Jika Anda mengklik tautan "Analisis Statis" untuk file di halaman Comodo Valkyrie, Anda akan melihat bahwa salah satu alasan untuk menandai file adalah karena "array fungsi fungsi panggil balik TLS terdeteksi". Mungkin ada alasan yang sah untuk dimasukkannya kode itu dalam executable yang Anda unggah ke situs, tetapi kode panggilan balik TLS dapat digunakan oleh pengembang malware untuk menggagalkan analisis kode mereka oleh peneliti antivirus dengan membuat proses debug kode lebih banyak sulit. Misalnya, dari
Deteksi debugger dengan panggilan balik TLS :
Callback TLS adalah fungsi yang dipanggil sebelum titik masuk proses dijalankan. Jika Anda menjalankan executable dengan debugger, callback TLS akan dieksekusi sebelum debugger istirahat. Ini berarti Anda dapat melakukan pemeriksaan anti-debugging sebelum debugger dapat melakukan apa saja. Oleh karena itu, panggilan balik TLS adalah teknik anti-debugging yang sangat kuat.
Callback TLS in the Wild membahas contoh malware menggunakan teknik ini.
Lenovo memiliki reputasi buruk dalam hal perangkat lunak yang didistribusikan dengan sistemnya. Misalnya, mulai 15 Februari 2015, artikel Ars Technica, PC Lenovo dikirimkan dengan man-in-the-middle adware yang memutus koneksi HTTPS :
Lenovo menjual komputer yang telah diinstal sebelumnya dengan adware yang membajak sesi Web terenkripsi dan dapat membuat pengguna rentan terhadap serangan man-in-the HTTPS yang sepele bagi para penyerang untuk melakukan, kata peneliti keamanan.
Ancaman kritis hadir pada PC Lenovo yang memiliki adware dari perusahaan bernama Superfish yang diinstal. Banyak orang yang menemukan perangkat lunak yang menyuntikkan iklan ke halaman Web tidak menyenangkan, ada sesuatu yang jauh lebih jahat tentang paket Superfish. Ini menginstal sertifikat HTTPS root yang ditandatangani sendiri yang dapat mencegat lalu lintas terenkripsi untuk setiap situs web yang dikunjungi pengguna. Ketika pengguna mengunjungi situs HTTPS, sertifikat situs ditandatangani dan dikendalikan oleh Superfish dan secara salah menyatakan dirinya sebagai sertifikat situs web resmi.
Serangan man-in-the-middle mengalahkan perlindungan yang seharusnya Anda miliki dengan mengunjungi situs menggunakan HTTPS daripada HTTP yang memungkinkan perangkat lunak untuk mengintip semua lalu lintas web bahkan lalu lintas antara pengguna dan lembaga keuangan seperti bank.
Ketika para peneliti menemukan perangkat lunak Superfish pada mesin Lenovo, Lenovo awalnya menyatakan "Kami telah menyelidiki teknologi ini secara menyeluruh dan tidak menemukan bukti yang mendukung masalah keamanan." Tetapi perusahaan harus menarik kembali pernyataan itu ketika peneliti keamanan mengungkapkan bagaimana perangkat lunak Superfish membuat sistem Lenovo terbuka untuk dikompromikan oleh malfaktor.
Menanggapi bencana itu, Chief Technical Officer (CTO) Lenovo, Peter Hortensius, kemudian menyatakan "Apa yang dapat saya katakan tentang hal ini hari ini adalah bahwa kami sedang mengeksplorasi berbagai pilihan yang meliputi: menciptakan citra PC yang lebih bersih (sistem operasi dan perangkat lunak yang ada di perangkat Anda langsung dari kotak) ... "Mungkin opsi itu dibuang. Misalnya, lihat artikel September 2015 Lenovo Caught Red-handed (3rd Time): Spyware Pra-Instal yang ditemukan di Laptop Lenovo oleh Swati Khandelwal seorang analis keamanan di The Hacker News , yang membahas perangkat lunak "Program Pelanggan Lenovo Feedback 64" yang Anda temukan di sistem anda.
Perbarui :
Sehubungan dengan kegunaan yang sah untuk panggilan balik Thread Local Storage (TLS), ada diskusi TLS di Wikipedia Thread Local Storageartikel. Saya tidak tahu seberapa sering programmer menggunakannya untuk penggunaan yang sah. Saya hanya menemukan satu orang menyebutkan penggunaannya yang sah untuk kemampuan; semua referensi lain untuk itu saya temukan adalah penggunaannya oleh malware. Tapi itu mungkin hanya karena penggunaan oleh pengembang malware lebih cenderung ditulis daripada programmer menulis tentang penggunaannya yang sah. Saya tidak berpikir penggunaannya sendiri adalah bukti konklusif Lenovo berusaha menyembunyikan fungsi dalam perangkat lunak yang penggunanya mungkin akan merasa khawatir jika mereka tahu semua yang dilakukan perangkat lunak. Tapi, mengingat praktik yang diketahui Lenovo, tidak hanya dengan Superfish, tetapi kemudian dengan penggunaannya Windows Platform Binary Table (WPBT) untuk "Lenovo System Engine"
Lenovo menggunakan fitur anti-pencurian Windows untuk menginstal crapware yang persisten , saya pikir ada alasan untuk agak waspada dan jauh lebih kecil kemungkinannya untuk memberikan Lenovo keuntungan yang diragukan daripada yang mungkin saya lakukan pada perusahaan lain.
Sayangnya, ada banyak perusahaan yang mencoba menghasilkan lebih banyak uang dari pelanggan mereka dengan menjual informasi pelanggan atau "akses" ke pelanggan mereka ke "mitra" lainnya. Dan kadang-kadang itu dilakukan melalui adware, yang tidak berarti perusahaan memberikan informasi yang dapat diidentifikasi secara pribadi kepada "mitra" tersebut. Kadang-kadang suatu perusahaan mungkin ingin mengumpulkan informasi tentang perilaku pelanggannya sehingga dapat memberikan lebih banyak informasi kepada pemasar tentang jenis pelanggan yang cenderung menarik perusahaan daripada informasi yang mengidentifikasi individu.
Jika saya mengunggah file ke VirusTotal dan menemukan hanya satu atau dua dari banyak program antivirus yang digunakannya untuk memindai file yang diunggah yang menandai file tersebut berisi malware, saya sering menganggapnya sebagai laporan positif palsu , jika kodenya jelas sudah ada cukup lama. beberapa waktu, misalnya, jika VirusTotal melaporkan sebelumnya memindai file setahun yang lalu, dan saya sebaliknya tidak punya alasan untuk tidak mempercayai pengembang perangkat lunak dan, sebaliknya, beberapa alasan untuk mempercayai pengembang, misalnya, karena reputasi yang baik sejak lama. Tetapi Lenovo telah menodai reputasinya dan 12 dari 53 program antivirus yang menandai file yang Anda unggah adalah sekitar 23%, yang saya anggap persentase yang sangat tinggi.
Padahal, karena sebagian besar vendor antivirus biasanya memberikan sedikit, jika ada, informasi spesifik tentang apa yang mengarah ke file yang ditandai sebagai jenis malware tertentu dan persis apa arti deskripsi malware tertentu dalam hal operasinya, seringkali sulit untuk memastikan dengan pasti apa Anda perlu khawatir ketika Anda melihat deskripsi tertentu. Dalam hal ini bahkan mungkin sebagian besar dari mereka melihat panggilan balik TLS dan menandai file berdasarkan itu saja. Yaitu, ada kemungkinan bahwa semua 12 membuat klaim positif palsu atas dasar kesalahan yang sama. Dan kadang-kadang berbagai produk berbagi tanda tangan yang sama untuk mengidentifikasi malware dan tanda tangan itu juga dapat terjadi dalam program yang sah.
Adapun hasil "W32 / OnlineGames.HI.gen! Eldorado" dilaporkan oleh beberapa program di VirusTotal menjadi nama yang mirip dengan
PWS: Win32 / OnLineGames.gen! Btanpa informasi spesifik tentang apa yang mengarah pada kesimpulan bahwa file tersebut terkait dengan W32 / OnlineGames.HI.gen! Eldorado dan perilaku apa yang terkait dengan W32 / OnlineGames.HI.gen! Eldorado, yaitu, kunci registri dan file apa yang harus diharapkan oleh seseorang untuk menemukan dan bagaimana perangkat lunak dengan deskripsi tertentu itu berperilaku, saya tidak akan menyimpulkan bahwa perangkat lunak itu mencuri kredensial game. Tanpa bukti lain, saya pikir itu tidak mungkin. Sayangnya, banyak deskripsi malware yang akan Anda lihat hanya dengan nama yang sama dengan deskripsi umum yang memiliki nilai kecil dalam menentukan seberapa khawatir Anda seharusnya ketika melihat deskripsi itu dilampirkan ke file. "W32" sering melekat pada awal banyak nama oleh beberapa vendor antivirus. Fakta bahwa mereka berbagi itu dan "OnlineGames" dan "gen" untuk "generik"
Saya akan menghapus perangkat lunak, karena saya akan menilai untuk menggunakan sumber daya sistem tanpa manfaat bagi saya, dan, jika Anda bermain game online, Anda dapat mengatur ulang kata sandi sebagai tindakan pencegahan, meskipun saya ragu perangkat lunak Lenovo telah mencuri kredensial game online atau sedang melakukan keystroke logging. Lenovo tidak memiliki reputasi bintang untuk perangkat lunak yang mereka sertakan pada sistem mereka, tetapi saya tidak melihat laporan bahwa mereka telah mendistribusikan perangkat lunak apa pun yang akan beroperasi dengan cara seperti itu. Dan hilangnya konektivitas jaringan secara berkala bahkan bisa di luar PC Anda. Misalnya, jika sistem lain di lokasi yang sama juga secara berkala mengalami kehilangan konektivitas, saya pikir ada lebih banyak masalah pada router.