ウイルス対策ソフトウェアがXiaoU / LenovoServiceアンインストーラー、Lenovoソフトウェアをマルウェアとして検出するのはなぜですか?


10

最近、Windows 10 Home x64を搭載したLenovo H50-55コンピューターを購入しました。コンピューターに付属しているLenovoソフトウェアの一部をアンインストールしましたが、すべてをアンインストールしませんでした。

アバストフリーアンチウイルスを使用してコンピューターのフルマルウェアスキャンを実行したところC:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe、Lenovoファイルである悪意のあるものとして検出され、「Win32:Malware-gen」であることがわかりました。

これはさらに調査を促したので、ファイルをVirusTotalにアップロードしました。その結果はここで確認できます(53のウイルス対策プログラムのうち12が悪意のあるものとして検出しました)。

  • VirusTotalのアンチウイルスプログラムの二つは、このマイクロソフトのページによるとこれは、「W32 / OnlineGames.HI.gen!エルドラド」としてのsetup.exeファイルを検出し、ここでいくつかのかなり深刻データを盗むことがあります。
  • ただし、これはマルウェアファミリの一般的な記事です(ただし、この Microsoftページはより具体的で、非常によく似た名前の、資格情報を盗むマルウェアの一部です)。

ファイルをComodo Valkyrieにアップロードしました。その結果はここで確認できます。サービスはそれをマルウェアとみなした。更新:Comodo Valkyrieのファイルを手動で分析したところ、クリーンであると判断されました。

アバストにファイルを修正するように言いましたが、マルウェアがまだ残っているか、データがすでに盗まれているのではないかと心配しています。

  • これは本当の脅威ですか?
  • 次に何をすればいいですか?

PC全体をワイプし、Windows 10を最初から再インストールすることを検討していますが、データの盗難が既に発生している場合は役に立ちません。

これが関連しているかどうかはわかりませんが、Windowsタスクスケジューラで「Lenovo Customer Feedback Program 64 35」というタスクを見つけましたが、これを無効にしましたが、以前はC:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe毎日呼び出されるexeを実行していました。インターネット上のカスタマーフィードバックプログラムに関する情報は少ししかないようです。カスタマーフィードバックタスクは、悪意のあるファイルとは別のものであると思います。顧客フィードバックexeはVirusTotalによって安全であると見なされ、Lenovo自身がここにそれについての記事を持っています。

ネットワーク接続が頻繁に途絶えるようです。これが関連する問題かどうかはわかりません。


1
記事に記載されているLenovoカスタマーフィードバックプログラムを見つけましたが、これはLenovo監視/追跡ソフトウェアのようです。詳細とオフにする方法については、こちらをご覧ください
MC10

1
情報をありがとう、@ MC10。タスクはすでに無効になっています。プログラムと機能に「Lenovo Experience Improvement」が表示されていませんが、以前にアンインストールした可能性があります。コンピューターを90日も使用していません。
LJD200

この貫通読む:lifehacker.com/5717628/... lifehacker.com/... crapwareとブロートウェアを取り除くのに役立ついくつかのユーティリティへのリンクがあります。
Lionel Doolan

アバストは最近精神的になっているようです。同様の方法で無害なVisual Studioの使用を完全に台無しにすることについて、先月かそこらからSOについて何百もの質問があります。
オービットのライトネスレース2015

@LionelDoolan記事をありがとう。見てみます。
LJD200 2015

回答:


12

Comodo Valkyrieページでファイルの「Static Analysis」リンクをクリックすると、ファイルにフラグを付ける理由の1つが「TLSコールバック関数配列が検出された」ためであることがわかります。サイトにアップロードした実行可能ファイルにそのコードを含めることには正当な理由があるかもしれませんが、マルウェアデベロッパーはTLSコールバックコードを使用して、コードのデバッグプロセスを強化することにより、ウイルス対策研究者によるコードの分析を阻止できます。難しい。たとえば、TLSコールバックを備えたDetectデバッガーから :

TLSコールバックは、プロセスエントリポイントが実行される前に呼び出される関数です。デバッガーで実行可能ファイルを実行すると、デバッガーが中断する前にTLSコールバックが実行されます。つまり、デバッガーが何かを実行する前に、デバッグ防止チェックを実行できます。したがって、TLSコールバックは非常に強力なアンチデバッグ手法です。

TLS Callbacks in the Wildでは、この手法を使用したマルウェアの例について説明しています。

Lenovoは、システムと一緒に配布したソフトウェアに関して悪い評判を持っています。たとえば、2015年2月15日のArs Technica記事のLenovo PCには、HTTPS接続を切断する中間者アドウェアが付属しています

Lenovoは、暗号化されたWebセッションを乗っ取るアドウェアがプリインストールされたコンピューターを販売しており、ユーザーが攻撃者が実行するのは簡単なHTTPS中間者攻撃に対して脆弱になる可能性があると、セキュリティ研究者は述べています。

この重大な脅威は、Superfishという会社のアドウェアがインストールされているLenovo PCに存在します。多くの人々がWebページに広告を挿入するソフトウェアを見つけるのと同じくらい不快ですが、Superfishパッケージにはもっと不愉快なものがあります。ユーザーがアクセスするすべてのWebサイトの暗号化されたトラフィックを傍受できる自己署名ルートHTTPS証明書をインストールします。ユーザーがHTTPSサイトにアクセスすると、サイト証明書はSuperfishによって署名および制御され、公式のWebサイト証明書として偽装されます。

man-in-the-middle攻撃を使用してサイト訪問し、あなたがそうだろうな保護を破るHTTPSを HTTPではなく、ソフトウェアが銀行などのすべてのWebトラフィック上のユーザーと金融機関の間でもトラフィックをスヌープすることができます。

研究者がLenovoマシンでSuperfishソフトウェアを見つけたとき、Lenovoは最初に「このテクノロジーを徹底的に調査しましたが、セキュリティ上の懸念を立証する証拠は見つかりませんでした」と主張しました。しかし同社は、セキュリティ研究者がスーパーフィッシュソフトウェアがどのようにしてLenovoシステムを不正要因による危険にさらすかを明らかにしたとき、その声明を撤回しなければなりませんでした。

その大失敗に応えて、レノボの最高技術責任者(CTO)であるピーターホルテンシウスは、次のように述べています。箱から出してすぐにデバイス上にあるソフトウェア)...」おそらくそのオプションは破棄されました。たとえば、2015年9月の記事「Lenovo Caught Red-handed(3rd Time):Pre-Installed Spyware found in Lenovo Laptops by Swati Khandelwal」のセキュリティアナリスト、The Hacker Newsで、「Lenovo Customer Feedback Program 64」ソフトウェアについて説明しています。あなたのシステム。

更新

スレッドローカルストレージ(TLS)コールバックの合法的な使用に関しては、Wikipedia スレッドローカルストレージに TLSに関する議論があります。論文。プログラマーが正当な用途でどれほど頻繁にそれを使用するかはわかりません。機能の正当な使用について言及している人は1人だけです。私が見つけた他のすべての参照は、マルウェアによる使用に関するものです。しかし、それは単に、マルウェア開発者による使用法が、正当な使用法について書いているプログラマーよりも書かれている可能性が高いためです。Lenovoがソフトウェアの機能を隠そうとしていることの結論は、その使用法だけではないと私は思います。ユーザーがソフトウェアのすべてを知っていれば、ユーザーが不安を感じる可能性があります。しかし、Superfishだけでなく、その後の「Lenovo System Engine」用のWindowsプラットフォームバイナリテーブル(WPBT)の使用によるLenovoの既知の慣行を考えると LenovoはWindowsの盗難防止機能を使用して永続的なクラップウェアをインストールしましたが、いくらか警戒すべき理由があり、Lenovo に疑いの利益を他の会社よりも与える可能性ははるかに低いと思います。

残念ながら、顧客情報を販売したり、他の「パートナー」に顧客への「アクセス」を販売したりして、顧客からより多くのお金を稼ごうとする会社はたくさんあります。そして、時にはそれがアドウェアを介して行われることもありますが、必ずしもそれが会社がそれらの「パートナー」に個人を特定できる情報を提供していることを必ずしも意味しません。企業は、個人を特定する情報ではなく、企業が引き付ける可能性のある顧客のタイプについてより多くの情報をマーケティング担当者に提供できるように、顧客の行動に関する情報を収集したい場合があります。

VirusTotalにファイルをアップロードし、アップロードされたファイルをスキャンするために使用する多くのウイルス対策プログラムの1つまたは2つだけを見つけて、ファイルにマルウェアが含まれているとフラグを立てた場合、コードが明らかに完全に機能している場合、それらを誤検出レポートと見なすことがよくあります。たとえば、VirusTotalが1年前に以前にファイルをスキャンしたと報告した場合や、ソフトウェア開発者を信用しない理由がない場合や、逆に、開発者を信頼する理由がある場合(たとえば、長年の良い評判のため)。しかし、レノボはすでにその評判を傷つけており、アップロードしたファイルにフラグを付ける53のウイルス対策プログラムのうち12は約23%であり、これは非常に高い割合だと思います。

ただし、ほとんどのウイルス対策ベンダーは通常、ファイルが特定の種類のマルウェアとしてフラグ付けされる原因となる特定の情報、および特定のマルウェアの説明がその操作に関して正確に何を意味するかについて、具体的な情報をほとんど提供しないため、正確に何を確認するのが難しいことがよくあります特定の説明が表示されたときに心配する必要があります。この場合、ほとんどのユーザーがTLSコールバックを確認し、それだけでファイルにフラグを立てている可能性もあります。つまり、12人全員が同じ誤った基準で偽陽性の主張をしている可能性があります。また、マルウェアを識別するために異なる製品が同じ署名を共有することもあり、その署名は正規のプログラムでも発生する可能性があります。

VirusTotalのいくつかのプログラムによって報告された「W32 / OnlineGames.HI.gen!Eldorado」の結果については、PWS:Win32 / OnLineGames.gen!Bに似た名前 です。ファイルがW32 / OnlineGames.HI.gen!Eldoradoに関連付けられているとの結論、およびW32 / OnlineGames.HI.gen!Eldoradoに関連付けられている動作に関する具体的な情報なし、つまり、どのレジストリキーとファイルが予期すべきかその特定の説明を持つソフトウェアを見つけてどのように動作するかを確認するために、ソフトウェアがゲームの資格情報を盗んでいるとは結論付けません。他の証拠がなければ、それはありそうにないと思います。残念ながら、表示されるマルウェアの説明の多くは、同じように名前が付けられた一般的な説明であり、ファイルに添付された説明を見たときにどれほど心配する必要があるかを判断する上でほとんど意味がありません。「W32」は、一部のウイルス対策ベンダーによって、多くの名前の先頭に付けられることがよくあります。彼らがそれを共有しているという事実と「ジェネリック」の「オンラインゲーム」と「ジェネ」

ソフトウェアを削除します。システムリソースを使用しても何のメリットもないと判断したためです。オンラインゲームをプレイする場合は、予防策としてパスワードをリセットできますが、Lenovoソフトウェアがオンラインゲームの資格情報を盗んだのではないかと思います。またはキーストロークのロギングを行っています。Lenovoは、システムに組み込まれているソフトウェアについて優れた評価を得ていませんが、そのような方法で動作するソフトウェアを配布したという報告はありません。また、ネットワーク接続が定期的に失われることは、PCの外部にある場合さえあります。たとえば、同じ場所にある他のシステムでも接続が定期的に失われる場合は、ルーターに問題がある可能性が高いと思います。


ご回答有難うございます。これは悪意のある可能性があると思います。もしそうなら、何をしていると思いますか 悪意のないアプリケーションがTLSを使用するのはいつでしょうか?プレインストールされたソフトウェアに関してLenovoがいくつかの事件を経験したことを理解していますが、マルウェア、特に元の投稿で言及されているキーロガーをインストールする可能性があると思いますか?一方で、このファイルは疑わしいように見え、コードを隠すように対策を講じています。
LJD200

一方、それは有名なPCメーカーからのものであり(ファイルが別のプログラムによってハイジャックされない限り)、VirusTotalのかなり少数のウイルス対策プログラムによって悪意のあるフラグが付けられているようです。
LJD200

ソニーのルートキットも有名なメーカーのものでした。
Alan Shutko

@ LJD200、あなたの質問に基づいて投稿を更新しました。
ムーンポイント、2015

@moonpointご回答ありがとうございます。これは優れた回答であり、承認済みとしてマークしました。安全のためWindowsを再インストールしますが、重大なデータが盗まれるリスクは少ないと思います。Valkyrieによって検出された不審なタイムスタンプも、タイムスタンプを変更するアバストウイルスチェストからファイルを抽出したためだと思います。このインシデントは、過去に発生した他の複数の問題とともに、Lenovoに対する私の見方を損なうものであり、将来的にはそのソフトウェアを使用しませんが、このインシデントが深刻なものにならないことを嬉しく思います。
LJD200 2015
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.