Почему мое антивирусное программное обеспечение обнаруживает в качестве вредоносного ПО деинсталлятор XiaoU/LenovoService, программное обеспечение Lenovo?

Если щелкнуть ссылку "Статический анализ" для файла на странице Comodo Valkyrie, вы увидите, что одной из причин пометки файла была причина "Обнаружен массив функций обратного вызова TLS". Может существовать законная причина для включения этого кода в исполняемый файл, загруженный вами на сайт, но разработчики вредоносных программ могут использовать код обратного вызова TLS, чтобы помешать анализу своего кода исследователями антивирусов, сделав процесс отладки кода более сложно. Например, от Отладчика обнаружения с обратным вызовом TLS:

Обратный вызов TLS - это функция, которая вызывается перед выполнением точки входа в процесс. Если вы запустите исполняемый файл с отладчиком, обратный вызов TLS будет выполнен до того, как отладчик прервется. Это означает, что вы можете выполнить анти-отладочные проверки, прежде чем отладчик сможет что-либо сделать. Таким образом, обратный вызов TLS является очень мощной анти-отладочной техникой.

TLS Callbacks в Wild обсуждает пример вредоносного ПО, использующего эту технику.

У Lenovo плохая репутация в отношении программного обеспечения, которое она распространяла со своими системами. Например, из статьи Ars Technica от 15 февраля 2015 года ПК Lenovo поставляются с рекламным ПО типа "человек посередине", которое разрывает HTTPS-соединения:

По словам исследователей, Lenovo продает компьютеры с предустановленным рекламным ПО, которое захватывает зашифрованные веб-сеансы и может сделать пользователей уязвимыми для HTTPS-атак типа "человек посередине", которые для злоумышленников тривиальны.

Критическая угроза присутствует на компьютерах Lenovo, на которых установлено рекламное ПО от компании Superfish. Несмотря на то, что многие люди находят программное обеспечение, которое внедряет рекламу в веб-страницы, в пакете Superfish есть нечто гораздо более гнусное. Он устанавливает самозаверяющий корневой HTTPS-сертификат, который может перехватывать зашифрованный трафик для каждого веб-сайта, который посещает пользователь. Когда пользователь посещает сайт HTTPS, сертификат сайта подписывается и контролируется Superfish и ложно выступает в качестве официального сертификата сайта.

Атака "человек посередине" нарушает защиту, которую вы могли бы получить, посещая сайт с использованием HTTPS, а не HTTP, позволяя программному обеспечению отслеживать весь веб-трафик, даже трафик между пользователем и финансовыми учреждениями, такими как банки.

Когда исследователи обнаружили программное обеспечение Superfish на компьютерах Lenovo, Lenovo первоначально заявила, что "мы тщательно исследовали эту технологию и не нашли никаких доказательств в обоснование проблем безопасности". Но компании пришлось отказаться от этого заявления, когда исследователи в области безопасности показали, как программное обеспечение Superfish делает системы Lenovo открытыми для компрометации со стороны злоумышленников.

В ответ на этот провал главный технический директор Lenovo Питер Хортензиус (Peter Hortensius) заявил: "Сегодня я могу сказать, что мы исследуем широкий спектр возможностей, в том числе: создание более чистого образа ПК (операционной системы и программное обеспечение, которое находится на вашем устройстве прямо из коробки)..."Возможно, эта опция была отброшена. Например, см. Статью Lenovo за сентябрь 2015 года, пойманную с поличным (в третий раз): предустановленная программа-шпион, обнаруженная в ноутбуках Lenovo Swati Khandelwal, аналитиком по безопасности в The Hacker News, посвященная программному обеспечению Lenovo Customer Feedback Program 64, которое вы нашли на ваша система.

Обновление:

Что касается законного использования обратных вызовов потока локального хранилища (TLS), то в статье Википедии потока локальное хранилище обсуждается TLS. Я не знаю, как часто программисты используют его для законного использования. Я нашел только одного человека, который упомянул о его законном использовании этой способности; все остальные ссылки на него, которые я обнаружил, касались его использования вредоносными программами. Но это может быть просто потому, что об использовании разработчиками вредоносного ПО пишут с большей вероятностью, чем программисты об их законном использовании. Я не думаю, что его использование само по себе является убедительным доказательством того, что Lenovo пытается скрыть функции в программном обеспечении, которые его пользователи, вероятно, сочтут тревожными, если будут знать все, что делает программное обеспечение. Но, учитывая известную практику Lenovo, не только с Superfish, но впоследствии с использованием двоичной таблицы платформы Windows (WPBT) для "Lenovo System Engine", чтобы гарантировать, что программное обеспечение OneKey Optimizer (OKO) будет установлено в системе, даже если пользователь попытался создать "чистую" установку Windows, как описано в документе Lenovo, который использовал функцию защиты от кражи Windows для установки постоянного программного обеспечения, я думаю, что есть причина для некоторой настороженности, и я гораздо реже склоняю Lenovo к сомнению. чем я мог бы другие компании.

К сожалению, есть много компаний, которые пытаются заработать больше денег на своих клиентах, продавая информацию о клиентах или "доступ" к своим клиентам другим "партнерам". И иногда это делается с помощью рекламного ПО, что не обязательно означает, что компания предоставляет личную информацию для этих "партнеров". Время от времени компания может собирать информацию о поведении своих клиентов просто для того, чтобы предоставить маркетологам больше информации о типе клиентов, которых компания может привлечь, а не информацию, идентифицирующую человека.

Если я загружаю файл в VirusTotal и нахожу только одну или две из множества антивирусных программ, которые он использует для сканирования загруженных файлов, помечая файл как содержащий вредоносное ПО, я часто расцениваю их как ложно-положительные отчеты, если код, очевидно, существовал довольно долго. какое-то время, например, если VirusTotal сообщает о том, что он ранее сканировал файл год назад, и у меня нет никаких оснований не доверять разработчику программного обеспечения и, наоборот, есть основания доверять разработчику, например, из-за давней хорошей репутации. Но Lenovo уже запятнала свою репутацию, и 12 из 53 антивирусных программ, помечающих загруженный вами файл, составляют около 23%, что я считаю крайне высоким процентом.

Несмотря на то, что большинство поставщиков антивирусных программ обычно предоставляют мало, если таковые вообще имеются, конкретной информации о том, что приводит к тому, что файл помечен как определенный тип вредоносного ПО, и точно, что означает конкретное описание вредоносного ПО с точки зрения его работы, зачастую трудно точно определить, что именно вам нужно беспокоиться, когда вы видите конкретное описание. В этом случае может даже случиться так, что большинство из них увидят обратный вызов TLS и отметят файл только на этой основе. То есть, возможно, что все 12 делают ложные положительные заявления на одной и той же ошибочной основе. И иногда разные продукты используют одни и те же подписи для идентификации вредоносных программ, и эта подпись также может встречаться в легальной программе.

Что касается результата "W32/OnlineGames.HI.gen!Eldorado", о котором сообщают несколько программ на VirusTotal, имя которого похоже на PWS: Win32 / OnLineGames.gen! B, без конкретной информации о том, что привело к выводу, что файл связан с W32 / OnlineGames.HI.gen! Eldorado и каким поведением связан с W32/OnlineGames.HI.gen!Eldorado, т. е. какие ключи и файлы реестра следует ожидать найти и как ведет себя программное обеспечение с этим конкретным описанием. не будет заключать, что программное обеспечение крадет игровые учетные данные. Без каких-либо других доказательств я думаю, что это маловероятно. К сожалению, многие из описаний вредоносных программ, которые вы увидите, являются просто одноименными общими описаниями, которые не имеют большого значения для определения степени беспокойства при просмотре этого описания, прикрепленного к файлу. "W32" часто присоединяется к началу множества имен некоторыми поставщиками антивирусов. Тот факт, что они разделяют это и "OnlineGames" и "gen" для "generic" в именах, не приведет меня к выводу, что файлы с этими именами работают одинаково.

Я бы удалил программное обеспечение, так как я бы посчитал, что оно использует системные ресурсы без какой-либо выгоды для меня, и, если вы играете в онлайн-игры, вы можете сбросить пароли в качестве меры предосторожности, хотя я сомневаюсь, что программное обеспечение Lenovo украло учетные данные онлайн-игр или делает запись нажатия клавиш. У Lenovo нет звездной репутации в отношении программного обеспечения, которое они включают в свои системы, но я не видел сообщений о том, что они распространяли какое-либо программное обеспечение, которое будет работать таким образом. И периодическая потеря сетевого подключения может даже быть за пределами вашего ПК. Например, если другие системы в том же месте также периодически испытывают потерю соединения, я думаю, что более вероятно, проблема в маршрутизаторе.