ทำไมซอฟต์แวร์ป้องกันไวรัสของฉันตรวจพบโปรแกรมถอนการติดตั้ง XiaoU / LenovoService ซอฟต์แวร์ Lenovo เป็นมัลแวร์

ฉันเพิ่งซื้อคอมพิวเตอร์ Lenovo H50-55 พร้อม Windows 10 Home x64 ฉันถอนการติดตั้งซอฟต์แวร์ Lenovo บางตัวที่จัดส่งมาพร้อมกับคอมพิวเตอร์ แต่ไม่ใช่ทั้งหมด

ฉันวิ่งสแกนมัลแวร์คอมพิวเตอร์แบบเต็มโดยใช้ Avast Free Antivirus และตรวจพบC:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(ซึ่งเป็นไฟล์ Lenovo) ว่าเป็นอันตรายและบอกฉันว่า 'Win32: Malware-gen'

สิ่งนี้แจ้งให้ทำการตรวจสอบเพิ่มเติมดังนั้นฉันจึงอัปโหลดไฟล์ไปยัง VirusTotal ผลลัพธ์ที่สามารถเห็นได้ที่นี่ (โปรแกรมป้องกันไวรัส 12 จาก 53 โปรแกรมตรวจพบว่าเป็นอันตราย)

• โปรแกรมป้องกันไวรัสสองตัวใน VirusTotal ตรวจพบไฟล์ setup.exe เป็น 'W32 / OnlineGames.HI.gen! Eldorado' ซึ่งตามหน้า Microsoft นี้ที่นี่อาจขโมยข้อมูลที่ร้ายแรงบางอย่าง
• แต่นี้เป็นบทความทั่วไปสำหรับครอบครัวของมัลแวร์ (แม้ว่านี้หน้าไมโครซอฟท์และเฉพาะเจาะจงมากขึ้นเกี่ยวกับชิ้นส่วนที่มีชื่อมากในทำนองเดียวกันของมัลแวร์ที่ขโมยข้อมูลประจำตัว)

ฉันได้อัปโหลดไฟล์ไปยังประชาคิรีผลของการที่สามารถมองเห็นได้ที่นี่ บริการถือว่ามัลแวร์ UPDATE: การวิเคราะห์ไฟล์ Comodo Valkyrie ด้วยตนเองถือว่าสะอาด

ฉันบอก Avast ให้แก้ไขไฟล์ แต่ฉันกังวลว่ามัลแวร์ยังคงอยู่ต่อไปหรือข้อมูลนั้นอาจถูกขโมยไปแล้ว

• นี่เป็นภัยคุกคามจริงหรือไม่?
• ฉันควรทำอย่างไรต่อไป

ฉันกำลังพิจารณาที่จะลบพีซีทั้งหมดและติดตั้ง Windows 10 ใหม่ตั้งแต่ต้น แต่ก็ไม่ได้ผลหากการโจรกรรมข้อมูลเกิดขึ้นแล้ว

ฉันไม่รู้ว่าสิ่งนี้เกี่ยวข้องหรือไม่ แต่ฉันพบงานใน Windows Task Scheduler ชื่อ 'Lenovo Customer Feedback Program 64 35' ซึ่งฉันปิดการใช้งาน แต่ก่อนหน้านี้เคยเรียกใช้ exe C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exeทุกวัน ดูเหมือนว่าจะมีข้อมูลเพียงเล็กน้อยเกี่ยวกับโปรแกรมคำติชมของลูกค้าบนอินเทอร์เน็ต ฉันเชื่อว่างานคำติชมของลูกค้าแยกจากไฟล์ที่อาจเป็นอันตราย ความคิดเห็นของลูกค้า exe ถือว่าปลอดภัยโดย VirusTotal และ Lenovo เองมีบทความเกี่ยวกับที่นี่ซึ่งบอกว่าจะส่งข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล

การเชื่อมต่อเครือข่ายของฉันดูเหมือนจะหลุดออกมาเป็นระยะเวลาสั้น ๆ ทุกครั้ง ฉันไม่ทราบว่านี่เป็นปัญหาที่เกี่ยวข้องหรือไม่

หากคุณคลิกที่ลิงก์ "การวิเคราะห์แบบคงที่" สำหรับไฟล์ในหน้า Comodo Valkyrie คุณจะเห็นว่าสาเหตุหนึ่งในการตั้งค่าสถานะไฟล์นั้นเป็นเพราะ "ตรวจพบฟังก์ชันการเรียกกลับ TLS ของอาร์เรย์" อาจมีเหตุผลที่ถูกต้องสำหรับการรวมรหัสนั้นภายในปฏิบัติการที่คุณอัปโหลดไปยังเว็บไซต์ แต่นักพัฒนามัลแวร์สามารถใช้รหัสโทรกลับ TLS เพื่อป้องกันการวิเคราะห์รหัสของพวกเขาโดยนักวิจัยป้องกันไวรัสโดยทำให้กระบวนการดีขึ้น ยาก. เช่นจาก Detect debugger ที่มี TLS callback :

TLS callback เป็นฟังก์ชันที่เรียกใช้ก่อนที่จุดเข้าใช้งานจะดำเนินการ ถ้าคุณเรียกใช้โปรแกรมปฏิบัติการด้วยดีบักเกอร์การเรียกกลับ TLS จะถูกดำเนินการก่อนที่ตัวดีบักจะหยุดทำงาน ซึ่งหมายความว่าคุณสามารถทำการตรวจสอบการต่อต้านการดีบั๊กได้ก่อนที่ดีบักเกอร์จะทำอะไรก็ได้ ดังนั้นการเรียกกลับ TLS เป็นเทคนิคการต่อต้านการดีบั๊กที่มีประสิทธิภาพมาก

TLS Callback ใน Wildอธิบายถึงตัวอย่างของมัลแวร์ที่ใช้เทคนิคนี้

เลโนโวมีชื่อเสียงที่ไม่ดีเกี่ยวกับซอฟต์แวร์ที่เผยแพร่กับระบบ เช่นจาก 15 กุมภาพันธ์ 2558 บทความ Ars Technica ของเลอโนโวพีซีมาพร้อมกับแอดแวร์ที่อยู่ตรงกลางซึ่งแบ่งการเชื่อมต่อ HTTPS :

เลโนโวกำลังขายคอมพิวเตอร์ที่ติดตั้งแอดแวร์ไว้ล่วงหน้าซึ่งเป็นการขโมยเว็บเซสชันที่เข้ารหัสไว้และอาจทำให้ผู้ใช้เสี่ยงต่อการถูกโจมตีแบบ HTTPS แบบคนกลางซึ่งไม่สำคัญสำหรับผู้โจมตีที่จะต้องดำเนินการ

ภัยคุกคามที่สำคัญมีอยู่ในพีซี Lenovo ที่มีแอดแวร์จาก บริษัท ชื่อ Superfish ที่ติดตั้ง ไม่น่ารังเกียจอย่างที่หลาย ๆ คนพบว่าซอฟต์แวร์ที่แทรกโฆษณาเข้าไปในหน้าเว็บมีบางสิ่งที่เลวร้ายยิ่งขึ้นเกี่ยวกับแพ็คเกจ Superfish ติดตั้งใบรับรอง HTTPS แบบลงนามเองที่สามารถสกัดกั้นการรับส่งข้อมูลที่เข้ารหัสสำหรับทุกเว็บไซต์ที่ผู้ใช้เข้าชม เมื่อผู้ใช้เยี่ยมชมไซต์ HTTPS ใบรับรองไซต์จะถูกลงชื่อและควบคุมโดย Superfish และแสดงตัวเองว่าเป็นใบรับรองเว็บไซต์อย่างเป็นทางการ

การโจมตีจากคนกลางทำให้การปกป้องคุณเป็นไปได้โดยการเข้าชมเว็บไซต์โดยใช้HTTPSแทนที่จะใช้ HTTP เพื่อให้ซอฟต์แวร์สามารถสอดแนมการรับส่งข้อมูลบนเว็บทั้งหมดแม้กระทั่งการรับส่งข้อมูลระหว่างผู้ใช้และสถาบันการเงินเช่นธนาคาร

เมื่อนักวิจัยพบซอฟต์แวร์ Superfish ในเครื่อง Lenovo Lenovo กล่าวในตอนแรกว่า "เราได้ตรวจสอบเทคโนโลยีนี้อย่างละเอียดแล้วและไม่พบหลักฐานใด ๆ ที่ยืนยันข้อกังวลด้านความปลอดภัย" แต่ บริษัท ต้องเพิกถอนคำแถลงนั้นเมื่อนักวิจัยด้านความปลอดภัยเปิดเผยว่าซอฟต์แวร์ Superfish ทำให้ระบบ Lenovo เปิดประนีประนอมโดยผู้ร้ายได้อย่างไร

ในการตอบสนองต่อการล่มสลายนั้นPeter Peter หัวหน้าฝ่ายเทคนิคของเลโนโว (CTO) จากนั้นกล่าวว่า "สิ่งที่ฉันสามารถพูดได้ในวันนี้คือเรากำลังสำรวจตัวเลือกที่หลากหลายซึ่งรวมถึง: การสร้างอิมเมจพีซีที่สะอาดขึ้น ซอฟต์แวร์ที่อยู่ในอุปกรณ์ของคุณทันทีที่ออกจากกล่อง) ... "บางทีตัวเลือกนั้นถูกยกเลิก เช่นดูบทความกันยายน 2558 Lenovo Caught Red-hand (ครั้งที่ 3): สปายแวร์ที่ติดตั้งล่วงหน้าที่พบในแล็ปท็อป Lenovoโดย Swati Khandelwal นักวิเคราะห์ความปลอดภัยที่The Hacker Newsที่กล่าวถึงซอฟต์แวร์ "Lenovo Customer Feedback Program 64" ที่คุณพบ ระบบของคุณ

อัปเดต :

เกี่ยวกับการใช้งานอย่างถูกต้องตามกฎหมายสำหรับการเรียกกลับของ Thread Local Storage (TLS) มีการอภิปราย TLS ใน Wikipedia Thread Local Storageบทความ. ฉันไม่รู้ว่าโปรแกรมเมอร์ใช้บ่อยแค่ไหนเพื่อการใช้งานที่ถูกกฎหมาย ฉันพบเพียงคนเดียวที่กล่าวถึงการใช้งานที่ถูกกฎหมายของเขาสำหรับความสามารถนั้น การอ้างอิงอื่น ๆ ทั้งหมดที่ฉันพบได้จากการใช้งานโดยมัลแวร์ แต่นั่นอาจเป็นเพราะการใช้งานโดยนักพัฒนามัลแวร์มีแนวโน้มที่จะเขียนมากกว่านักเขียนที่เขียนเกี่ยวกับการใช้งานที่ถูกกฎหมาย ฉันไม่คิดว่าการใช้งานเพียงอย่างเดียวเป็นหลักฐานที่สรุปได้ Lenovo พยายามซ่อนฟังก์ชั่นในซอฟต์แวร์ที่ผู้ใช้อาจพบว่าน่าตกใจหากพวกเขารู้ทุกอย่างที่ซอฟต์แวร์ทำ แต่ตามแนวทางปฏิบัติที่เลโนโวรู้จักไม่ใช่แค่กับ Superfish แต่ต่อมาด้วยการใช้ Windows Platform Binary Table (WPBT) สำหรับ "Lenovo System Engine" เลอโนโวใช้คุณสมบัติป้องกันการโจรกรรมของ Windows เพื่อติดตั้ง crapware แบบถาวรฉันคิดว่ามีเหตุผลที่ค่อนข้างระวังและมีโอกาสน้อยที่จะให้ Lenovo ได้รับประโยชน์จากข้อสงสัยมากกว่าที่ฉันอาจเป็น บริษัท อื่น

น่าเสียดายที่มี บริษัท จำนวนมากที่พยายามหารายได้จากลูกค้าโดยการขายข้อมูลลูกค้าหรือ "เข้าถึง" ให้กับลูกค้าของพวกเขากับ "พันธมิตร" อื่น ๆ และบางครั้งก็ทำผ่านแอดแวร์ซึ่งไม่ได้แปลว่า บริษัท กำลังให้ข้อมูลที่ระบุตัวตนได้แก่ "พันธมิตร" เหล่านั้น ในบางครั้ง บริษัท อาจต้องการรวบรวมข้อมูลเกี่ยวกับพฤติกรรมของลูกค้าเพื่อให้สามารถให้ข้อมูลเพิ่มเติมแก่นักการตลาดเกี่ยวกับประเภทของลูกค้าที่ บริษัท น่าจะดึงดูดมากกว่าข้อมูลที่ระบุตัวบุคคล

ถ้าฉันอัปโหลดไฟล์ไปยังVirusTotalและค้นหาโปรแกรมป้องกันไวรัสเพียงหนึ่งหรือสองโปรแกรมที่ใช้ในการสแกนไฟล์ที่อัปโหลดที่ตั้งค่าสถานะไฟล์ว่ามีมัลแวร์ฉันมักจะมองว่าเป็นรายงานเชิงบวกที่ผิดถ้ารหัสนั้นชัดเจน บางครั้งเช่นถ้า VirusTotal รายงานก่อนหน้านี้สแกนไฟล์เมื่อปีที่แล้วและฉันไม่มีเหตุผลที่จะไม่ไว้วางใจผู้พัฒนาซอฟต์แวร์และในทางกลับกันเหตุผลบางประการที่ทำให้เชื่อใจนักพัฒนาเช่นมีชื่อเสียงที่ดีมานาน แต่เลโนโวได้ทำให้เสื่อมเสียชื่อเสียงแล้วและ 12 จาก 53 โปรแกรมป้องกันไวรัสที่ตั้งค่าสถานะไฟล์ที่คุณอัปโหลดนั้นมีประมาณ 23% ซึ่งฉันคิดว่าเป็นเปอร์เซ็นต์ที่สูงอย่างน่าเป็นห่วง

แม้ว่าผู้จำหน่ายโปรแกรมป้องกันไวรัสส่วนใหญ่มักจะให้ข้อมูลเฉพาะเล็กน้อยเกี่ยวกับสิ่งที่นำไปสู่ไฟล์ที่ถูกตั้งค่าสถานะว่าเป็นมัลแวร์ประเภทใดประเภทหนึ่งและสิ่งที่คำอธิบายมัลแวร์เฉพาะเจาะจงหมายถึง คุณต้องกังวลเมื่อเห็นคำอธิบายเฉพาะ ในกรณีนี้อาจเป็นไปได้ว่าพวกเขาส่วนใหญ่เห็น TLS callback และตั้งค่าสถานะไฟล์ตามนั้นเพียงอย่างเดียว นั่นคือเป็นไปได้ว่าทั้ง 12 คนกำลังอ้างสิทธิ์ในเชิงบวกผิด ๆ บนพื้นฐานที่ผิดพลาดแบบเดียวกัน และบางครั้งผลิตภัณฑ์ที่แตกต่างก็ใช้ลายเซ็นเดียวกันเพื่อระบุมัลแวร์และลายเซ็นนั้นอาจเกิดขึ้นในโปรแกรมที่ถูกกฎหมาย

สำหรับผลการ "W32 / OnlineGames.HI.gen! Eldorado" รายงานโดยสองโปรแกรมใน VirusTotal ที่มีชื่อคล้ายกับ PWS: Win32 / OnLineGames.gen! Bไม่มีข้อมูลที่เฉพาะเจาะจงเกี่ยวกับสิ่งที่นำไปสู่ข้อสรุปว่าไฟล์นั้นเชื่อมโยงกับ W32 / OnlineGames.HI.gen! Eldorado และพฤติกรรมใดที่เกี่ยวข้องกับ W32 / OnlineGames.HI.gen! Eldorado คือคีย์รีจิสตรีและไฟล์ควรคาดหวังอะไร เพื่อค้นหาและวิธีการทำงานของซอฟต์แวร์ที่มีคำอธิบายเฉพาะนั้นฉันจะไม่สรุปว่าซอฟต์แวร์ขโมยข้อมูลรับรองการเล่นเกม หากไม่มีหลักฐานอื่น ๆ ฉันคิดว่าไม่น่าเป็นไปได้ น่าเสียดายที่คำอธิบายมัลแวร์จำนวนมากที่คุณจะเห็นเป็นเพียงคำอธิบายทั่วไปที่คล้ายกันซึ่งมีค่าเพียงเล็กน้อยในการพิจารณาว่าคุณควรกังวลอย่างไรเมื่อเห็นคำอธิบายที่แนบมากับไฟล์ "W32" มักจะถูกแนบไว้กับจุดเริ่มต้นของชื่อผู้จำหน่ายโปรแกรมป้องกันไวรัสบางราย ความจริงที่ว่าพวกเขาแบ่งปันและ "OnlineGames" และ "gen" สำหรับ "ทั่วไป"

ฉันจะลบซอฟต์แวร์เนื่องจากฉันตัดสินว่าจะใช้ทรัพยากรระบบโดยไม่มีประโยชน์กับฉันและหากคุณเล่นเกมออนไลน์คุณสามารถรีเซ็ตรหัสผ่านของคุณเพื่อเป็นการป้องกันไว้ล่วงหน้าได้ แต่ฉันสงสัยว่าซอฟต์แวร์ของ Lenovo ได้ขโมยข้อมูลรับรองการเล่นเกมออนไลน์ หรือกำลังบันทึกการกดแป้น เลโนโวไม่ได้มีชื่อเสียงในด้านซอฟต์แวร์ที่รวมอยู่ในระบบของพวกเขา แต่ฉันไม่เห็นรายงานว่าพวกเขาได้แจกจ่ายซอฟต์แวร์ใด ๆ ที่จะทำงานในลักษณะดังกล่าว และการสูญเสียการเชื่อมต่อเครือข่ายเป็นระยะอาจอยู่นอกพีซีของคุณ เช่นหากระบบอื่น ๆ ในสถานที่เดียวกันมีการสูญเสียการเชื่อมต่อเป็นระยะ ๆ ฉันคิดว่ามีปัญหามากขึ้นที่เราเตอร์