Warum erkennt meine Antivirensoftware das XiaoU / LenovoService-Deinstallationsprogramm Lenovo als Malware?

10

Ich habe kürzlich einen Lenovo H50-55-Computer mit Windows 10 Home x64 gekauft. Ich habe einige der mit dem Computer gelieferten Lenovo-Software deinstalliert, aber nicht alle.

Ich habe mit Avast Free Antivirus einen vollständigen Malware-Scan des Computers durchgeführt und festgestellt, C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exedass es sich um eine Lenovo-Datei handelt. Dabei handelt es sich um "Win32: Malware-gen".

Dies führte zu weiteren Untersuchungen und so lud ich die Datei auf VirusTotal hoch, deren Ergebnisse hier zu sehen sind (12 von 53 Antivirenprogrammen haben sie als bösartig erkannt).

  • Zwei der Antivirenprogramme auf VirusTotal haben die Datei setup.exe als 'W32 / OnlineGames.HI.gen! Eldorado' erkannt, was laut dieser Microsoft-Seite hier einige ziemlich schwerwiegende Daten stehlen kann.
  • Dies ist jedoch ein allgemeiner Artikel für die Malware-Familie (obwohl diese Microsoft-Seite spezifischer ist und sich um eine sehr ähnlich benannte Malware handelt, die Anmeldeinformationen stiehlt).

Ich habe die Datei auf Comodo Valkyrie hochgeladen, deren Ergebnisse hier zu sehen sind . Der Dienst hielt es für Malware. UPDATE: Die manuelle Analyse der Datei auf Comodo Valkyrie wurde als sauber eingestuft.

Ich habe Avast gebeten, die Datei zu reparieren, befürchte jedoch, dass weitere Malware verbleiben oder Daten bereits gestohlen werden könnten.

  • Ist das eine echte Bedrohung oder nicht?
  • Was soll ich als nächstes tun?

Ich denke darüber nach, den gesamten PC zu löschen und Windows 10 von Grund auf neu zu installieren, aber das hilft nicht, wenn bereits Datendiebstahl aufgetreten ist.

Ich weiß nicht, ob dies damit zusammenhängt, aber ich habe im Windows Task Scheduler eine Aufgabe namens "Lenovo Customer Feedback Program 64 35" gefunden, die ich deaktiviert habe, aber zuvor C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exetäglich eine Exe namens ausgeführt habe . Es scheint nur wenige Informationen über das Kundenfeedback-Programm im Internet zu geben. Ich glaube, dass die Kundenfeedback-Aufgabe von der potenziell schädlichen Datei getrennt ist. Das Kunden - Feedback exe gilt als sicher von Virustotal und Lenovo selbst hat einen Artikel darüber hier , das sagt , dass es nicht personenbezogene Daten sendet.

Meine Netzwerkverbindung scheint von Zeit zu Zeit für kurze Zeit unterbrochen zu werden. Ich weiß nicht, ob dies ein verwandtes Problem ist.

LJD200
quelle
1
Ich habe das in einem Artikel erwähnte Lenovo Kundenfeedback-Programm gefunden und es scheint sich um eine Lenovo Überwachungs- / Verfolgungssoftware zu handeln. Mehr dazu und wie man es hier ausschaltet .
MC10
1
Danke für die Info, @ MC10. Ich habe die Aufgabe bereits deaktiviert. Ich habe "Lenovo Experience Improvement" nicht in den Programmen und Funktionen aufgeführt, aber es ist möglich, dass ich es zuvor deinstalliert habe. Ich habe den Computer seit weniger als 90 Tagen.
LJD200
Lesen Sie dies durch: lifehacker.com/5717628/… lifehacker.com/… Es gibt Links zu einigen Dienstprogrammen, mit denen Sie Crapware und Bloatware entfernen können.
Lionel Doolan
Avast scheint in letzter Zeit verrückt geworden zu sein. Es gibt Hunderte von Fragen zu SO aus dem letzten Monat oder so, die die harmlose Verwendung von Visual Studio auf ähnliche Weise völlig ruinieren.
Leichtigkeitsrennen im Orbit
@ LionelDoolan danke für die Artikel; Ich werde einen Blick darauf werfen.
LJD200

Antworten:

12

Wenn Sie auf der Comodo Valkyrie-Seite auf den Link "Statische Analyse" für die Datei klicken, sehen Sie, dass einer der Gründe für das Markieren der Datei darin bestand, dass "TLS-Rückruffunktionen-Array erkannt" wurde. Es kann einen legitimen Grund für die Aufnahme dieses Codes in die ausführbare Datei geben, die Sie auf die Site hochgeladen haben. TLS-Rückrufcode kann jedoch von Malware-Entwicklern verwendet werden, um die Analyse ihres Codes durch Antivirenforscher zu vereiteln, indem das Debuggen des Codes verstärkt wird schwierig. Beispiel: Debugger mit TLS-Rückruf erkennen :

TLS-Rückruf ist eine Funktion, die aufgerufen wird, bevor der Prozesseinstiegspunkt ausgeführt wird. Wenn Sie die ausführbare Datei mit einem Debugger ausführen, wird der TLS-Rückruf ausgeführt, bevor der Debugger unterbrochen wird. Dies bedeutet, dass Sie Anti-Debugging-Prüfungen durchführen können, bevor der Debugger etwas tun kann. Daher ist TLS-Rückruf eine sehr leistungsfähige Anti-Debugging-Technik.

TLS Callbacks in the Wild beschreibt ein Beispiel für Malware mit dieser Technik.

Lenovo hat einen schlechten Ruf in Bezug auf die Software, die es mit seinen Systemen verteilt hat. Ab dem Artikel von Ars Technica vom 15. Februar 2015 werden Lenovo PCs mit Man-in-the-Middle-Adware ausgeliefert, die HTTPS-Verbindungen unterbricht :

Laut Sicherheitsforschern verkauft Lenovo Computer, auf denen Adware vorinstalliert ist, die verschlüsselte Websitzungen entführt und Benutzer für HTTPS-Man-in-the-Middle-Angriffe anfällig macht, die für Angreifer trivial sind.

Die kritische Bedrohung besteht auf Lenovo PCs, auf denen Adware eines Unternehmens namens Superfish installiert ist. So unappetitlich viele Leute Software finden, die Anzeigen in Webseiten einfügt, so viel schändlicher ist das Superfish-Paket. Es installiert ein selbstsigniertes HTTPS-Stammzertifikat, das verschlüsselten Datenverkehr für jede Website abfangen kann, die ein Benutzer besucht. Wenn ein Benutzer eine HTTPS-Site besucht, wird das Site-Zertifikat von Superfish signiert und kontrolliert und stellt sich fälschlicherweise als offizielles Website-Zertifikat dar.

Ein Man-in-the-Middle-Angriff hebt den Schutz auf, den Sie sonst hätten, wenn Sie eine Website mit HTTPS anstelle von HTTP besuchen, sodass die Software den gesamten Webverkehr abfangen kann, auch den Verkehr zwischen dem Benutzer und Finanzinstituten wie Banken.

Als Forscher die Superfish-Software auf Lenovo-Computern fanden, behauptete Lenovo zunächst: "Wir haben diese Technologie gründlich untersucht und keine Beweise gefunden, die Sicherheitsbedenken begründen." Das Unternehmen musste diese Aussage jedoch zurückziehen, als Sicherheitsforscher enthüllten, wie die Superfish-Software Lenovo-Systeme für Kompromisse durch Übeltäter offen machte.

Als Antwort auf dieses Debakel erklärte Peter Hortensius, Chief Technical Officer (CTO) von Lenovo: "Was ich heute dazu sagen kann, ist, dass wir eine Vielzahl von Optionen prüfen, darunter: Erstellen eines saubereren PC-Images (Betriebssystem und Betriebssystem) Software, die sofort auf Ihrem Gerät installiert ist) ... "Möglicherweise wurde diese Option verworfen. Siehe beispielsweise den Artikel von Lenovo vom September 2015 auf frischer Tat ertappt (3. Mal): Vorinstallierte Spyware, die von Lenati Khandelwal, einem Sicherheitsanalysten bei The Hacker News , in Lenovo Laptops gefunden wurde und die Software "Lenovo Customer Feedback Program 64" beschreibt, auf der Sie gefunden haben dein System.

Update :

In Bezug auf legitime Verwendungen für TLS-Rückrufe (Thread Local Storage) gibt es eine Diskussion über TLS im Wikipedia Thread Local StorageArtikel. Ich weiß nicht, wie oft Programmierer es für legitime Zwecke verwenden. Ich habe nur eine Person gefunden, die seine legitime Verwendung für die Fähigkeit erwähnt; Alle anderen Verweise darauf, die ich gefunden habe, betrafen die Verwendung durch Malware. Dies kann jedoch einfach daran liegen, dass über die Verwendung durch Malware-Entwickler eher geschrieben wird als über Programmierer, die über ihre legitime Verwendung schreiben. Ich denke nicht, dass seine Verwendung allein ein schlüssiger Beweis dafür ist, dass Lenovo versucht, Funktionen in der Software zu verbergen, die seine Benutzer wahrscheinlich alarmierend finden würden, wenn sie alles wüssten, was die Software getan hat. Angesichts der bekannten Praktiken von Lenovo, nicht nur bei Superfish, sondern später bei der Verwendung der Windows Platform Binary Table (WPBT) für die "Lenovo System Engine". Lenovo hat die Windows-Diebstahlsicherungsfunktion verwendet, um dauerhafte Crapware zu installieren . Ich denke, es gibt Grund zur Vorsicht und es ist weitaus unwahrscheinlicher, dass Lenovo den Vorteil des Zweifels erhält als andere Unternehmen.

Leider gibt es viele Unternehmen, die versuchen, mit ihren Kunden mehr Geld zu verdienen, indem sie Kundeninformationen verkaufen oder anderen Kunden "Zugang" zu ihren Kunden gewähren. Und manchmal geschieht dies über Adware, was nicht unbedingt bedeutet, dass das Unternehmen diesen "Partnern" personenbezogene Daten zur Verfügung stellt. Manchmal möchte ein Unternehmen möglicherweise Informationen über das Verhalten seiner Kunden sammeln, um Marketingfachleuten mehr Informationen über den Kundentyp zu liefern, den das Unternehmen wahrscheinlich anzieht, als über Informationen, die eine Person identifizieren.

Wenn ich eine Datei auf VirusTotal hochlade und nur ein oder zwei der vielen Antivirenprogramme finde, mit denen hochgeladene Dateien gescannt werden, die die Datei als Malware enthaltend kennzeichnen, betrachte ich diese häufig als falsch positive Berichte, wenn der Code offensichtlich schon ziemlich vorhanden ist Einige Zeit, z. B. wenn VirusTotal meldet, dass es die Datei vor einem Jahr gescannt hat, und ich ansonsten keinen Grund habe, dem Softwareentwickler zu misstrauen, und im Gegenteil, einen Grund, dem Entwickler zu vertrauen, z. B. aufgrund eines seit langem guten Rufs. Aber Lenovo hat seinen Ruf bereits getrübt und 12 von 53 Antivirenprogrammen, die die von Ihnen hochgeladene Datei kennzeichnen, machen etwa 23% aus, was ich als besorgniserregend hohen Prozentsatz betrachte.

Da die meisten Antiviren-Anbieter in der Regel nur wenige oder gar keine spezifischen Informationen darüber bereitstellen, was dazu führt, dass eine Datei als eine bestimmte Art von Malware gekennzeichnet wird und was eine bestimmte Malware-Beschreibung für ihren Betrieb genau bedeutet, ist es oft schwierig, genau festzustellen, was Sie müssen sich Sorgen machen, wenn Sie eine bestimmte Beschreibung sehen. In diesem Fall kann es sogar sein, dass die meisten von ihnen einen TLS-Rückruf sehen und die Datei nur auf dieser Basis kennzeichnen. Das heißt, es ist möglich, dass alle 12 auf derselben falschen Basis eine falsch positive Behauptung aufstellen. Und manchmal haben verschiedene Produkte die gleichen Signaturen zur Identifizierung von Malware, und diese Signatur kann auch in einem legitimen Programm vorkommen.

Das Ergebnis "W32 / OnlineGames.HI.gen! Eldorado", das von einigen Programmen auf VirusTotal gemeldet wurde, ähnelt PWS: Win32 / OnLineGames.gen! B.ohne spezifische Informationen darüber, was zu der Schlussfolgerung geführt hat, dass die Datei mit W32 / OnlineGames.HI.gen! Eldorado verknüpft ist und welches Verhalten mit W32 / OnlineGames.HI.gen! Eldorado verknüpft ist, dh welche Registrierungsschlüssel und -dateien zu erwarten sind Um herauszufinden, wie sich Software mit dieser bestimmten Beschreibung verhält, würde ich nicht den Schluss ziehen, dass die Software Spielanmeldeinformationen stiehlt. Ohne weitere Beweise halte ich das für unwahrscheinlich. Leider sind viele der Malware-Beschreibungen, die Sie sehen, nur ähnlich benannte generische Beschreibungen, die von geringem Wert sind, um festzustellen, wie besorgt Sie sein sollten, wenn diese Beschreibung an eine Datei angehängt wird. "W32" wird von einigen Antiviren-Anbietern häufig an den Anfang vieler Namen angehängt. Die Tatsache, dass sie das und "OnlineGames" und "gen" für "generic" teilen

Ich würde die Software entfernen, da ich davon ausgehen würde, dass sie Systemressourcen ohne Nutzen für mich verwendet. Wenn Sie Online-Spiele spielen, können Sie Ihre Passwörter vorsichtshalber zurücksetzen, obwohl ich bezweifle, dass die Lenovo-Software Online-Gaming-Anmeldeinformationen gestohlen hat oder führt eine Tastenanschlagprotokollierung durch. Lenovo hat keinen hervorragenden Ruf für die Software, die sie auf ihren Systemen enthalten, aber ich habe keine Berichte gesehen, dass sie Software verteilt haben, die auf diese Weise funktionieren würde. Der periodische Verlust der Netzwerkverbindung kann sogar außerhalb Ihres PCs liegen. Wenn beispielsweise bei anderen Systemen am selben Standort regelmäßig ein Verbindungsverlust auftritt, liegt wahrscheinlich eher ein Problem bei einem Router vor.

Mondpunkt
quelle
Danke für deine Antwort. Sie denken also, dass dies böswillig sein könnte, und wenn ja, was tun Sie Ihrer Meinung nach? Wann würden Sie erwarten, dass eine nicht böswillige Anwendung TLS verwendet? Ich verstehe, dass Lenovo mehrere Vorfälle in Bezug auf vorinstallierte Software hatte, aber glauben Sie, dass sie Malware installieren würden, insbesondere möglicherweise einen Keylogger, wie im ursprünglichen Beitrag erwähnt? Einerseits scheint diese Datei verdächtig zu sein und ergreift Maßnahmen, um ihren Code scheinbar zu verbergen.
LJD200
Auf der anderen Seite stammt es von einem bekannten PC-Hersteller (es sei denn, die Datei wurde von einem anderen Programm entführt?) Und scheint von einer relativ kleinen Anzahl von Antivirenprogrammen auf VirusTotal als bösartig gekennzeichnet zu werden.
LJD200
Sonys Rootkit stammte ebenfalls von einem bekannten Hersteller.
Alan Shutko
@ LJD200, ich habe meinen Beitrag basierend auf Ihren Fragen aktualisiert.
Mondpunkt
@moonpoint Vielen Dank für Ihre Antwort. Dies ist eine ausgezeichnete Antwort und ich habe sie als akzeptiert markiert. Ich werde Windows aus Sicherheitsgründen neu installieren, aber ich denke, dass das Risiko, dass ernsthafte Daten gestohlen werden, gering ist. Der verdächtige Zeitstempel, der auch von Valkyrie erkannt wurde, ist meiner Meinung nach darauf zurückzuführen, dass ich die Datei aus der Avast-Virenkiste extrahiert habe, wodurch sich der Zeitstempel ändert. Dieser Vorfall hat zusammen mit den zahlreichen anderen Vorfällen, die in der Vergangenheit aufgetreten sind, meine Sicht auf Lenovo getrübt, und ich werde ihre Software in Zukunft nicht mehr verwenden, aber ich bin froh, dass dieser Vorfall zu nichts Schwerwiegendem geführt hat.
LJD200