LJD*_*200 10 windows malware lenovo-desktop-computer
我最近购买了一台装有 Windows 10 Home x64 的联想 H50-55 电脑。我卸载了计算机附带的一些 Lenovo 软件,但不是全部。
我使用 Avast Free Antivirus 对计算机进行了完整的恶意软件扫描,它检测到C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(这是一个联想文件)为恶意文件,并告诉我它是“Win32:Malware-gen”。
这促使进一步调查,所以我将文件上传到 VirusTotal,结果可以在这里看到(53 个防病毒程序中有 12 个检测到它是恶意的)。
我将文件上传到 Comodo Valkyrie,其结果可以在这里看到。该服务认为它是恶意软件。更新:对 Comodo Valkyrie 上的文件的手动分析认为它是干净的。
我告诉 Avast 修复该文件,但我担心可能仍然存在更多恶意软件,或者数据可能已经被盗。
我正在考虑擦除整个 PC 并从头开始重新安装 Windows 10,但如果数据被盗已经发生,这将无济于事。
我不知道这是否相关,但我在 Windows 任务计划程序中找到了一个名为“联想客户反馈程序 64 35”的任务,我禁用了它,但之前C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe每天都在运行一个 exe 。互联网上似乎只有一点点关于客户反馈计划的信息。我相信客户反馈任务与潜在的恶意文件是分开的。VirusTotal 认为客户反馈的 exe 是安全的,联想自己在这里有一篇关于它的文章,其中说它发送非个人数据。
我的网络连接似乎每隔一段时间就会短时间掉线。我不知道这是否是一个相关的问题。
moo*_*int 12
如果您在 Comodo Valkyrie 页面上单击该文件的“静态分析”链接,您将看到标记该文件的原因之一是因为“检测到 TLS 回调函数数组”。在您上传到网站的可执行文件中包含该代码可能有正当理由,但恶意软件开发人员可以使用 TLS 回调代码来阻止防病毒研究人员对其代码的分析,从而使调试代码的过程更加复杂难的。例如,来自 Detect debugger with TLS callback:
TLS 回调是在进程入口点执行之前调用的函数。如果您使用调试器运行可执行文件,则 TLS 回调将在调试器中断之前执行。这意味着您可以在调试器执行任何操作之前执行反调试检查。因此,TLS 回调是一种非常强大的反调试技术。
TLS Callbacks in the Wild讨论了使用此技术的恶意软件示例。
联想在随系统分发的软件方面名声不佳。例如,来自 Ars Technica 2015 年 2 月 15 日的文章Lenovo PC 附带中断 HTTPS 连接的中间人广告软件:
安全研究人员表示,联想正在销售预装了广告软件的计算机,这些软件可以劫持加密的 Web 会话,并可能使用户容易受到 HTTPS 中间人攻击,而攻击者可以轻松实施这些攻击。
安装了 Superfish 公司广告软件的联想 PC 上存在严重威胁。尽管许多人认为将广告注入网页的软件令人讨厌,但 Superfish 软件包还有一些更邪恶的东西。它安装了一个自签名的根 HTTPS 证书,可以拦截用户访问的每个网站的加密流量。当用户访问HTTPS站点时,站点证书是由Superfish签名和控制的,假冒为官网证书。
一个中间人攻击访问使用站点击败你,否则将有保护HTTPS而不是HTTP允许软件对所有网络流量窥探用户与金融机构之间甚至业务,如银行。
当研究人员在联想机器上发现 Superfish 软件时,联想最初声称“我们已经彻底调查了这项技术,没有找到任何证据来证实安全问题。” 但是,当安全研究人员透露 Superfish 软件如何使联想系统容易受到恶意因素的影响时,该公司不得不收回该声明。
针对这一失败,联想首席技术官 (CTO) Peter Hortensius 随后表示: “我今天可以说的是,我们正在探索多种选择,包括:创建更清洁的 PC 映像(操作系统和开箱即用的设备上的软件)......”也许该选项已被丢弃。例如,请参阅The Hacker News的安全分析师 Swati Khandelwal于 2015 年 9 月发表的文章Lenovo Caught Red-handed (3rd Time): Pre-Installed Spyware found in Lenovo Laptops,其中讨论了您在上面找到的“Lenovo Customer Feedback Program 64”软件你的系统。
更新:
关于线程本地存储 (TLS) 回调的合法用途,维基百科线程本地存储中有一个讨论 TLS文章。我不知道程序员多久将它用于合法用途。我只发现一个人提到他对这项能力的合法使用;我发现的所有其他对它的引用都是恶意软件对它的使用。但这可能仅仅是因为恶意软件开发人员的使用情况比程序员更容易写出他们的合法使用情况。我不认为它的使用本身就是联想试图隐藏软件中的决定性证据,如果用户知道软件所做的一切,他们可能会发现这些功能。但是,考虑到联想的已知做法,不仅使用 Superfish,而且随后将 Windows 平台二进制表 (WPBT) 用于“联想系统引擎” 联想使用 Windows 防盗功能来安装持久性垃圾软件,我认为有理由保持警惕,并且与其他公司相比,联想不太可能从怀疑中获益。
不幸的是,有很多公司试图通过向其他“合作伙伴”出售客户信息或“访问”客户来从他们的客户那里赚更多的钱。有时这是通过广告软件完成的,这并不一定意味着公司会向这些“合作伙伴”提供个人身份信息。有时,公司可能希望收集有关其客户行为的信息,以便向营销人员提供有关公司可能吸引的客户类型的更多信息,而不是识别个人身份的信息。
如果我将文件上传到VirusTotal并发现它用于扫描上传的文件并将文件标记为包含恶意软件的众多防病毒程序中的一两个,我通常将这些视为误报报告,如果代码显然已经存在了很长时间某个时间,例如,如果 VirusTotal 报告它在一年前扫描过该文件,否则我没有理由不信任软件开发商,相反,我有理由信任开发商,例如,由于长期良好的声誉。但是联想已经玷污了它的声誉,在标记您上传的文件的 53 个防病毒程序中,有 12 个是大约 23%,我认为这是一个令人担忧的高比例。
但是,由于大多数防病毒供应商通常很少提供有关导致文件被标记为特定类型恶意软件的具体信息以及特定恶意软件描述在其操作方面的确切含义的具体信息,因此通常很难确定究竟是什么当您看到特定描述时,您需要担心。在这种情况下,甚至可能是他们中的大多数人看到 TLS 回调并仅以此为基础标记文件。即,有可能所有 12 个人都基于相同的错误基础做出误报。有时,不同的产品共享相同的用于识别恶意软件的签名,并且该签名也可能出现在合法程序中。
至于 VirusTotal 上的几个程序报告的“W32/OnlineGames.HI.gen!Eldorado”结果是一个类似于 PWS:Win32/OnLineGames.gen!B 的名称没有关于是什么导致该文件与 W32/OnlineGames.HI.gen!Eldorado 相关联的结论的具体信息以及与 W32/OnlineGames.HI.gen!Eldorado 相关联的行为,即,应该期待哪些注册表项和文件要查找具有该特定描述的软件以及其行为方式,我不会得出该软件会窃取游戏凭据的结论。没有任何其他证据,我认为这不太可能。不幸的是,您将看到的许多恶意软件描述只是名称相似的通用描述,在确定您在看到附加到文件的描述时应该有多担心时,这些描述几乎没有价值。“W32”经常被一些反病毒供应商附加在很多名字的开头。他们共享这一事实以及“在线游戏”和“通用”的“gen”
我会删除该软件,因为我认为它会使用对我没有任何好处的系统资源,而且,如果您玩在线游戏,您可以重置密码作为预防措施,尽管我怀疑联想软件是否窃取了在线游戏凭据或者正在做击键记录。联想在他们系统中包含的软件方面没有出色的声誉,但我没有看到任何报告说他们分发了任何以这种方式运行的软件。网络连接的周期性丢失甚至可能发生在您的 PC 之外。例如,如果同一位置的其他系统也定期出现连接丢失的情况,我认为路由器更有可能出现问题。
| 归档时间: |
|
| 查看次数: |
1241 次 |
| 最近记录: |