Warum erkennt meine Antivirensoftware XiaoU / LenovoService-Deinstallationsprogramm, Lenovo-Software, als Malware?

1533
LJD200

Ich habe kürzlich einen Lenovo H50-55 Computer mit Windows 10 Home x64 erworben. Ich habe einige der mit dem Computer gelieferten Lenovo-Software deinstalliert, jedoch nicht alle.

Ich habe einen vollständigen Malware-Scan des Computers mit Avast Free Antivirus durchgeführt und dabei festgestellt, C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exedass es sich um eine Lenovo-Datei handelt, die als bösartig eingestuft wurde. In diesem Fall wurde "Win32: Malware-gen" angezeigt.

Dies führte zu weiteren Nachforschungen und ich habe die Datei in VirusTotal hochgeladen. Die Ergebnisse sind hier zu sehen (12 von 53 Antivirenprogrammen haben sie als schädlich erkannt).

  • Bei zwei der Antivirenprogramme von VirusTotal wurde die Datei setup.exe als "W32 / OnlineGames.HI.gen! Eldorado" erkannt, was laut dieser Microsoft-Seite hier möglicherweise einige schwerwiegende Daten stiehlt.
  • Dies ist jedoch ein allgemeiner Artikel für die Malware-Familie (obwohl diese Microsoft-Seite spezifischer ist und sich auf ein sehr ähnlich benanntes Stück Malware bezieht, das Anmeldeinformationen stiehlt).

Ich habe die Datei auf Comodo Valkyrie hochgeladen, deren Ergebnisse hier eingesehen werden können . Der Dienst hielt es für Malware. AKTUALISIERUNG: Die manuelle Analyse der Datei auf Comodo Valkyrie wurde als sauber eingestuft.

Ich habe Avast gebeten, die Datei zu reparieren, aber ich befürchte, dass möglicherweise noch weitere Malware vorhanden ist oder dass bereits Daten gestohlen wurden.

  • Ist das eine echte Bedrohung oder nicht?
  • Was soll ich als nächstes tun?

Ich überlege, den gesamten PC zu löschen und Windows 10 von Grund auf neu zu installieren. Dies ist jedoch nicht hilfreich, wenn bereits Datendiebstahl aufgetreten ist.

Ich weiß nicht, ob dies damit zusammenhängt, aber ich habe im Taskplaner von Windows eine Aufgabe mit dem Namen "Lenovo Customer Feedback Program 64 35" gefunden, die ich deaktiviert habe, aber zuvor ein C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exetäglich ausgeführtes Exe-Programm ausgeführt habe . Über das Kunden-Feedback-Programm im Internet scheint es nur wenig zu geben. Ich glaube, dass die Aufgabe "Kundenfeedback" sich von der potenziell schädlichen Datei unterscheidet. Das Kunden - Feedback exe wird sicher von Virustotal und Lenovo als sich darüber einen Artikel haben hier, die besagt, dass es nicht personenbezogene Daten sendet.

Meine Netzwerkverbindung scheint gelegentlich für kurze Zeit unterbrochen zu werden. Ich weiß nicht, ob es sich um ein verwandtes Problem handelt.

10
Ich habe das Lenovo Customer Feedback-Programm in einem Artikel gefunden (http://www.computerworld.com/article/2984889/windows-pcs/lenovo-collects-usage-data-on-thinkpad-thinkcentre-und-thinkstation-). pcs.html) und es scheint eine Lenovo Überwachungs / Tracking-Software zu sein. Mehr darüber und wie Sie es deaktivieren können [hier] (http://www.computerworld.com/article/2995012/windows-pcs/trusting-lenovo.html). MC10 vor 8 Jahren 1
Danke für die Info, @ MC10. Ich habe die Aufgabe bereits deaktiviert. Ich habe "Lenovo Experience Improvement" nicht unter "Programme und Funktionen" aufgelistet. Möglicherweise wurde es jedoch zuvor deinstalliert. Ich habe den Computer weniger als 90 Tage gehabt. LJD200 vor 8 Jahren 1
Lesen Sie dies durch: http://lifehacker.com/5717628/set-up-and-get-to-know-your-new-windows-pc http://lifehacker.com/the-complete-guide-to-avoiding -und-remove-windows-c-1630577558 Es gibt Links zu einigen Dienstprogrammen, mit deren Hilfe Sie Crapware und Bloatware loswerden können. Lionel Doolan vor 8 Jahren 0
Avast scheint in letzter Zeit geistig zu sein. Es gibt Hunderte von Fragen zu SO aus dem letzten Monat oder so, dass die harmlose Nutzung von Visual Studio auf ähnliche Weise völlig ruiniert wird. Lightness Races in Orbit vor 8 Jahren 0
@LionelDoolan Danke für die Artikel; Ich werde einen Blick darauf werfen. LJD200 vor 8 Jahren 0
@LightnessRacesinOrbit Wirklich ?! Ich werde darüber nachdenken, meine Antivirensoftware zu ändern ... LJD200 vor 8 Jahren 0

1 Antwort auf die Frage

12
moonpoint

Wenn Sie auf der Seite "Comodo Valkyrie" auf den Link "Static Analysis" für die Datei klicken, werden Sie feststellen, dass einer der Gründe für das Kennzeichnen der Datei darin lag, dass "TLS-Callback-Funktionsarray erkannt wurde". Es kann ein legitimer Grund für die Aufnahme dieses Codes in die ausführbare Datei sein, die Sie auf die Website hochgeladen haben. TLS-Callback-Code kann jedoch von Malware-Entwicklern verwendet werden, um die Analyse ihres Codes durch Antivirus-Forscher zu verhindern, indem der Debugging-Prozess verstärkt wird schwer. ZB von Debugger mit TLS-Callback erkennen :

TLS-Callback ist eine Funktion, die aufgerufen wird, bevor der Prozesseinstiegspunkt ausgeführt wird. Wenn Sie die ausführbare Datei mit einem Debugger ausführen, wird der TLS-Callback ausgeführt, bevor der Debugger bricht. Dies bedeutet, dass Sie Anti-Debugging-Prüfungen durchführen können, bevor der Debugger etwas unternehmen kann. Daher ist TLS Callback ein sehr leistungsfähiges Anti-Debugging-Verfahren.

TLS Callbacks in the Wild beschreibt ein Beispiel für Malware, die diese Technik verwendet.

Lenovo hat einen schlechten Ruf in Bezug auf die mit seinen Systemen vertriebene Software. ZB aus dem Ars Technica-Artikel vom 15. Februar 2015 Lenovo PCs werden mit einer Man-in-the-Middle-Adware geliefert, die HTTPS-Verbindungen unterbricht :

Lenovo verkauft Computer, die mit Adware vorinstalliert sind, die verschlüsselte Websitzungen entführt und möglicherweise Benutzer für HTTPS-Man-in-the-Middle-Angriffe anfällig macht, die für Angreifer unbedeutend sind, so die Sicherheitsforscher.

Die kritische Bedrohung ist auf Lenovo PCs vorhanden, auf denen Adware von einer Firma namens Superfish installiert ist. So unhöflich wie viele Menschen Software finden, die Anzeigen in Webseiten einblendet, ist das Superfish-Paket etwas schändlicher. Es installiert ein selbstsigniertes HTTPS-Stammzertifikat, das den verschlüsselten Verkehr für jede Website abfangen kann, die ein Benutzer besucht. Wenn ein Benutzer eine HTTPS-Site besucht, wird das Sitezertifikat von Superfish signiert und kontrolliert und stellt sich fälschlicherweise als offizielles Websitezertifikat dar.

Ein Man-in-the-Middle-Angriff vereitelt den Schutz, den Sie sonst erhalten würden, wenn Sie eine Website mit HTTPS statt mit HTTP aufrufen. Dadurch kann die Software den gesamten Web-Traffic ausnutzen, auch den Traffic zwischen dem Benutzer und Finanzinstituten wie Banken.

Als die Forscher die Superfish-Software auf Lenovo-Maschinen gefunden hatten, behauptete Lenovo zunächst: "Wir haben diese Technologie gründlich untersucht und finden keine Beweise, um Sicherheitsbedenken zu belegen." Das Unternehmen musste diese Aussage jedoch zurückziehen, als Sicherheitsforscher enthüllten, wie die Superfish-Software Lenovo-Systeme für die Beeinträchtigung von Missverständnissen geöffnet hat.

Als Antwort auf dieses Debakel erklärte der Chief Technical Officer (CTO) von Lenovo, Peter Hortensius,: "Was ich heute dazu sagen kann, ist, dass wir eine breite Palette von Optionen untersuchen, die Folgendes umfassen: Erstellen eines saubereren PC-Images (Betriebssystem und Betriebssystem) Software, die sich sofort auf Ihrem Gerät befindet)) "Möglicherweise wurde diese Option verworfen. Siehe zum Beispiel den September 2015-Artikel Lenovo Caught (3. Mal): Vorinstallierte Spyware, die von Swati Khandelwal, einem Sicherheitsanalytiker von The Hacker News, in Lenovo Laptops gefunden wurde und die Software "Lenovo Customer Feedback Program 64" beschreibt, die Sie gefunden haben dein System.

Update :

Im Hinblick auf die rechtmäßige Verwendung von TLS-Callbacks (Thread Local Storage) gibt es eine Diskussions-TLS im Wikipedia- Thread Local StorageArtikel. Ich weiß nicht, wie oft Programmierer es für legitime Zwecke verwenden. Ich habe nur eine Person gefunden, die seinen legitimen Gebrauch für die Fähigkeit erwähnt. Alle anderen Hinweise darauf, die ich gefunden habe, waren die Verwendung von Malware. Dies kann jedoch einfach darauf zurückzuführen sein, dass die Verwendung von Malware-Entwicklern wahrscheinlicher ist, als dass Programmierer über ihre rechtmäßige Verwendung schreiben. Ich denke nicht, dass seine Verwendung allein ein schlüssiger Beweis dafür ist, dass Lenovo versucht, Funktionen in der Software zu verbergen, die seine Benutzer wahrscheinlich als alarmierend empfinden würden, wenn sie alles über die Software wissen würden. Aber angesichts der bekannten Vorgehensweisen von Lenovo nicht nur bei Superfish, sondern auch bei der Verwendung der Windows Platform Binary Table (WPBT) für die "Lenovo System Engine". Lenovo hat die Windows-Anti-Diebstahl-Funktion verwendet, um persistente Crapware zu installieren . Ich denke, es besteht Grund, etwas vorsichtig zu sein, und es ist weitaus unwahrscheinlicher, dass Lenovo von dem Zweifel profitiert wird, als dies bei anderen Unternehmen der Fall ist .

Leider gibt es viele Unternehmen, die versuchen, mehr Geld mit ihren Kunden zu verdienen, indem sie Kundendaten verkaufen oder "Zugang" zu ihren Kunden an andere "Partner" erhalten. Und manchmal geschieht dies über Adware, was nicht unbedingt bedeutet, dass das Unternehmen diesen "Partnern" personenbezogene Daten zur Verfügung stellt. Manchmal möchte ein Unternehmen Informationen über das Verhalten seiner Kunden sammeln, um Vermarktern mehr Informationen über die Art des Kunden zur Verfügung zu stellen, die das Unternehmen wahrscheinlich anzieht, als Informationen, die eine Person identifizieren.

Wenn ich eine Datei in VirusTotal hochlade und nur ein oder zwei der vielen Antivirenprogramme finde, die zum Scannen hochgeladener Dateien verwendet werden, die die Datei als Malware enthalten, betrachte ich diese häufig als falsch positive Berichte, wenn der Code offensichtlich schon vorhanden war Irgendwann, zum Beispiel wenn VirusTotal berichtet, dass die Datei zuvor vor einem Jahr gescannt wurde, und ich habe ansonsten keinen Grund, dem Softwareentwickler zu misstrauen und im Gegenteil einen Grund, dem Entwickler zu vertrauen, z. B. aufgrund eines langjährigen guten Rufs. Lenovo hat jedoch seinen Ruf bereits getrübt, und 12 von 53 Antivirenprogrammen, die die hochgeladene Datei kennzeichnen, liegen bei 23%, was ich als beunruhigend hohen Prozentsatz empfinde.

Da die meisten Hersteller von Antivirenprogrammen in der Regel nur wenig oder gar keine spezifischen Informationen dazu bereitstellen, was dazu führt, dass eine Datei als bestimmte Art von Malware gekennzeichnet wird und was genau eine bestimmte Malware-Beschreibung in ihrer Funktionsweise bedeutet, ist es oft schwierig, genau zu ermitteln, was genau ist Sie müssen sich Sorgen machen, wenn Sie eine bestimmte Beschreibung sehen. In diesem Fall könnte es sogar sein, dass die meisten von ihnen einen TLS-Callback sehen und die Datei nur auf dieser Basis kennzeichnen. Das heißt, es ist möglich, dass alle 12 auf derselben falschen Grundlage einen falsch positiven Anspruch erheben. Und manchmal haben verschiedene Produkte die gleichen Signaturen, um Malware zu identifizieren, und diese Signatur kann auch in einem legitimen Programm vorkommen.

Was das Ergebnis "W32 / OnlineGames.HI.gen! Eldorado" anbelangt, das von einigen Programmen auf VirusTotal gemeldet wird, die einen ähnlichen Namen wie PWS haben: Win32 / OnLineGames.gen! Bohne spezifische Informationen darüber, was zu der Schlussfolgerung geführt hat, dass die Datei mit W32 / OnlineGames.HI.gen! Eldorado verknüpft ist und welches Verhalten mit W32 / OnlineGames.HI.gen! Eldorado zusammenhängt, dh welche Registrierungsschlüssel und -dateien zu erwarten sind Um herauszufinden, wie sich Software mit dieser bestimmten Beschreibung verhält, würde ich nicht den Schluss ziehen, dass die Software Spielberechtigungen stiehlt. Ohne weitere Beweise halte ich das für unwahrscheinlich. Unglücklicherweise sind viele der Malware-Beschreibungen, die Sie sehen, nur ähnlich benannte generische Beschreibungen, die bei der Bestimmung, wie besorgt Sie sein sollten, wenn diese Beschreibung an eine Datei angehängt wird, wenig Wert haben. "W32" wird oft von einigen Antiviren-Herstellern an den Anfang vieler Namen angehängt. Die Tatsache, dass sie das teilen und "OnlineGames" und "Gen" für "Generic"

Ich würde die Software entfernen, da ich davon ausgehen würde, dass sie Systemressourcen ohne Nutzen für mich nutzt. Wenn Sie Online-Spiele spielen, können Sie Ihre Kennwörter vorsichtshalber zurücksetzen, obwohl ich bezweifle, dass die Lenovo-Software Online-Anmeldeinformationen gestohlen hat oder führt Tastatureingaben auf. Lenovo genießt keinen hervorragenden Ruf für die Software, die sie auf ihren Systemen enthalten, aber ich habe keine Berichte darüber erhalten, dass sie Software vertrieben haben, die auf diese Weise funktionieren würde. Der periodische Verlust der Netzwerkverbindung kann sogar außerhalb Ihres PCs liegen. Wenn z. B. andere Systeme am selben Standort in regelmäßigen Abständen einen Verbindungsverlust erleiden, könnte ich davon ausgehen, dass ein Router ein Problem aufweist.

Danke für deine Antwort. Sie glauben also, dass dies möglicherweise bösartig ist, und wenn ja, was ist Ihrer Meinung nach das? Wann würden Sie erwarten, dass eine nicht schädliche Anwendung TLS verwendet? Ich verstehe, dass es bei Lenovo in Bezug auf vorinstallierte Software mehrere Vorfälle gab. Glauben Sie, dass sie Malware installieren würden, insbesondere einen Keylogger, wie er im ursprünglichen Beitrag erwähnt wurde? Einerseits scheint diese Datei verdächtig zu sein und Maßnahmen zu ergreifen, um den Code scheinbar zu verbergen. LJD200 vor 8 Jahren 0
Auf der anderen Seite handelt es sich um einen bekannten PC-Hersteller (es sei denn, die Datei wurde von einem anderen Programm entführt?) Und scheint von einer relativ kleinen Anzahl von Antivirenprogrammen auf VirusTotal als bösartig gekennzeichnet zu sein. LJD200 vor 8 Jahren 0
[Sonys Rootkit] (https://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal) stammte ebenfalls von einem bekannten Hersteller. Alan Shutko vor 8 Jahren 0
@ LJD200, ich habe meinen Beitrag basierend auf Ihren Fragen aktualisiert. moonpoint vor 8 Jahren 0
@moonpoint Vielen Dank für Ihre Antwort. Dies ist eine ausgezeichnete Antwort und ich habe sie als akzeptiert markiert. Ich werde Windows neu installieren, um auf der sicheren Seite zu sein, aber ich denke, das Risiko, dass ernsthafte Daten gestohlen werden, ist gering. Ich glaube, der verdächtige Zeitstempel, den auch Valkyrie erkannt hat, ist die Tatsache, dass ich die Datei aus der Avast-Virus-Truhe extrahiere, was den Zeitstempel ändert. Dieser Vorfall zusammen mit den zahlreichen anderen, die in der Vergangenheit aufgetreten sind, hat meine Sicht von Lenovo getrübt, und ich werde ihre Software in Zukunft nicht mehr verwenden. Ich bin jedoch froh, dass dieser Vorfall nicht ernst geworden ist. LJD200 vor 8 Jahren 0
Es scheint, dass die manuelle Analyse von Comodo Valkyrie die Datei als "sauber" einstuft. LJD200 vor 8 Jahren 0