Recientemente compré una computadora Lenovo H50-55 con Windows 10 Home x64. Desinstalé parte del software de Lenovo que se envió con la computadora, pero no todo.
Ejecuté un escaneo completo de malware de la computadora usando Avast Free Antivirus y detecté C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe
(que es un archivo de Lenovo) como malicioso y me dijo que era 'Win32: Malware-gen'.
Esto provocó una mayor investigación y subí el archivo a VirusTotal, cuyos resultados se pueden ver aquí (12 de 53 programas antivirus lo detectaron como malicioso).
- Dos de los programas antivirus en VirusTotal detectaron el archivo setup.exe como 'W32 / OnlineGames.HI.gen! Eldorado', que según esta página de Microsoft aquí puede robar algunos datos bastante serios.
- Sin embargo, este es un artículo genérico para la familia de malware (aunque esta página de Microsoft es más específica y trata sobre una pieza de malware con un nombre muy similar que roba credenciales).
Subí el archivo a Comodo Valkyrie, cuyos resultados se pueden ver aquí . El servicio lo consideró malware. ACTUALIZACIÓN: El análisis manual del archivo en Comodo Valkyrie lo consideró limpio.
Le dije a Avast que arreglara el archivo, pero me preocupa que aún pudiera quedar más malware o que los datos ya podrían haber sido robados.
- ¿Es esto una amenaza real o no?
- ¿Qué debería hacer después?
Estoy considerando borrar toda la PC y reinstalar Windows 10 desde cero, pero eso no ayudará si el robo de datos ya ha ocurrido.
No sé si esto está relacionado, pero encontré una tarea en el Programador de tareas de Windows llamada 'Programa de comentarios del cliente de Lenovo 64 35' que desactivé pero anteriormente ejecutaba un exe llamado C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
todos los días. Parece que solo hay un poco de información sobre el Programa de comentarios de los clientes en Internet. Creo que la tarea Comentarios del cliente está separada del archivo potencialmente malicioso. VirusTotal considera que el exe de comentarios de los clientes es seguro y Lenovo tiene un artículo al respecto aquí , que dice que envía datos no personales.
Mi conexión de red parece estar cayendo por breves períodos de tiempo cada cierto tiempo. No sé si este es un problema relacionado.
Respuestas:
Si hace clic en el enlace "Análisis estático" para el archivo en la página de Comodo Valkyrie, verá que una de las razones para marcar el archivo fue porque se detectó la "matriz de funciones de devolución de llamada TLS". Puede haber una razón legítima para la inclusión de ese código en el archivo ejecutable que cargó en el sitio, pero los desarrolladores de malware pueden usar el código de devolución de llamada TLS para frustrar el análisis de su código por parte de investigadores antivirus al hacer que el proceso de depuración del código sea más difícil. Por ejemplo, desde Detectar depurador con devolución de llamada TLS :
TLS Callbacks in the Wild analiza un ejemplo de malware que utiliza esta técnica.
Lenovo tiene una mala reputación en lo que respecta al software que ha distribuido con sus sistemas. Por ejemplo, del artículo de Ars Technica del 15 de febrero de 2015, las PC Lenovo se envían con un adware man-in-the-middle que interrumpe las conexiones HTTPS :
Un ataque man-in-the-middle derrota la protección que de otro modo tendría al visitar un sitio usando HTTPS en lugar de HTTP, lo que permite que el software espíe todo el tráfico web, incluso el tráfico entre el usuario y las instituciones financieras, como los bancos.
Cuando los investigadores encontraron el software Superfish en las máquinas de Lenovo, Lenovo afirmó inicialmente "Hemos investigado a fondo esta tecnología y no encontramos ninguna evidencia para corroborar problemas de seguridad". Pero la compañía tuvo que retractarse de esa declaración cuando los investigadores de seguridad revelaron cómo el software Superfish hizo que los sistemas de Lenovo estuvieran expuestos al compromiso de malhechores.
En respuesta a esa debacle, el Director Técnico (CTO) de Lenovo, Peter Hortensius, declaró: "Lo que puedo decir sobre esto hoy es que estamos explorando una amplia gama de opciones que incluyen: crear una imagen de PC más limpia (el sistema operativo y software que está en su dispositivo desde el primer momento) ... "Tal vez esa opción fue descartada. Por ejemplo, vea el artículo de septiembre de 2015 Lenovo atrapado con las manos en la masa (tercera vez): Spyware preinstalado encontrado en computadoras portátiles Lenovo por Swati Khandelwal, analista de seguridad de The Hacker News , que analiza el software "Lenovo Customer Feedback Program 64" que encontró en tu sistema.
Actualización :
Con respecto a los usos legítimos para las devoluciones de llamada de Thread Local Storage (TLS), hay una discusión sobre TLS en Wikipedia Thread Local Storageartículo. No sé con qué frecuencia los programadores lo usan para usos legítimos. Solo he encontrado a una persona que menciona su uso legítimo para la capacidad; Todas las otras referencias que he encontrado han sido sobre su uso por malware. Pero eso puede deberse simplemente a que es más probable que se escriba sobre el uso por parte de los desarrolladores de malware que los programadores que escriben sobre su uso legítimo. No creo que su uso solo sea evidencia concluyente de que Lenovo está tratando de ocultar funciones en el software que sus usuarios probablemente encontrarían alarmantes si supieran todo lo que el software hizo. Pero, dadas las prácticas conocidas de Lenovo, no solo con Superfish, sino posteriormente con el uso de la Tabla binaria de la plataforma de Windows (WPBT) para el "motor del sistema de Lenovo" Lenovo usó la función antirrobo de Windows para instalar crapware persistente , creo que hay razones para ser algo cauteloso y es mucho menos probable que le dé a Lenovo el beneficio de la duda que otras compañías.
Desafortunadamente, hay muchas compañías que tratan de ganar más dinero con sus clientes vendiendo información del cliente o "acceso" a sus clientes a otros "socios". Y a veces eso se hace a través de adware, lo que no significa necesariamente que la compañía esté proporcionando información de identificación personal a esos "socios". A veces, una empresa puede querer recopilar información sobre el comportamiento de sus clientes solo para poder proporcionar más información a los vendedores sobre el tipo de cliente que la empresa probablemente atraerá en lugar de información que identifique a un individuo.
Si subo un archivo a VirusTotal y encuentro solo uno o dos de los muchos programas antivirus que usa para escanear los archivos cargados que marcan el archivo como que contiene malware, a menudo los considero informes falsos positivos , si el código obviamente ha existido durante bastante tiempo. en algún momento, por ejemplo, si VirusTotal informa que previamente escaneó el archivo hace un año, y de lo contrario no tengo ninguna razón para desconfiar del desarrollador de software y, por el contrario, alguna razón para confiar en el desarrollador, por ejemplo, debido a una buena reputación de larga data. Pero Lenovo ya ha empañado su reputación y 12 de los 53 programas antivirus que marcan el archivo que cargó es aproximadamente el 23%, lo que considero un porcentaje preocupantemente alto.
Sin embargo, dado que la mayoría de los proveedores de antivirus generalmente brindan poca o ninguna información específica sobre lo que lleva a que un archivo se marque como un tipo particular de malware y exactamente qué significa una descripción particular de malware en términos de su funcionamiento, a menudo es difícil determinar exactamente qué debe preocuparse cuando vea una descripción particular. En este caso, incluso podría ser que la mayoría de ellos están viendo una devolución de llamada TLS y marcando el archivo solo sobre esa base. Es decir, es posible que los 12 estén haciendo una afirmación falsamente positiva sobre la misma base equivocada. Y a veces, diferentes productos comparten las mismas firmas para identificar malware y esa firma también puede aparecer en un programa legítimo.
En cuanto al resultado "W32 / OnlineGames.HI.gen! Eldorado" informado por un par de programas en VirusTotal que es un nombre similar a PWS: Win32 / OnLineGames.gen! Bsin información específica sobre lo que llevó a la conclusión de que el archivo está asociado con W32 / OnlineGames.HI.gen! Eldorado y qué comportamiento está asociado con W32 / OnlineGames.HI.gen! Eldorado, es decir, qué claves y archivos de registro se deben esperar para encontrar y cómo se comporta el software con esa descripción en particular, no concluiría que el software roba credenciales de juego. Sin ninguna otra evidencia, creo que es poco probable. Desafortunadamente, muchas de las descripciones de malware que verá son descripciones genéricas con nombres similares que son de poco valor para determinar qué tan preocupado debería estar al ver esa descripción adjunta a un archivo. "W32" a menudo se adjunta al comienzo de muchos nombres por algunos proveedores de antivirus. El hecho de que comparten eso y "OnlineGames" y "gen" para "genérico"
Eliminaría el software, ya que juzgaría que usaría los recursos del sistema sin ningún beneficio para mí y, si juegas juegos en línea, podrías restablecer tus contraseñas como precaución, aunque dudo que el software de Lenovo haya robado las credenciales de los juegos en línea. o está haciendo registro de pulsaciones de teclas. Lenovo no tiene una reputación estelar por el software que incluyen en sus sistemas, pero no he visto informes de que hayan distribuido ningún software que funcione de esa manera. Y la pérdida periódica de conectividad de red podría incluso estar fuera de su PC. Por ejemplo, si otros sistemas en la misma ubicación también experimentan periódicamente una pérdida de conectividad, creo que es más probable que haya un problema en un enrutador.
fuente