Mengapa perangkat lunak antivirus saya mendeteksi XiaoU / LenovoService uninstaller, perangkat lunak Lenovo, sebagai malware?


10

Saya baru-baru ini membeli komputer Lenovo H50-55 dengan Windows 10 Home x64 di atasnya. Saya mencopot beberapa perangkat lunak Lenovo yang dikirimkan bersama komputer, tetapi tidak semuanya.

Saya menjalankan pemindaian malware penuh komputer menggunakan Avast Free Antivirus dan terdeteksi C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(yang merupakan file Lenovo) sebagai berbahaya dan mengatakan kepada saya itu adalah 'Win32: Malware-gen'.

Ini mendorong penyelidikan lebih lanjut dan saya mengunggah file tersebut ke VirusTotal, yang hasilnya dapat dilihat di sini (12 dari 53 program antivirus mendeteksinya sebagai berbahaya).

  • Dua dari program antivirus di VirusTotal mendeteksi file setup.exe sebagai 'W32 / OnlineGames.HI.gen! Eldorado', yang menurut halaman Microsoft ini di sini dapat mencuri beberapa data yang cukup serius.
  • Namun ini adalah sebuah artikel generik untuk keluarga malware (meskipun ini halaman Microsoft lebih spesifik dan sekitar bagian yang sangat bernama sama dari malware yang mencuri kredensial).

Saya mengunggah file ke Comodo Valkyrie, yang hasilnya dapat dilihat di sini . Layanan menganggapnya malware. UPDATE: Analisis manual file pada Comodo Valkyrie dianggap bersih.

Saya mengatakan kepada Avast untuk memperbaiki file tersebut tetapi saya khawatir bahwa malware lebih lanjut masih bisa tetap atau bahwa data sudah bisa dicuri.

  • Apakah ini ancaman nyata atau tidak?
  • Apa yang harus saya lakukan selanjutnya?

Saya sedang mempertimbangkan untuk menghapus seluruh PC dan menginstal ulang Windows 10 dari awal tetapi itu tidak akan membantu jika pencurian data telah terjadi.

Saya tidak tahu apakah ini terkait, tetapi saya menemukan tugas di Penjadwal Tugas Windows yang disebut 'Lenovo Customer Feedback Program 64 35' yang saya nonaktifkan tetapi sebelumnya menjalankan exe yang dipanggil C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exesetiap hari. Tampaknya hanya ada sedikit informasi tentang Program Umpan Balik Pelanggan di Internet. Saya percaya bahwa tugas Umpan Balik Pelanggan terpisah dengan file yang berpotensi jahat. Umpan balik pelanggan dianggap aman oleh VirusTotal dan Lenovo sendiri memiliki artikel tentang hal itu di sini , yang mengatakan bahwa ia mengirimkan data non-pribadi.

Koneksi jaringan saya sepertinya putus untuk jangka waktu singkat setiap begitu sering. Saya tidak tahu apakah ini masalah terkait.


1
Saya menemukan Program Umpan Balik Pelanggan Lenovo yang disebutkan dalam sebuah artikel dan tampaknya ada beberapa perangkat lunak pemantauan / pelacakan Lenovo. Lebih lanjut tentang itu dan cara mematikannya di sini .
MC10

1
Terima kasih atas informasinya, @ MC10. Saya sudah menonaktifkan tugas. Saya tidak memiliki "Lenovo Experience Improvement" yang tercantum dalam Program dan Fitur tetapi ada kemungkinan bahwa saya sebelumnya mencopotnya. Saya memiliki komputer kurang dari 90 hari.
LJD200

Bacalah ini: lifehacker.com/5717628/… lifehacker.com/... Ada tautan ke beberapa utilitas untuk membantu menyingkirkan crapware dan bloatware.
Lionel Doolan

Avast sepertinya sudah gila belakangan ini. Ada ratusan pertanyaan pada SO dari bulan lalu atau lebih tentang hal itu benar-benar merusak penggunaan Visual Studio dengan cara yang sama.
Lightness Races in Orbit

@LionelDoolan terima kasih atas artikelnya; Aku akan melihatnya.
LJD200

Jawaban:


12

Jika Anda mengklik tautan "Analisis Statis" untuk file di halaman Comodo Valkyrie, Anda akan melihat bahwa salah satu alasan untuk menandai file adalah karena "array fungsi fungsi panggil balik TLS terdeteksi". Mungkin ada alasan yang sah untuk dimasukkannya kode itu dalam executable yang Anda unggah ke situs, tetapi kode panggilan balik TLS dapat digunakan oleh pengembang malware untuk menggagalkan analisis kode mereka oleh peneliti antivirus dengan membuat proses debug kode lebih banyak sulit. Misalnya, dari Deteksi debugger dengan panggilan balik TLS :

Callback TLS adalah fungsi yang dipanggil sebelum titik masuk proses dijalankan. Jika Anda menjalankan executable dengan debugger, callback TLS akan dieksekusi sebelum debugger istirahat. Ini berarti Anda dapat melakukan pemeriksaan anti-debugging sebelum debugger dapat melakukan apa saja. Oleh karena itu, panggilan balik TLS adalah teknik anti-debugging yang sangat kuat.

Callback TLS in the Wild membahas contoh malware menggunakan teknik ini.

Lenovo memiliki reputasi buruk dalam hal perangkat lunak yang didistribusikan dengan sistemnya. Misalnya, mulai 15 Februari 2015, artikel Ars Technica, PC Lenovo dikirimkan dengan man-in-the-middle adware yang memutus koneksi HTTPS :

Lenovo menjual komputer yang telah diinstal sebelumnya dengan adware yang membajak sesi Web terenkripsi dan dapat membuat pengguna rentan terhadap serangan man-in-the HTTPS yang sepele bagi para penyerang untuk melakukan, kata peneliti keamanan.

Ancaman kritis hadir pada PC Lenovo yang memiliki adware dari perusahaan bernama Superfish yang diinstal. Banyak orang yang menemukan perangkat lunak yang menyuntikkan iklan ke halaman Web tidak menyenangkan, ada sesuatu yang jauh lebih jahat tentang paket Superfish. Ini menginstal sertifikat HTTPS root yang ditandatangani sendiri yang dapat mencegat lalu lintas terenkripsi untuk setiap situs web yang dikunjungi pengguna. Ketika pengguna mengunjungi situs HTTPS, sertifikat situs ditandatangani dan dikendalikan oleh Superfish dan secara salah menyatakan dirinya sebagai sertifikat situs web resmi.

Serangan man-in-the-middle mengalahkan perlindungan yang seharusnya Anda miliki dengan mengunjungi situs menggunakan HTTPS daripada HTTP yang memungkinkan perangkat lunak untuk mengintip semua lalu lintas web bahkan lalu lintas antara pengguna dan lembaga keuangan seperti bank.

Ketika para peneliti menemukan perangkat lunak Superfish pada mesin Lenovo, Lenovo awalnya menyatakan "Kami telah menyelidiki teknologi ini secara menyeluruh dan tidak menemukan bukti yang mendukung masalah keamanan." Tetapi perusahaan harus menarik kembali pernyataan itu ketika peneliti keamanan mengungkapkan bagaimana perangkat lunak Superfish membuat sistem Lenovo terbuka untuk dikompromikan oleh malfaktor.

Menanggapi bencana itu, Chief Technical Officer (CTO) Lenovo, Peter Hortensius, kemudian menyatakan "Apa yang dapat saya katakan tentang hal ini hari ini adalah bahwa kami sedang mengeksplorasi berbagai pilihan yang meliputi: menciptakan citra PC yang lebih bersih (sistem operasi dan perangkat lunak yang ada di perangkat Anda langsung dari kotak) ... "Mungkin opsi itu dibuang. Misalnya, lihat artikel September 2015 Lenovo Caught Red-handed (3rd Time): Spyware Pra-Instal yang ditemukan di Laptop Lenovo oleh Swati Khandelwal seorang analis keamanan di The Hacker News , yang membahas perangkat lunak "Program Pelanggan Lenovo Feedback 64" yang Anda temukan di sistem anda.

Perbarui :

Sehubungan dengan kegunaan yang sah untuk panggilan balik Thread Local Storage (TLS), ada diskusi TLS di Wikipedia Thread Local Storageartikel. Saya tidak tahu seberapa sering programmer menggunakannya untuk penggunaan yang sah. Saya hanya menemukan satu orang menyebutkan penggunaannya yang sah untuk kemampuan; semua referensi lain untuk itu saya temukan adalah penggunaannya oleh malware. Tapi itu mungkin hanya karena penggunaan oleh pengembang malware lebih cenderung ditulis daripada programmer menulis tentang penggunaannya yang sah. Saya tidak berpikir penggunaannya sendiri adalah bukti konklusif Lenovo berusaha menyembunyikan fungsi dalam perangkat lunak yang penggunanya mungkin akan merasa khawatir jika mereka tahu semua yang dilakukan perangkat lunak. Tapi, mengingat praktik yang diketahui Lenovo, tidak hanya dengan Superfish, tetapi kemudian dengan penggunaannya Windows Platform Binary Table (WPBT) untuk "Lenovo System Engine" Lenovo menggunakan fitur anti-pencurian Windows untuk menginstal crapware yang persisten , saya pikir ada alasan untuk agak waspada dan jauh lebih kecil kemungkinannya untuk memberikan Lenovo keuntungan yang diragukan daripada yang mungkin saya lakukan pada perusahaan lain.

Sayangnya, ada banyak perusahaan yang mencoba menghasilkan lebih banyak uang dari pelanggan mereka dengan menjual informasi pelanggan atau "akses" ke pelanggan mereka ke "mitra" lainnya. Dan kadang-kadang itu dilakukan melalui adware, yang tidak berarti perusahaan memberikan informasi yang dapat diidentifikasi secara pribadi kepada "mitra" tersebut. Kadang-kadang suatu perusahaan mungkin ingin mengumpulkan informasi tentang perilaku pelanggannya sehingga dapat memberikan lebih banyak informasi kepada pemasar tentang jenis pelanggan yang cenderung menarik perusahaan daripada informasi yang mengidentifikasi individu.

Jika saya mengunggah file ke VirusTotal dan menemukan hanya satu atau dua dari banyak program antivirus yang digunakannya untuk memindai file yang diunggah yang menandai file tersebut berisi malware, saya sering menganggapnya sebagai laporan positif palsu , jika kodenya jelas sudah ada cukup lama. beberapa waktu, misalnya, jika VirusTotal melaporkan sebelumnya memindai file setahun yang lalu, dan saya sebaliknya tidak punya alasan untuk tidak mempercayai pengembang perangkat lunak dan, sebaliknya, beberapa alasan untuk mempercayai pengembang, misalnya, karena reputasi yang baik sejak lama. Tetapi Lenovo telah menodai reputasinya dan 12 dari 53 program antivirus yang menandai file yang Anda unggah adalah sekitar 23%, yang saya anggap persentase yang sangat tinggi.

Padahal, karena sebagian besar vendor antivirus biasanya memberikan sedikit, jika ada, informasi spesifik tentang apa yang mengarah ke file yang ditandai sebagai jenis malware tertentu dan persis apa arti deskripsi malware tertentu dalam hal operasinya, seringkali sulit untuk memastikan dengan pasti apa Anda perlu khawatir ketika Anda melihat deskripsi tertentu. Dalam hal ini bahkan mungkin sebagian besar dari mereka melihat panggilan balik TLS dan menandai file berdasarkan itu saja. Yaitu, ada kemungkinan bahwa semua 12 membuat klaim positif palsu atas dasar kesalahan yang sama. Dan kadang-kadang berbagai produk berbagi tanda tangan yang sama untuk mengidentifikasi malware dan tanda tangan itu juga dapat terjadi dalam program yang sah.

Adapun hasil "W32 / OnlineGames.HI.gen! Eldorado" dilaporkan oleh beberapa program di VirusTotal menjadi nama yang mirip dengan PWS: Win32 / OnLineGames.gen! Btanpa informasi spesifik tentang apa yang mengarah pada kesimpulan bahwa file tersebut terkait dengan W32 / OnlineGames.HI.gen! Eldorado dan perilaku apa yang terkait dengan W32 / OnlineGames.HI.gen! Eldorado, yaitu, kunci registri dan file apa yang harus diharapkan oleh seseorang untuk menemukan dan bagaimana perangkat lunak dengan deskripsi tertentu itu berperilaku, saya tidak akan menyimpulkan bahwa perangkat lunak itu mencuri kredensial game. Tanpa bukti lain, saya pikir itu tidak mungkin. Sayangnya, banyak deskripsi malware yang akan Anda lihat hanya dengan nama yang sama dengan deskripsi umum yang memiliki nilai kecil dalam menentukan seberapa khawatir Anda seharusnya ketika melihat deskripsi itu dilampirkan ke file. "W32" sering melekat pada awal banyak nama oleh beberapa vendor antivirus. Fakta bahwa mereka berbagi itu dan "OnlineGames" dan "gen" untuk "generik"

Saya akan menghapus perangkat lunak, karena saya akan menilai untuk menggunakan sumber daya sistem tanpa manfaat bagi saya, dan, jika Anda bermain game online, Anda dapat mengatur ulang kata sandi sebagai tindakan pencegahan, meskipun saya ragu perangkat lunak Lenovo telah mencuri kredensial game online atau sedang melakukan keystroke logging. Lenovo tidak memiliki reputasi bintang untuk perangkat lunak yang mereka sertakan pada sistem mereka, tetapi saya tidak melihat laporan bahwa mereka telah mendistribusikan perangkat lunak apa pun yang akan beroperasi dengan cara seperti itu. Dan hilangnya konektivitas jaringan secara berkala bahkan bisa di luar PC Anda. Misalnya, jika sistem lain di lokasi yang sama juga secara berkala mengalami kehilangan konektivitas, saya pikir ada lebih banyak masalah pada router.


Terima kasih atas jawaban anda. Jadi Anda pikir ini mungkin berbahaya dan jika demikian, menurut Anda apa yang dilakukannya? Kapan Anda mengharapkan aplikasi yang tidak berbahaya menggunakan TLS? Saya mengerti Lenovo telah mengalami beberapa insiden berkaitan dengan perangkat lunak yang sudah diinstal sebelumnya, tetapi apakah Anda pikir mereka akan menginstal malware, terutama yang berpotensi menjadiylogger seperti yang disebutkan dalam posting asli? Di satu sisi, file ini tampak mencurigakan, mengambil langkah-langkah untuk menyembunyikan kodenya.
LJD200

Di sisi lain, ini dari pabrikan PC terkenal (kecuali file itu dibajak oleh program lain?) Dan tampaknya ditandai sebagai berbahaya oleh sejumlah kecil program antivirus di VirusTotal.
LJD200

Rootkit Sony juga dari produsen terkenal.
Alan Shutko

@ LJD200, saya memperbarui posting saya berdasarkan pertanyaan Anda.
moonpoint

@moonpoint Terima kasih banyak atas tanggapan Anda. Ini adalah jawaban yang sangat bagus dan saya telah menandainya sebagai diterima. Saya akan menginstal ulang Windows agar berada di sisi yang aman, tetapi saya pikir risiko data serius yang dicuri kecil. Stempel waktu yang mencurigakan juga terdeteksi oleh Valkyrie. Saya pikir ini karena saya mengekstraksi file dari peti virus Avast, yang mengubah stempel waktu. Kejadian ini, bersama dengan beberapa orang lain yang telah terjadi di masa lalu telah merusak pandangan saya tentang Lenovo dan saya tidak akan menggunakan perangkat lunak mereka di masa depan tetapi saya senang bahwa kejadian ini tidak sampai pada sesuatu yang serius.
LJD200
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.