Comodo Valkyrieページでファイルの「Static Analysis」リンクをクリックすると、ファイルにフラグを付ける理由の1つが「TLSコールバック関数配列が検出された」ためであることがわかります。サイトにアップロードした実行可能ファイルにそのコードを含めることには正当な理由があるかもしれませんが、マルウェアデベロッパーはTLSコールバックコードを使用して、コードのデバッグプロセスを強化することにより、ウイルス対策研究者によるコードの分析を阻止できます。難しい。たとえば、TLSコールバックを備えたDetectデバッガーから
:
TLSコールバックは、プロセスエントリポイントが実行される前に呼び出される関数です。デバッガーで実行可能ファイルを実行すると、デバッガーが中断する前にTLSコールバックが実行されます。つまり、デバッガーが何かを実行する前に、デバッグ防止チェックを実行できます。したがって、TLSコールバックは非常に強力なアンチデバッグ手法です。
TLS Callbacks in the Wildでは、この手法を使用したマルウェアの例について説明しています。
Lenovoは、システムと一緒に配布したソフトウェアに関して悪い評判を持っています。たとえば、2015年2月15日のArs Technica記事のLenovo PCには、HTTPS接続を切断する中間者アドウェアが付属しています。
Lenovoは、暗号化されたWebセッションを乗っ取るアドウェアがプリインストールされたコンピューターを販売しており、ユーザーが攻撃者が実行するのは簡単なHTTPS中間者攻撃に対して脆弱になる可能性があると、セキュリティ研究者は述べています。
この重大な脅威は、Superfishという会社のアドウェアがインストールされているLenovo PCに存在します。多くの人々がWebページに広告を挿入するソフトウェアを見つけるのと同じくらい不快ですが、Superfishパッケージにはもっと不愉快なものがあります。ユーザーがアクセスするすべてのWebサイトの暗号化されたトラフィックを傍受できる自己署名ルートHTTPS証明書をインストールします。ユーザーがHTTPSサイトにアクセスすると、サイト証明書はSuperfishによって署名および制御され、公式のWebサイト証明書として偽装されます。
man-in-the-middle攻撃を使用してサイト訪問し、あなたがそうだろうな保護を破るHTTPSを HTTPではなく、ソフトウェアが銀行などのすべてのWebトラフィック上のユーザーと金融機関の間でもトラフィックをスヌープすることができます。
研究者がLenovoマシンでSuperfishソフトウェアを見つけたとき、Lenovoは最初に「このテクノロジーを徹底的に調査しましたが、セキュリティ上の懸念を立証する証拠は見つかりませんでした」と主張しました。しかし同社は、セキュリティ研究者がスーパーフィッシュソフトウェアがどのようにしてLenovoシステムを不正要因による危険にさらすかを明らかにしたとき、その声明を撤回しなければなりませんでした。
その大失敗に応えて、レノボの最高技術責任者(CTO)であるピーターホルテンシウスは、次のように述べています。箱から出してすぐにデバイス上にあるソフトウェア)...」おそらくそのオプションは破棄されました。たとえば、2015年9月の記事「Lenovo Caught Red-handed(3rd Time):Pre-Installed Spyware found in Lenovo Laptops by Swati Khandelwal」のセキュリティアナリスト、The Hacker Newsで、「Lenovo Customer Feedback Program 64」ソフトウェアについて説明しています。あなたのシステム。
更新:
スレッドローカルストレージ(TLS)コールバックの合法的な使用に関しては、Wikipedia スレッドローカルストレージに TLSに関する議論があります。論文。プログラマーが正当な用途でどれほど頻繁にそれを使用するかはわかりません。機能の正当な使用について言及している人は1人だけです。私が見つけた他のすべての参照は、マルウェアによる使用に関するものです。しかし、それは単に、マルウェア開発者による使用法が、正当な使用法について書いているプログラマーよりも書かれている可能性が高いためです。Lenovoがソフトウェアの機能を隠そうとしていることの結論は、その使用法だけではないと私は思います。ユーザーがソフトウェアのすべてを知っていれば、ユーザーが不安を感じる可能性があります。しかし、Superfishだけでなく、その後の「Lenovo System Engine」用のWindowsプラットフォームバイナリテーブル(WPBT)の使用によるLenovoの既知の慣行を考えると
LenovoはWindowsの盗難防止機能を使用して永続的なクラップウェアをインストールしましたが、いくらか警戒すべき理由があり、Lenovo に疑いの利益を他の会社よりも与える可能性ははるかに低いと思います。
残念ながら、顧客情報を販売したり、他の「パートナー」に顧客への「アクセス」を販売したりして、顧客からより多くのお金を稼ごうとする会社はたくさんあります。そして、時にはそれがアドウェアを介して行われることもありますが、必ずしもそれが会社がそれらの「パートナー」に個人を特定できる情報を提供していることを必ずしも意味しません。企業は、個人を特定する情報ではなく、企業が引き付ける可能性のある顧客のタイプについてより多くの情報をマーケティング担当者に提供できるように、顧客の行動に関する情報を収集したい場合があります。
VirusTotalにファイルをアップロードし、アップロードされたファイルをスキャンするために使用する多くのウイルス対策プログラムの1つまたは2つだけを見つけて、ファイルにマルウェアが含まれているとフラグを立てた場合、コードが明らかに完全に機能している場合、それらを誤検出レポートと見なすことがよくあります。たとえば、VirusTotalが1年前に以前にファイルをスキャンしたと報告した場合や、ソフトウェア開発者を信用しない理由がない場合や、逆に、開発者を信頼する理由がある場合(たとえば、長年の良い評判のため)。しかし、レノボはすでにその評判を傷つけており、アップロードしたファイルにフラグを付ける53のウイルス対策プログラムのうち12は約23%であり、これは非常に高い割合だと思います。
ただし、ほとんどのウイルス対策ベンダーは通常、ファイルが特定の種類のマルウェアとしてフラグ付けされる原因となる特定の情報、および特定のマルウェアの説明がその操作に関して正確に何を意味するかについて、具体的な情報をほとんど提供しないため、正確に何を確認するのが難しいことがよくあります特定の説明が表示されたときに心配する必要があります。この場合、ほとんどのユーザーがTLSコールバックを確認し、それだけでファイルにフラグを立てている可能性もあります。つまり、12人全員が同じ誤った基準で偽陽性の主張をしている可能性があります。また、マルウェアを識別するために異なる製品が同じ署名を共有することもあり、その署名は正規のプログラムでも発生する可能性があります。
VirusTotalのいくつかのプログラムによって報告された「W32 / OnlineGames.HI.gen!Eldorado」の結果については、PWS:Win32 / OnLineGames.gen!Bに似た名前
です。ファイルがW32 / OnlineGames.HI.gen!Eldoradoに関連付けられているとの結論、およびW32 / OnlineGames.HI.gen!Eldoradoに関連付けられている動作に関する具体的な情報なし、つまり、どのレジストリキーとファイルが予期すべきかその特定の説明を持つソフトウェアを見つけてどのように動作するかを確認するために、ソフトウェアがゲームの資格情報を盗んでいるとは結論付けません。他の証拠がなければ、それはありそうにないと思います。残念ながら、表示されるマルウェアの説明の多くは、同じように名前が付けられた一般的な説明であり、ファイルに添付された説明を見たときにどれほど心配する必要があるかを判断する上でほとんど意味がありません。「W32」は、一部のウイルス対策ベンダーによって、多くの名前の先頭に付けられることがよくあります。彼らがそれを共有しているという事実と「ジェネリック」の「オンラインゲーム」と「ジェネ」
ソフトウェアを削除します。システムリソースを使用しても何のメリットもないと判断したためです。オンラインゲームをプレイする場合は、予防策としてパスワードをリセットできますが、Lenovoソフトウェアがオンラインゲームの資格情報を盗んだのではないかと思います。またはキーストロークのロギングを行っています。Lenovoは、システムに組み込まれているソフトウェアについて優れた評価を得ていませんが、そのような方法で動作するソフトウェアを配布したという報告はありません。また、ネットワーク接続が定期的に失われることは、PCの外部にある場合さえあります。たとえば、同じ場所にある他のシステムでも接続が定期的に失われる場合は、ルーターに問題がある可能性が高いと思います。