

Sto pensando di cancellare l'intero PC e reinstallare Windows 10 da zero, ma ciò non aiuta se si è già verificato un furto di dati.

Non so se questo sia correlato, ma ho trovato un'attività nell'Utilità di pianificazione di Windows denominata "Lenovo Customer Feedback Program 64 35" che ho disabilitato ma in precedenza eseguivo un exe chiamato C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exeogni giorno. Sembra che ci siano solo alcune informazioni sul programma di feedback dei clienti su Internet. Ritengo che l'attività di feedback dei clienti sia separata dal file potenzialmente dannoso. L'exe feedback dei clienti è considerato sicuro da VirusTotal e Lenovo stessi hanno un articolo su di esso qui , che dice che invia i dati non personali.

La mia connessione di rete sembra interrompersi per brevi periodi ogni tanto. Non so se si tratti di un problema correlato.

windows  malware  lenovo-desktop-computer 
LJD200
fonte
1
Ho trovato il programma di feedback dei clienti Lenovo menzionato in un articolo e sembra essere un software di monitoraggio / monitoraggio Lenovo. Maggiori informazioni su come disattivarlo qui .
MC10,
1
Grazie per le informazioni, @ MC10. Ho già disabilitato l'attività. Non ho "Lenovo Experience Improvement" elencato in Programmi e funzionalità, ma è possibile che lo abbia precedentemente disinstallato. Ho avuto il computer per meno di 90 giorni.
LJD200,
Leggi questo: lifehacker.com/5717628/… lifehacker.com/… Ci sono collegamenti ad alcune utility per aiutarti a sbarazzarti di crapware e bloatware.
Lionel Doolan,
Avast sembra essere diventato mentalmente ultimamente. Ci sono centinaia di domande su SO dell'ultimo mese circa che rovinano completamente l'uso innocuo di Visual Studio in un modo simile.
Razze di leggerezza in orbita il
@LionelDoolan grazie per gli articoli; Darò un'occhiata.
LJD200,

Risposte:

12

Se si fa clic sul collegamento "Analisi statica" per il file nella pagina Comodo Valkyrie, si noterà che uno dei motivi per contrassegnare il file è stato "Rilevamento dell'array di funzioni di callback TLS". Potrebbe esserci un motivo legittimo per l'inclusione di quel codice all'interno dell'eseguibile che hai caricato sul sito, ma il codice di richiamata TLS può essere utilizzato dagli sviluppatori di malware per contrastare l'analisi del loro codice da parte dei ricercatori antivirus rendendo il processo di debug del codice più difficile. Ad esempio, da Detect debugger con callback TLS :

Il callback TLS è una funzione chiamata prima dell'esecuzione del punto di ingresso del processo. Se si esegue l'eseguibile con un debugger, il callback TLS verrà eseguito prima dell'interruzione del debugger. Ciò significa che è possibile eseguire controlli anti-debug prima che il debugger possa fare qualsiasi cosa. Pertanto, il callback TLS è una tecnica anti-debugging molto potente.

TLS Callbacks in the Wild discute un esempio di malware che utilizza questa tecnica.

Lenovo ha una cattiva reputazione per quanto riguarda il software che ha distribuito con i suoi sistemi. Ad esempio, dall'articolo di Ars Technica del 15 febbraio 2015 i PC Lenovo vengono forniti con adware man-in-the-middle che interrompe le connessioni HTTPS :

Lenovo sta vendendo computer preinstallati con adware che dirottano sessioni Web crittografate e potrebbero rendere gli utenti vulnerabili agli attacchi HTTPS man-in-the-middle che sono banali per gli aggressori, hanno detto i ricercatori della sicurezza.

La minaccia critica è presente sui PC Lenovo che dispongono di adware di una società chiamata Superfish installata. Per quanto sfavorevole come molte persone trovano software che inietta annunci nelle pagine Web, c'è qualcosa di molto più nefasto nel pacchetto Superfish. Installa un certificato HTTPS radice autofirmato che può intercettare il traffico crittografato per ogni sito Web visitato dall'utente. Quando un utente visita un sito HTTPS, il certificato del sito viene firmato e controllato da Superfish e si presenta erroneamente come certificato ufficiale del sito Web.

Un attacco man-in-the-middle sconfigge la protezione che avresti altrimenti visitando un sito utilizzando HTTPS anziché HTTP, consentendo al software di curiosare su tutto il traffico web, incluso il traffico tra l'utente e le istituzioni finanziarie come le banche.

Quando i ricercatori hanno scoperto il software Superfish su macchine Lenovo, Lenovo inizialmente ha affermato "Abbiamo studiato a fondo questa tecnologia e non abbiamo trovato prove a sostegno di problemi di sicurezza". Ma la società ha dovuto ritirare tale affermazione quando i ricercatori della sicurezza hanno rivelato come il software Superfish ha reso i sistemi Lenovo aperti a compromessi da malfattori.

In risposta a questa debacle, il Chief Technical Officer (CTO) di Lenovo, Peter Hortensius, ha poi dichiarato "Quello che posso dire al riguardo oggi è che stiamo esplorando una vasta gamma di opzioni che includono: la creazione di un'immagine PC più pulita (il sistema operativo e software che è sul dispositivo immediatamente pronto per l'uso) ... "Forse quell'opzione è stata scartata. Ad esempio, vedi l'articolo di settembre 2015 Lenovo catturato in prima persona (terza volta): spyware preinstallato trovato nei laptop Lenovo da Swati Khandelwal analista di sicurezza presso The Hacker News , che discute del software "Lenovo Customer Feedback Program 64" che hai trovato su il tuo sistema.

Aggiornamento :

Per quanto riguarda gli usi legittimi per i callback di Thread Local Storage (TLS), c'è una discussione TLS nella Wikipedia Thread Local Storagearticolo. Non so con che frequenza i programmatori lo utilizzino per usi legittimi. Ho trovato solo una persona che menziona il suo uso legittimo per la capacità; tutti gli altri riferimenti ad esso trovati sono stati utilizzati dal malware. Ma ciò potrebbe essere semplicemente dovuto al fatto che l'utilizzo da parte degli sviluppatori di malware ha maggiori probabilità di essere scritto rispetto ai programmatori che scrivono del loro utilizzo legittimo. Non penso che il suo utilizzo da solo sia una prova conclusiva che Lenovo sta cercando di nascondere funzioni nel software che i suoi utenti potrebbero trovare allarmanti se sapessero tutto ciò che il software ha fatto. Ma, date le pratiche note di Lenovo, non solo con Superfish, ma successivamente con il suo uso della piattaforma binaria di piattaforma Windows (WPBT) per "Lenovo System Engine" Lenovo ha utilizzato la funzionalità antifurto di Windows per installare crapware persistenti , penso che ci sia motivo di essere un po 'diffidenti e molto meno propensi a dare a Lenovo il vantaggio del dubbio rispetto a quanto potrei fare con altre società.

Sfortunatamente, ci sono molte aziende che cercano di guadagnare di più dai loro clienti vendendo informazioni sui clienti o "accedendo" ai loro clienti ad altri "partner". E a volte ciò avviene tramite adware, il che non significa necessariamente che l'azienda stia fornendo informazioni di identificazione personale a tali "partner". A volte un'azienda potrebbe voler raccogliere informazioni sul comportamento dei propri clienti in modo da poter fornire maggiori informazioni agli operatori di marketing sul tipo di cliente che l'azienda è in grado di attrarre piuttosto che informazioni che identificano un individuo.

Se carico un file su VirusTotal e trovo solo uno o due dei molti programmi antivirus che utilizza per scansionare i file caricati che contrassegnano il file come contenenti malware, spesso li considero come rapporti falsi positivi , se il codice è ovviamente in circolazione da un po 'di tempo, ad esempio, se VirusTotal ha segnalato di aver scansionato il file in precedenza un anno fa, e altrimenti non ho motivo di diffidare dello sviluppatore del software e, al contrario, qualche motivo per fidarmi dello sviluppatore, ad esempio, a causa di una buona reputazione di lunga data. Ma Lenovo ha già offuscato la sua reputazione e 12 dei 53 programmi antivirus che segnalano il file caricato sono circa il 23%, che considero una percentuale preoccupantemente alta.

Tuttavia, dal momento che la maggior parte dei fornitori di antivirus di solito fornisce poche, se del caso, informazioni specifiche su ciò che porta un file a essere contrassegnato come un particolare tipo di malware e esattamente cosa significa una particolare descrizione di malware in termini di funzionamento, è spesso difficile accertare esattamente cosa devi preoccuparti quando vedi una descrizione particolare. In questo caso potrebbe anche essere che la maggior parte di loro stia vedendo un callback TLS e contrassegni il file solo su quella base. Vale a dire, è possibile che tutti e 12 stiano presentando un reclamo falso positivo sulla stessa base errata. E a volte prodotti diversi condividono le stesse firme per identificare il malware e quella firma può anche verificarsi in un programma legittimo.

Per quanto riguarda il risultato "W32 / OnlineGames.HI.gen! Eldorado" riportato da un paio di programmi su VirusTotal è un nome simile a PWS: Win32 / OnLineGames.gen! Bsenza informazioni specifiche su ciò che ha portato alla conclusione che il file è associato a W32 / OnlineGames.HI.gen! Eldorado e quale comportamento è associato a W32 / OnlineGames.HI.gen! Eldorado, vale a dire quali chiavi e file di registro ci si dovrebbe aspettare per trovare e come si comporta il software con quella particolare descrizione, non concluderei che il software ruba le credenziali di gioco. Senza altre prove, penso che sia improbabile. Sfortunatamente, molte delle descrizioni dei malware che vedrai sono solo descrizioni generiche simili che hanno poco valore nel determinare quanto dovresti essere preoccupato quando vedi quella descrizione allegata a un file. "W32" è spesso associato all'inizio di molti nomi da alcuni produttori di antivirus. Il fatto che condividano questo e "OnlineGames" e "gen" per "generico"

Rimuoverei il software, dal momento che lo giudicherei per utilizzare le risorse di sistema senza alcun vantaggio per me e, se giochi ai giochi online, potresti reimpostare le tue password come precauzione, anche se dubito che il software Lenovo abbia rubato le credenziali di gioco online o sta eseguendo la registrazione dei tasti. Lenovo non ha una reputazione eccezionale per il software che include nei propri sistemi, ma non ho visto alcuna notizia secondo cui avrebbe distribuito software che avrebbe funzionato in questo modo. E la perdita periodica della connettività di rete potrebbe anche essere al di fuori del tuo PC. Ad esempio, se anche altri sistemi nella stessa posizione riscontrano periodicamente una perdita di connettività, penso che ci sia più probabilmente un problema su un router.

moonpoint
fonte
Grazie per la tua risposta. Quindi pensi che questo possa essere dannoso e, in tal caso, cosa pensi che faccia? Quando ti aspetteresti che un'applicazione non dannosa usi TLS? Capisco che Lenovo abbia avuto diversi incidenti per quanto riguarda il software preinstallato ma pensi che installerebbe malware, specialmente potenzialmente un keylogger come menzionato nel post originale? Da un lato, questo file sembra sospetto, prendendo misure per nascondere il suo codice.
LJD200,
D'altra parte, proviene da un noto produttore di PC (a meno che il file non sia stato dirottato da un altro programma?) E sembra essere contrassegnato come dannoso da un numero piuttosto piccolo di programmi antivirus su VirusTotal.
LJD200,
Anche il rootkit di Sony proveniva da un noto produttore.
Alan Shutko,
@ LJD200, ho aggiornato il mio post in base alle tue domande.
moonpoint
@moonpoint Grazie mille per la tua risposta. Questa è una risposta eccellente e l'ho contrassegnata come accettata. Reinstallerò Windows per essere al sicuro, ma penso che il rischio di furto di dati seri sia ridotto. Il timestamp sospetto rilevato anche da Valkyrie penso sia dovuto al fatto che ho estratto il file dal baule del virus Avast, che cambia il timestamp. Questo incidente, insieme a molti altri che si sono verificati in passato, ha offuscato la mia visione di Lenovo e non userò il loro software in futuro, ma sono contento che questo incidente non sia arrivato a nulla di grave.
LJD200,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.