Si hace clic en el enlace "Análisis estático" para el archivo en la página de Comodo Valkyrie, verá que una de las razones para marcar el archivo fue porque se detectó la "matriz de funciones de devolución de llamada TLS". Puede haber una razón legítima para la inclusión de ese código en el archivo ejecutable que cargó en el sitio, pero los desarrolladores de malware pueden usar el código de devolución de llamada TLS para frustrar el análisis de su código por parte de investigadores antivirus al hacer que el proceso de depuración del código sea más difícil. Por ejemplo, desde
Detectar depurador con devolución de llamada TLS :
La devolución de llamada TLS es una función que se llama antes de que se ejecute el punto de entrada del proceso. Si ejecuta el ejecutable con un depurador, la devolución de llamada TLS se ejecutará antes de que el depurador se rompa. Esto significa que puede realizar comprobaciones anti-depuración antes de que el depurador pueda hacer algo. Por lo tanto, la devolución de llamada TLS es una técnica anti-depuración muy poderosa.
TLS Callbacks in the Wild analiza un ejemplo de malware que utiliza esta técnica.
Lenovo tiene una mala reputación en lo que respecta al software que ha distribuido con sus sistemas. Por ejemplo, del artículo de Ars Technica del 15 de febrero de 2015, las PC Lenovo se envían con un adware man-in-the-middle que interrumpe las conexiones HTTPS :
Lenovo está vendiendo computadoras que vienen preinstaladas con adware que secuestra las sesiones web encriptadas y puede hacer que los usuarios sean vulnerables a los ataques de HTTPS man-in-the-middle que son triviales para los atacantes, dijeron investigadores de seguridad.
La amenaza crítica está presente en las computadoras Lenovo que tienen adware de una compañía llamada Superfish instalada. Tan desagradable como muchas personas encuentran software que inyecta anuncios en páginas web, hay algo mucho más nefasto en el paquete Superfish. Instala un certificado HTTPS raíz autofirmado que puede interceptar el tráfico cifrado para cada sitio web que visita un usuario. Cuando un usuario visita un sitio HTTPS, el certificado del sitio está firmado y controlado por Superfish y se representa falsamente como el certificado oficial del sitio web.
Un ataque man-in-the-middle derrota la protección que de otro modo tendría al visitar un sitio usando HTTPS en lugar de HTTP, lo que permite que el software espíe todo el tráfico web, incluso el tráfico entre el usuario y las instituciones financieras, como los bancos.
Cuando los investigadores encontraron el software Superfish en las máquinas de Lenovo, Lenovo afirmó inicialmente "Hemos investigado a fondo esta tecnología y no encontramos ninguna evidencia para corroborar problemas de seguridad". Pero la compañía tuvo que retractarse de esa declaración cuando los investigadores de seguridad revelaron cómo el software Superfish hizo que los sistemas de Lenovo estuvieran expuestos al compromiso de malhechores.
En respuesta a esa debacle, el Director Técnico (CTO) de Lenovo, Peter Hortensius, declaró: "Lo que puedo decir sobre esto hoy es que estamos explorando una amplia gama de opciones que incluyen: crear una imagen de PC más limpia (el sistema operativo y software que está en su dispositivo desde el primer momento) ... "Tal vez esa opción fue descartada. Por ejemplo, vea el artículo de septiembre de 2015 Lenovo atrapado con las manos en la masa (tercera vez): Spyware preinstalado encontrado en computadoras portátiles Lenovo por Swati Khandelwal, analista de seguridad de The Hacker News , que analiza el software "Lenovo Customer Feedback Program 64" que encontró en tu sistema.
Actualización :
Con respecto a los usos legítimos para las devoluciones de llamada de Thread Local Storage (TLS), hay una discusión sobre TLS en Wikipedia Thread Local Storageartículo. No sé con qué frecuencia los programadores lo usan para usos legítimos. Solo he encontrado a una persona que menciona su uso legítimo para la capacidad; Todas las otras referencias que he encontrado han sido sobre su uso por malware. Pero eso puede deberse simplemente a que es más probable que se escriba sobre el uso por parte de los desarrolladores de malware que los programadores que escriben sobre su uso legítimo. No creo que su uso solo sea evidencia concluyente de que Lenovo está tratando de ocultar funciones en el software que sus usuarios probablemente encontrarían alarmantes si supieran todo lo que el software hizo. Pero, dadas las prácticas conocidas de Lenovo, no solo con Superfish, sino posteriormente con el uso de la Tabla binaria de la plataforma de Windows (WPBT) para el "motor del sistema de Lenovo"
Lenovo usó la función antirrobo de Windows para instalar crapware persistente , creo que hay razones para ser algo cauteloso y es mucho menos probable que le dé a Lenovo el beneficio de la duda que otras compañías.
Desafortunadamente, hay muchas compañías que tratan de ganar más dinero con sus clientes vendiendo información del cliente o "acceso" a sus clientes a otros "socios". Y a veces eso se hace a través de adware, lo que no significa necesariamente que la compañía esté proporcionando información de identificación personal a esos "socios". A veces, una empresa puede querer recopilar información sobre el comportamiento de sus clientes solo para poder proporcionar más información a los vendedores sobre el tipo de cliente que la empresa probablemente atraerá en lugar de información que identifique a un individuo.
Si subo un archivo a VirusTotal y encuentro solo uno o dos de los muchos programas antivirus que usa para escanear los archivos cargados que marcan el archivo como que contiene malware, a menudo los considero informes falsos positivos , si el código obviamente ha existido durante bastante tiempo. en algún momento, por ejemplo, si VirusTotal informa que previamente escaneó el archivo hace un año, y de lo contrario no tengo ninguna razón para desconfiar del desarrollador de software y, por el contrario, alguna razón para confiar en el desarrollador, por ejemplo, debido a una buena reputación de larga data. Pero Lenovo ya ha empañado su reputación y 12 de los 53 programas antivirus que marcan el archivo que cargó es aproximadamente el 23%, lo que considero un porcentaje preocupantemente alto.
Sin embargo, dado que la mayoría de los proveedores de antivirus generalmente brindan poca o ninguna información específica sobre lo que lleva a que un archivo se marque como un tipo particular de malware y exactamente qué significa una descripción particular de malware en términos de su funcionamiento, a menudo es difícil determinar exactamente qué debe preocuparse cuando vea una descripción particular. En este caso, incluso podría ser que la mayoría de ellos están viendo una devolución de llamada TLS y marcando el archivo solo sobre esa base. Es decir, es posible que los 12 estén haciendo una afirmación falsamente positiva sobre la misma base equivocada. Y a veces, diferentes productos comparten las mismas firmas para identificar malware y esa firma también puede aparecer en un programa legítimo.
En cuanto al resultado "W32 / OnlineGames.HI.gen! Eldorado" informado por un par de programas en VirusTotal que es un nombre similar a
PWS: Win32 / OnLineGames.gen! Bsin información específica sobre lo que llevó a la conclusión de que el archivo está asociado con W32 / OnlineGames.HI.gen! Eldorado y qué comportamiento está asociado con W32 / OnlineGames.HI.gen! Eldorado, es decir, qué claves y archivos de registro se deben esperar para encontrar y cómo se comporta el software con esa descripción en particular, no concluiría que el software roba credenciales de juego. Sin ninguna otra evidencia, creo que es poco probable. Desafortunadamente, muchas de las descripciones de malware que verá son descripciones genéricas con nombres similares que son de poco valor para determinar qué tan preocupado debería estar al ver esa descripción adjunta a un archivo. "W32" a menudo se adjunta al comienzo de muchos nombres por algunos proveedores de antivirus. El hecho de que comparten eso y "OnlineGames" y "gen" para "genérico"
Eliminaría el software, ya que juzgaría que usaría los recursos del sistema sin ningún beneficio para mí y, si juegas juegos en línea, podrías restablecer tus contraseñas como precaución, aunque dudo que el software de Lenovo haya robado las credenciales de los juegos en línea. o está haciendo registro de pulsaciones de teclas. Lenovo no tiene una reputación estelar por el software que incluyen en sus sistemas, pero no he visto informes de que hayan distribuido ningún software que funcione de esa manera. Y la pérdida periódica de conectividad de red podría incluso estar fuera de su PC. Por ejemplo, si otros sistemas en la misma ubicación también experimentan periódicamente una pérdida de conectividad, creo que es más probable que haya un problema en un enrutador.