Por que meu software antivírus detecta o desinstalador XiaoU / LenovoService, software Lenovo, como malware?

10

Recentemente, comprei um computador Lenovo H50-55 com o Windows 10 Home x64. Eu desinstalei alguns dos softwares Lenovo que acompanham o computador, mas não todos.

Fiz uma verificação completa de malware no computador usando o Avast Free Antivirus e ele detectou C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(que é um arquivo da Lenovo) como malicioso e me disse que era 'Win32: Malware-gen'.

Isso levou a uma investigação mais aprofundada e, por isso, carreguei o arquivo no VirusTotal, cujos resultados podem ser vistos aqui (12 dos 53 programas antivírus o detectaram como malicioso).

  • Dois dos programas antivírus no VirusTotal detectaram o arquivo setup.exe como 'W32 / OnlineGames.HI.gen! Eldorado', que de acordo com esta página da Microsoft aqui, pode roubar alguns dados bastante sérios.
  • No entanto, este é um artigo genérico para a família de malware (embora esta página da Microsoft seja mais específica e sobre um malware com nome muito semelhante que rouba credenciais).

Carreguei o arquivo no Comodo Valkyrie, cujos resultados podem ser vistos aqui . O serviço considerou malware. ATUALIZAÇÃO: A análise manual do arquivo na Comodo Valkyrie considerou-o limpo.

Eu disse ao Avast para corrigir o arquivo, mas estou preocupado que ainda haja malware ou que os dados já tenham sido roubados.

  • Isso é uma ameaça real ou não?
  • O que eu devo fazer a seguir?

Estou pensando em limpar o PC inteiro e reinstalar o Windows 10 a partir do zero, mas isso não ajudará se o roubo de dados já tiver ocorrido.

Não sei se isso está relacionado, mas encontrei uma tarefa no Agendador de tarefas do Windows chamada 'Lenovo Customer Feedback Program 64 35' que desabilitei, mas anteriormente executava um exe chamado C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exetodos os dias. Parece haver apenas um pouco de informação sobre o Programa de Feedback do Cliente na Internet. Acredito que a tarefa de Feedback do cliente seja separada do arquivo potencialmente malicioso. O exe de feedback do cliente é considerado seguro pelo VirusTotal e a própria Lenovo possui um artigo sobre o assunto aqui , que diz que envia dados não pessoais.

Minha conexão de rede parece cair por breves períodos de tempo de vez em quando. Não sei se esse é um problema relacionado.

LJD200
fonte
1
Encontrei o Programa de Feedback do Cliente Lenovo mencionado em um artigo e parece ser algum software de monitoramento / rastreamento da Lenovo. Mais sobre isso e como desativá-lo aqui .
MC10
1
Obrigado pela informação, @ MC10. Eu já desabilitei a tarefa. Não tenho o "Lenovo Experience Improvement" listado em Programas e Recursos, mas é possível que eu o tenha desinstalado anteriormente. Eu tenho o computador há menos de 90 dias.
LJD200
Leia isto: lifehacker.com/5717628/… lifehacker.com/… Existem links para alguns utilitários para ajudar a se livrar de crapware e bloatware.
precisa
O Avast parece ter enlouquecido ultimamente. Há centenas de perguntas sobre SO desde o último mês, sobre o fato de arruinar completamente o uso inócuo do Visual Studio de maneira semelhante.
Lightness Races em órbita
@LionelDoolan obrigado pelos artigos; Vou dar uma olhada.
LJD200

Respostas:

12

Se você clicar no link "Análise estática" do arquivo na página Comodo Valkyrie, verá que um dos motivos para sinalizar o arquivo foi porque "a matriz de funções de retorno de chamada TLS foi detectada". Pode haver um motivo legítimo para a inclusão desse código no executável que você carregou no site, mas o código de retorno de chamada TLS pode ser usado por desenvolvedores de malware para impedir a análise de seu código por pesquisadores de antivírus, facilitando o processo de depuração do código difícil. Por exemplo, do Detect debugger com retorno de chamada TLS :

O retorno de chamada TLS é uma função chamada antes da execução do ponto de entrada do processo. Se você executar o executável com um depurador, o retorno de chamada TLS será executado antes da quebra do depurador. Isso significa que você pode executar verificações anti-depuração antes que o depurador possa fazer qualquer coisa. Portanto, o retorno de chamada TLS é uma técnica anti-depuração muito poderosa.

As chamadas de retorno TLS in the Wild discutem um exemplo de malware usando essa técnica.

A Lenovo tem uma má reputação em relação ao software que distribuiu com seus sistemas. Por exemplo, no artigo da Ars Technica de 15 de fevereiro de 2015, os PCs Lenovo são fornecidos com adware man-in-the-middle que interrompe as conexões HTTPS :

A Lenovo está vendendo computadores que vêm pré-instalados com adware que sequestra sessões da Web criptografadas e podem tornar os usuários vulneráveis ​​a ataques HTTPS intermediários que são triviais para os invasores, disseram pesquisadores de segurança.

A ameaça crítica está presente nos PCs da Lenovo que possuem adware de uma empresa chamada Superfish instalada. Por mais desagradável que muitas pessoas achem software que injeta anúncios em páginas da Web, há algo muito mais nefasto no pacote Superfish. Ele instala um certificado HTTPS raiz autoassinado que pode interceptar o tráfego criptografado para todos os sites visitados por um usuário. Quando um usuário visita um site HTTPS, o certificado do site é assinado e controlado pela Superfish e representa-se falsamente como o certificado oficial do site.

Um ataque intermediário anula a proteção que você teria visitando um site usando HTTPS em vez de HTTP, permitindo que o software espionasse todo o tráfego da Web, inclusive o tráfego entre o usuário e instituições financeiras, como bancos.

Quando os pesquisadores encontraram o software Superfish nas máquinas Lenovo, a Lenovo alegou inicialmente "Investigamos minuciosamente essa tecnologia e não encontramos nenhuma evidência para comprovar preocupações de segurança". Mas a empresa teve que retirar essa declaração quando os pesquisadores de segurança revelaram como o software Superfish tornou os sistemas da Lenovo abertos ao comprometimento de malfeitores.

Em resposta a esse desastre, o Diretor Técnico (CTO) da Lenovo, Peter Hortensius, declarou: "O que posso dizer sobre isso hoje é que estamos explorando uma ampla gama de opções que incluem: criar uma imagem de PC mais limpa (sistema operacional e software que está no seu dispositivo imediatamente) ... "Talvez essa opção tenha sido descartada. Por exemplo, consulte o artigo de setembro de 2015 que a Lenovo pegou em flagrante (terceira vez): Spyware pré-instalado encontrado nos laptops da Lenovo por Swati Khandelwal, analista de segurança do The Hacker News , que discute o software "Lenovo Customer Feedback Program 64" encontrado em Seu sistema.

Atualização :

Em relação aos usos legítimos para retornos de chamada TLS (armazenamento local de threads), há uma discussão TLS no armazenamento local de threads da Wikipediaartigo. Não sei com que frequência os programadores o usam para usos legítimos. Eu encontrei apenas uma pessoa mencionando seu uso legítimo para a capacidade; todas as outras referências que encontrei foram ao uso por malware. Mas isso pode ser simplesmente porque o uso por desenvolvedores de malware tem mais probabilidade de ser escrito do que programadores escrevendo sobre seu uso legítimo. Eu não acho que seu uso por si só seja uma evidência conclusiva que a Lenovo está tentando ocultar funções no software que seus usuários provavelmente achariam alarmantes se soubessem tudo o que o software fazia. Mas, dadas as práticas conhecidas da Lenovo, não apenas com o Superfish, mas posteriormente com o uso da Tabela Binária da Plataforma Windows (WPBT) para o "Lenovo System Engine" A Lenovo usou o recurso anti-roubo do Windows para instalar crapware persistente , acho que há motivos para ser um pouco cauteloso e com muito menos probabilidade de dar à Lenovo o benefício da dúvida do que outras empresas.

Infelizmente, existem muitas empresas que tentam ganhar mais dinheiro com seus clientes vendendo informações ou "acesso" a seus clientes a outros "parceiros". E às vezes isso é feito através de adware, o que não significa necessariamente que a empresa esteja fornecendo informações de identificação pessoal a esses "parceiros". Às vezes, uma empresa pode querer coletar informações sobre o comportamento de seus clientes, apenas para fornecer mais informações aos profissionais de marketing sobre o tipo de cliente que a empresa provavelmente atrairá, em vez de informações que identificam um indivíduo.

Se eu enviar um arquivo para o VirusTotal e encontrar apenas um ou dois dos muitos programas antivírus que ele usa para verificar os arquivos carregados que sinalizam o arquivo como contendo malware, geralmente os considero como relatórios de falso positivo , se o código já existir há bastante tempo. algum tempo, por exemplo, se o VirusTotal relata que ele digitalizou o arquivo anteriormente há um ano e, caso contrário, não tenho motivos para desconfiar do desenvolvedor de software e, pelo contrário, algum motivo para confiar no desenvolvedor, por exemplo, devido a uma boa reputação de longa data. Mas a Lenovo já manchou sua reputação e 12 dos 53 programas antivírus que sinalizam o arquivo que você enviou são cerca de 23%, o que considero uma porcentagem preocupantemente alta.

No entanto, como a maioria dos fornecedores de antivírus geralmente fornece poucas informações específicas, se houver alguma, sobre o que leva a um arquivo ser sinalizado como um tipo específico de malware e exatamente o que uma descrição de malware específica significa em termos de operação, muitas vezes é difícil determinar exatamente o que você precisa se preocupar quando vir uma descrição específica. Nesse caso, pode até ser que a maioria deles esteja vendo um retorno de chamada TLS e sinalizando o arquivo somente com base nisso. Ou seja, é possível que todos os 12 estejam fazendo uma alegação de falso positivo na mesma base equivocada. E, às vezes, produtos diferentes compartilham as mesmas assinaturas para identificar malware e essa assinatura também pode ocorrer em um programa legítimo.

Quanto ao resultado "W32 / OnlineGames.HI.gen! Eldorado" relatado por alguns dos programas no VirusTotal, sendo um nome semelhante ao PWS: Win32 / OnLineGames.gen! Bsem informações específicas sobre o que levou à conclusão de que o arquivo está associado ao W32 / OnlineGames.HI.gen! Eldorado e qual comportamento está associado ao W32 / OnlineGames.HI.gen! Eldorado, ou seja, quais chaves e arquivos de registro se deve esperar para descobrir e como o software com essa descrição específica se comporta, eu não concluiria que o software rouba credenciais de jogos. Sem nenhuma outra evidência, acho isso improvável. Infelizmente, muitas das descrições de malware que você verá são apenas descrições genéricas de mesmo nome, que são de pouco valor para determinar o quanto você deve estar preocupado ao ver essa descrição anexada a um arquivo. O "W32" geralmente é anexado ao início de muitos nomes por alguns fornecedores de antivírus. O fato de compartilharem isso e "OnlineGames" e "gen" para "genérico"

Eu removeria o software, pois julgaria que ele usaria recursos do sistema sem nenhum benefício para mim e, se você jogar jogos online, poderá redefinir suas senhas como precaução, embora eu duvide que o software da Lenovo tenha roubado credenciais de jogos online ou está fazendo log de pressionamento de tecla. A Lenovo não tem uma reputação estelar do software que eles incluem em seus sistemas, mas não vi relatos de que eles tenham distribuído qualquer software que funcionasse dessa maneira. E a perda periódica de conectividade de rede pode até estar fora do seu PC. Por exemplo, se outros sistemas no mesmo local também experimentarem periodicamente uma perda de conectividade, eu acho que há mais probabilidade de um problema em um roteador.

ponto da lua
fonte
Obrigado pela sua resposta. Então você acha que isso pode ser malicioso e, se sim, o que você acha que faz? Quando você esperaria que um aplicativo não-malicioso usasse TLS? Entendo que a Lenovo teve vários incidentes com relação a software pré-instalado, mas você acha que eles instalariam malware, especialmente um keylogger como mencionado na postagem original? Por um lado, esse arquivo parece suspeito, tomando medidas para ocultar aparentemente seu código.
LJD200
Por outro lado, é de um conhecido fabricante de PCs (a menos que o arquivo tenha sido invadido por outro programa?) E parece ser sinalizado como malicioso por um número bastante pequeno de programas antivírus no VirusTotal.
LJD200
O rootkit da Sony também era de um fabricante conhecido.
Alan Shutko
@ LJD200, atualizei meu post com base em suas perguntas.
moonpoint
@moonpoint Muito obrigado pela sua resposta. Esta é uma excelente resposta e a marquei como aceita. Vou reinstalar o Windows por segurança, mas acho que o risco de roubo de dados sérios é pequeno. O carimbo de data / hora suspeito também detectado pela Valkyrie, acho que deve-se a extrair o arquivo do baú do vírus Avast, que altera o carimbo de data / hora. Esse incidente, juntamente com os vários outros que ocorreram no passado, mancharam minha visão da Lenovo e não usarei o software deles no futuro, mas estou feliz que esse incidente não tenha levado a nada a sério.
LJD200