我最近购买了一台装有 Windows 10 Home x64 的联想 H50-55 电脑。我卸载了电脑随附的一些联想软件,但不是全部。
我使用 Avast Free Antivirus 对计算机进行了全面的恶意软件扫描,它检测到C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(联想文件)为恶意软件,并告诉我它是“Win32:Malware-gen”。
这促使我进行了进一步调查,因此我将文件上传到 VirusTotal,结果如下:这里(53 个防病毒程序中有 12 个将其检测为恶意软件)。
- VirusTotal 上的两个防病毒程序将 setup.exe 文件检测为“W32/OnlineGames.HI.gen!Eldorado”,根据 Microsoft 页面这里可能会窃取一些相当重要的数据。
- 然而,这是一篇关于恶意软件家族的通用文章(尽管这微软的页面更加具体,并且介绍了一种名称非常相似的窃取凭证的恶意软件)。
我将文件上传到 Comodo Valkyrie,可以看到结果这里。该服务认为它是恶意软件。更新:对 Comodo Valkyrie 上的文件的手动分析表明它是安全的。
我告诉 Avast 修复该文件,但我担心可能仍存在恶意软件或数据可能已经被盗。
- 这是一个真正的威胁吗?
- 下一步我应该做什么?
我正在考虑清除整个电脑并从头重新安装 Windows 10,但如果数据已经被盗窃,这也无济于事。
我不知道这是否相关,但我在 Windows 任务计划程序中发现了一个名为“Lenovo 客户反馈程序 64 35”的任务,我禁用了它,但之前C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe每天都在运行一个名为的 exe。互联网上似乎只有一点点关于客户反馈程序的信息。我相信客户反馈任务与潜在的恶意文件是分开的。VirusTotal 认为客户反馈 exe 是安全的,联想自己也有一篇关于它的文章这里,其中表示它会发送非个人数据。
我的网络连接似乎时不时会短暂中断。我不知道这是否是相关问题。
答案1
如果您在 Comodo Valkyrie 页面上单击该文件的“静态分析”链接,您将看到标记该文件的原因之一是“检测到 TLS 回调函数数组”。将该代码包含在您上传到网站的可执行文件中可能有正当理由,但恶意软件开发人员可以使用 TLS 回调代码来阻止反病毒研究人员对其代码的分析,方法是使代码调试过程更加困难。例如,来自 使用 TLS 回调检测调试器:
TLS 回调是在进程入口点执行之前调用的函数。如果你使用调试器运行可执行文件,则 TLS 回调将在调试器中断之前执行。这意味着你可以在调试器执行任何操作之前执行反调试检查。因此,TLS 回调是一种非常强大的反调试技术。
TLS 回调在野外的应用讨论了使用此技术的恶意软件示例。
联想在随其系统分发的软件方面名声不佳。例如,2015 年 2 月 15 日 Ars Technica 文章联想电脑预装了中间人广告软件,可破坏 HTTPS 连接:
安全研究人员表示,联想出售的计算机预装了广告软件,该广告软件会劫持加密的网络会话,并可能使用户容易受到 HTTPS 中间人攻击,而这种攻击对于攻击者来说轻而易举。
联想电脑上存在严重威胁,这些电脑安装了 Superfish 公司的广告软件。虽然许多人都觉得这种将广告插入网页的软件很恶心,但 Superfish 软件包的危害更大。它会安装一个自签名的根 HTTPS 证书,可以拦截用户访问的每个网站的加密流量。当用户访问 HTTPS 网站时,该网站证书由 Superfish 签名和控制,并谎称自己是官方网站证书。
A中间人攻击通过使用以下方式访问网站,可以破坏您原本享有的保护HTTPS而不是 HTTP,允许软件监视所有网络流量,甚至是用户和银行等金融机构之间的流量。
当研究人员在联想机器上发现 Superfish 软件时,联想最初声称“我们已经彻底调查了这项技术,没有发现任何证据证明存在安全问题。”但是当安全研究人员揭露 Superfish 软件如何使联想系统容易受到恶意攻击时,该公司不得不撤回这一声明。
为了应对这一灾难,联想首席技术官 (CTO) Peter Hortensius 随后表示“今天我可以说的是,我们正在探索多种选择,包括:创建一个更干净的 PC 映像(开箱即用的设备上的操作系统和软件)...”也许这个选项被放弃了。例如,参见 2015 年 9 月的文章联想第三次被抓:联想笔记本电脑中发现预装间谍软件作者:Swati Khandelwal,安全分析师黑客新闻,讨论您在系统上发现的“Lenovo 客户反馈程序 64”软件。
更新:
关于线程本地存储 (TLS) 回调的合法用途,维基百科中有一篇关于 TLS 的讨论线程本地存储文章。我不知道程序员将其用于合法用途的频率。我只发现一个人提到他合法使用该功能;我发现的所有其他引用都是关于恶意软件使用该功能的。但这可能只是因为恶意软件开发人员的使用比程序员撰写的合法使用更有可能被记录下来。我认为仅凭它的使用并不能确凿地证明联想试图隐藏软件中的功能,如果用户知道软件的所有功能,他们可能会感到震惊。但是,考虑到联想已知的做法,不仅仅是 Superfish,而且随后它使用 Windows 平台二进制表 (WPBT) 作为“联想系统引擎”,以确保即使用户试图创建 Windows 的“干净”安装,OneKey Optimizer (OKO) 软件也会安装在系统上,如所述 联想利用 Windows 防盗功能安装持久垃圾软件,我认为有理由保持谨慎,而且不太可能给联想怀疑的好处比其他公司更可能
不幸的是,许多公司试图通过向其他“合作伙伴”出售客户信息或“访问”客户来从客户身上赚取更多钱。有时,这是通过广告软件实现的,这并不一定意味着公司向这些“合作伙伴”提供个人身份信息。有时,公司可能希望收集有关其客户行为的信息,以便向营销人员提供有关公司可能吸引的客户类型的更多信息,而不是识别个人的信息。
如果我将文件上传到病毒总数并发现它使用许多防病毒程序扫描上传文件,其中只有一两个将文件标记为包含恶意软件,我经常认为这些是假阳性报告,如果代码显然已经存在了相当长一段时间,例如,如果 VirusTotal 报告它一年前曾扫描过该文件,那么我没有理由不信任软件开发商,相反,我有理由相信开发商,例如,因为长期以来的良好声誉。但联想的声誉已经受损,53 个防病毒程序中有 12 个标记了您上传的文件,约占 23%,我认为这是令人担忧的高比例。
但是,由于大多数防病毒供应商通常很少(如果有的话)提供关于导致文件被标记为特定类型恶意软件的具体信息,以及特定恶意软件描述在其操作方面的确切含义,因此当您看到特定描述时,通常很难确定您需要担心的确切内容。在这种情况下,甚至可能是他们中的大多数人看到了 TLS 回调并仅以此为基础标记文件。也就是说,所有 12 个都可能基于相同的错误依据做出误报声明。有时不同的产品共享相同的签名来识别恶意软件,并且该签名也可能出现在合法程序中。
至于 VirusTotal 上几个程序报告的“W32/OnlineGames.HI.gen!Eldorado”结果,其名称类似于 PWS:Win32/OnLineGames.gen!B如果没有具体信息说明是什么导致得出该文件与 W32/OnlineGames.HI.gen!Eldorado 相关的结论,以及与 W32/OnlineGames.HI.gen!Eldorado 相关的行为,即应该期望找到哪些注册表项和文件,以及具有该特定描述的软件如何表现,我不会得出该软件窃取游戏凭据的结论。如果没有任何其他证据,我认为这不太可能。不幸的是,您看到的许多恶意软件描述只是名称相似的通用描述,这些描述对于确定您在看到文件附加的描述时应该有多担心没有多大价值。一些防病毒供应商经常将“W32”附加到许多名称的开头。他们共享这一点,并且在名称中使用“OnlineGames”和“gen”表示“通用”,但这并不意味着我得出这些名称的文件以相同的方式运行的结论。
我会删除该软件,因为我认为它会占用系统资源,对我没有任何好处,而且,如果你玩在线游戏,你可以重置密码作为预防措施,但我怀疑联想软件是否窃取了在线游戏凭证或正在执行击键记录。联想在其系统中包含的软件方面声誉不佳,但我没有看到任何关于他们分发任何以这种方式运行的软件的报告。而且定期断开网络连接甚至可能发生在你的电脑之外。例如,如果同一位置的其他系统也定期遇到连接丢失的情况,我认为路由器更有可能出现问题。