¿Por qué mi software antivirus detecta el desinstalador XiaoU / LenovoService, el software Lenovo, como malware?

10

Recientemente compré una computadora Lenovo H50-55 con Windows 10 Home x64. Desinstalé parte del software de Lenovo que se envió con la computadora, pero no todo.

Ejecuté un escaneo completo de malware de la computadora usando Avast Free Antivirus y detecté C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(que es un archivo de Lenovo) como malicioso y me dijo que era 'Win32: Malware-gen'.

Esto provocó una mayor investigación y subí el archivo a VirusTotal, cuyos resultados se pueden ver aquí (12 de 53 programas antivirus lo detectaron como malicioso).

  • Dos de los programas antivirus en VirusTotal detectaron el archivo setup.exe como 'W32 / OnlineGames.HI.gen! Eldorado', que según esta página de Microsoft aquí puede robar algunos datos bastante serios.
  • Sin embargo, este es un artículo genérico para la familia de malware (aunque esta página de Microsoft es más específica y trata sobre una pieza de malware con un nombre muy similar que roba credenciales).

Subí el archivo a Comodo Valkyrie, cuyos resultados se pueden ver aquí . El servicio lo consideró malware. ACTUALIZACIÓN: El análisis manual del archivo en Comodo Valkyrie lo consideró limpio.

Le dije a Avast que arreglara el archivo, pero me preocupa que aún pudiera quedar más malware o que los datos ya podrían haber sido robados.

  • ¿Es esto una amenaza real o no?
  • ¿Qué debería hacer después?

Estoy considerando borrar toda la PC y reinstalar Windows 10 desde cero, pero eso no ayudará si el robo de datos ya ha ocurrido.

No sé si esto está relacionado, pero encontré una tarea en el Programador de tareas de Windows llamada 'Programa de comentarios del cliente de Lenovo 64 35' que desactivé pero anteriormente ejecutaba un exe llamado C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exetodos los días. Parece que solo hay un poco de información sobre el Programa de comentarios de los clientes en Internet. Creo que la tarea Comentarios del cliente está separada del archivo potencialmente malicioso. VirusTotal considera que el exe de comentarios de los clientes es seguro y Lenovo tiene un artículo al respecto aquí , que dice que envía datos no personales.

Mi conexión de red parece estar cayendo por breves períodos de tiempo cada cierto tiempo. No sé si este es un problema relacionado.

windows  malware  lenovo-desktop-computer 
LJD200
fuente
1
Encontré el Programa de comentarios del cliente de Lenovo mencionado en un artículo y parece ser un software de monitoreo / seguimiento de Lenovo. Más sobre esto y cómo apagarlo aquí .
MC10
1
Gracias por la información, @ MC10. Ya he deshabilitado la tarea. No tengo "Lenovo Experience Improvement" en la lista de Programas y características, pero es posible que lo haya desinstalado previamente. He tenido la computadora por menos de 90 días.
LJD200
Lea esto: lifehacker.com/5717628/… lifehacker.com/… Hay enlaces a algunas utilidades para ayudar a deshacerse del crapware y bloatware.
Lionel Doolan
Avast parece haberse vuelto mental últimamente. Hay cientos de preguntas sobre SO del último mes más o menos sobre arruinar completamente el uso inocuo de Visual Studio de manera similar.
Carreras de ligereza en órbita
@LionelDoolan gracias por los artículos; Le daré un vistazo.
LJD200

Respuestas:

12

Si hace clic en el enlace "Análisis estático" para el archivo en la página de Comodo Valkyrie, verá que una de las razones para marcar el archivo fue porque se detectó la "matriz de funciones de devolución de llamada TLS". Puede haber una razón legítima para la inclusión de ese código en el archivo ejecutable que cargó en el sitio, pero los desarrolladores de malware pueden usar el código de devolución de llamada TLS para frustrar el análisis de su código por parte de investigadores antivirus al hacer que el proceso de depuración del código sea más difícil. Por ejemplo, desde Detectar depurador con devolución de llamada TLS :

La devolución de llamada TLS es una función que se llama antes de que se ejecute el punto de entrada del proceso. Si ejecuta el ejecutable con un depurador, la devolución de llamada TLS se ejecutará antes de que el depurador se rompa. Esto significa que puede realizar comprobaciones anti-depuración antes de que el depurador pueda hacer algo. Por lo tanto, la devolución de llamada TLS es una técnica anti-depuración muy poderosa.

TLS Callbacks in the Wild analiza un ejemplo de malware que utiliza esta técnica.

Lenovo tiene una mala reputación en lo que respecta al software que ha distribuido con sus sistemas. Por ejemplo, del artículo de Ars Technica del 15 de febrero de 2015, las PC Lenovo se envían con un adware man-in-the-middle que interrumpe las conexiones HTTPS :

Lenovo está vendiendo computadoras que vienen preinstaladas con adware que secuestra las sesiones web encriptadas y puede hacer que los usuarios sean vulnerables a los ataques de HTTPS man-in-the-middle que son triviales para los atacantes, dijeron investigadores de seguridad.

La amenaza crítica está presente en las computadoras Lenovo que tienen adware de una compañía llamada Superfish instalada. Tan desagradable como muchas personas encuentran software que inyecta anuncios en páginas web, hay algo mucho más nefasto en el paquete Superfish. Instala un certificado HTTPS raíz autofirmado que puede interceptar el tráfico cifrado para cada sitio web que visita un usuario. Cuando un usuario visita un sitio HTTPS, el certificado del sitio está firmado y controlado por Superfish y se representa falsamente como el certificado oficial del sitio web.

Un ataque man-in-the-middle derrota la protección que de otro modo tendría al visitar un sitio usando HTTPS en lugar de HTTP, lo que permite que el software espíe todo el tráfico web, incluso el tráfico entre el usuario y las instituciones financieras, como los bancos.

Cuando los investigadores encontraron el software Superfish en las máquinas de Lenovo, Lenovo afirmó inicialmente "Hemos investigado a fondo esta tecnología y no encontramos ninguna evidencia para corroborar problemas de seguridad". Pero la compañía tuvo que retractarse de esa declaración cuando los investigadores de seguridad revelaron cómo el software Superfish hizo que los sistemas de Lenovo estuvieran expuestos al compromiso de malhechores.

En respuesta a esa debacle, el Director Técnico (CTO) de Lenovo, Peter Hortensius, declaró: "Lo que puedo decir sobre esto hoy es que estamos explorando una amplia gama de opciones que incluyen: crear una imagen de PC más limpia (el sistema operativo y software que está en su dispositivo desde el primer momento) ... "Tal vez esa opción fue descartada. Por ejemplo, vea el artículo de septiembre de 2015 Lenovo atrapado con las manos en la masa (tercera vez): Spyware preinstalado encontrado en computadoras portátiles Lenovo por Swati Khandelwal, analista de seguridad de The Hacker News , que analiza el software "Lenovo Customer Feedback Program 64" que encontró en tu sistema.

Actualización :

Con respecto a los usos legítimos para las devoluciones de llamada de Thread Local Storage (TLS), hay una discusión sobre TLS en Wikipedia Thread Local Storageartículo. No sé con qué frecuencia los programadores lo usan para usos legítimos. Solo he encontrado a una persona que menciona su uso legítimo para la capacidad; Todas las otras referencias que he encontrado han sido sobre su uso por malware. Pero eso puede deberse simplemente a que es más probable que se escriba sobre el uso por parte de los desarrolladores de malware que los programadores que escriben sobre su uso legítimo. No creo que su uso solo sea evidencia concluyente de que Lenovo está tratando de ocultar funciones en el software que sus usuarios probablemente encontrarían alarmantes si supieran todo lo que el software hizo. Pero, dadas las prácticas conocidas de Lenovo, no solo con Superfish, sino posteriormente con el uso de la Tabla binaria de la plataforma de Windows (WPBT) para el "motor del sistema de Lenovo" Lenovo usó la función antirrobo de Windows para instalar crapware persistente , creo que hay razones para ser algo cauteloso y es mucho menos probable que le dé a Lenovo el beneficio de la duda que otras compañías.

Desafortunadamente, hay muchas compañías que tratan de ganar más dinero con sus clientes vendiendo información del cliente o "acceso" a sus clientes a otros "socios". Y a veces eso se hace a través de adware, lo que no significa necesariamente que la compañía esté proporcionando información de identificación personal a esos "socios". A veces, una empresa puede querer recopilar información sobre el comportamiento de sus clientes solo para poder proporcionar más información a los vendedores sobre el tipo de cliente que la empresa probablemente atraerá en lugar de información que identifique a un individuo.

Si subo un archivo a VirusTotal y encuentro solo uno o dos de los muchos programas antivirus que usa para escanear los archivos cargados que marcan el archivo como que contiene malware, a menudo los considero informes falsos positivos , si el código obviamente ha existido durante bastante tiempo. en algún momento, por ejemplo, si VirusTotal informa que previamente escaneó el archivo hace un año, y de lo contrario no tengo ninguna razón para desconfiar del desarrollador de software y, por el contrario, alguna razón para confiar en el desarrollador, por ejemplo, debido a una buena reputación de larga data. Pero Lenovo ya ha empañado su reputación y 12 de los 53 programas antivirus que marcan el archivo que cargó es aproximadamente el 23%, lo que considero un porcentaje preocupantemente alto.

Sin embargo, dado que la mayoría de los proveedores de antivirus generalmente brindan poca o ninguna información específica sobre lo que lleva a que un archivo se marque como un tipo particular de malware y exactamente qué significa una descripción particular de malware en términos de su funcionamiento, a menudo es difícil determinar exactamente qué debe preocuparse cuando vea una descripción particular. En este caso, incluso podría ser que la mayoría de ellos están viendo una devolución de llamada TLS y marcando el archivo solo sobre esa base. Es decir, es posible que los 12 estén haciendo una afirmación falsamente positiva sobre la misma base equivocada. Y a veces, diferentes productos comparten las mismas firmas para identificar malware y esa firma también puede aparecer en un programa legítimo.

En cuanto al resultado "W32 / OnlineGames.HI.gen! Eldorado" informado por un par de programas en VirusTotal que es un nombre similar a PWS: Win32 / OnLineGames.gen! Bsin información específica sobre lo que llevó a la conclusión de que el archivo está asociado con W32 / OnlineGames.HI.gen! Eldorado y qué comportamiento está asociado con W32 / OnlineGames.HI.gen! Eldorado, es decir, qué claves y archivos de registro se deben esperar para encontrar y cómo se comporta el software con esa descripción en particular, no concluiría que el software roba credenciales de juego. Sin ninguna otra evidencia, creo que es poco probable. Desafortunadamente, muchas de las descripciones de malware que verá son descripciones genéricas con nombres similares que son de poco valor para determinar qué tan preocupado debería estar al ver esa descripción adjunta a un archivo. "W32" a menudo se adjunta al comienzo de muchos nombres por algunos proveedores de antivirus. El hecho de que comparten eso y "OnlineGames" y "gen" para "genérico"

Eliminaría el software, ya que juzgaría que usaría los recursos del sistema sin ningún beneficio para mí y, si juegas juegos en línea, podrías restablecer tus contraseñas como precaución, aunque dudo que el software de Lenovo haya robado las credenciales de los juegos en línea. o está haciendo registro de pulsaciones de teclas. Lenovo no tiene una reputación estelar por el software que incluyen en sus sistemas, pero no he visto informes de que hayan distribuido ningún software que funcione de esa manera. Y la pérdida periódica de conectividad de red podría incluso estar fuera de su PC. Por ejemplo, si otros sistemas en la misma ubicación también experimentan periódicamente una pérdida de conectividad, creo que es más probable que haya un problema en un enrutador.

punto de luna
fuente
Gracias por tu respuesta. Entonces cree que esto puede ser malicioso y, de ser así, ¿qué cree que hace? ¿Cuándo esperaría que una aplicación no maliciosa use TLS? Entiendo que Lenovo ha tenido varios incidentes con respecto al software preinstalado, pero ¿cree que instalarían malware, especialmente un keylogger como se menciona en la publicación original? Por un lado, este archivo parece sospechoso, tomando medidas para ocultar aparentemente su código.
LJD200
Por otro lado, es de un conocido fabricante de PC (¿a menos que el programa haya sido secuestrado por otro programa?) Y parece estar marcado como malicioso por un número bastante pequeño de programas antivirus en VirusTotal.
LJD200
El rootkit de Sony también era de un conocido fabricante.
Alan Shutko
@ LJD200, actualicé mi publicación en función de sus preguntas.
luna
@moonpoint Muchas gracias por tu respuesta. Esta es una excelente respuesta y la marqué como aceptada. Volveré a instalar Windows para estar seguro, pero creo que el riesgo de que se roben datos serios es pequeño. La marca de tiempo sospechosa también detectada por Valkyrie, creo que se debe a que extraigo el archivo del cofre del virus Avast, lo que cambia la marca de tiempo. Este incidente, junto con los muchos otros que han ocurrido en el pasado, ha empañado mi visión de Lenovo y no usaré su software en el futuro, pero me alegra que este incidente no haya llegado a nada serio.
LJD200
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.