Saya baru-baru ini membeli komputer Lenovo H50-55 dengan Windows 10 Home x64 di atasnya. Saya mencopot beberapa perangkat lunak Lenovo yang dikirimkan bersama komputer, tetapi tidak semuanya.
Saya menjalankan pemindaian malware penuh komputer menggunakan Avast Free Antivirus dan terdeteksi C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe
(yang merupakan file Lenovo) sebagai berbahaya dan mengatakan kepada saya itu adalah 'Win32: Malware-gen'.
Ini mendorong penyelidikan lebih lanjut dan saya mengunggah file tersebut ke VirusTotal, yang hasilnya dapat dilihat di sini (12 dari 53 program antivirus mendeteksinya sebagai berbahaya).
- Dua dari program antivirus di VirusTotal mendeteksi file setup.exe sebagai 'W32 / OnlineGames.HI.gen! Eldorado', yang menurut halaman Microsoft ini di sini dapat mencuri beberapa data yang cukup serius.
- Namun ini adalah sebuah artikel generik untuk keluarga malware (meskipun ini halaman Microsoft lebih spesifik dan sekitar bagian yang sangat bernama sama dari malware yang mencuri kredensial).
Saya mengunggah file ke Comodo Valkyrie, yang hasilnya dapat dilihat di sini . Layanan menganggapnya malware. UPDATE: Analisis manual file pada Comodo Valkyrie dianggap bersih.
Saya mengatakan kepada Avast untuk memperbaiki file tersebut tetapi saya khawatir bahwa malware lebih lanjut masih bisa tetap atau bahwa data sudah bisa dicuri.
- Apakah ini ancaman nyata atau tidak?
- Apa yang harus saya lakukan selanjutnya?
Saya sedang mempertimbangkan untuk menghapus seluruh PC dan menginstal ulang Windows 10 dari awal tetapi itu tidak akan membantu jika pencurian data telah terjadi.
Saya tidak tahu apakah ini terkait, tetapi saya menemukan tugas di Penjadwal Tugas Windows yang disebut 'Lenovo Customer Feedback Program 64 35' yang saya nonaktifkan tetapi sebelumnya menjalankan exe yang dipanggil C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe
setiap hari. Tampaknya hanya ada sedikit informasi tentang Program Umpan Balik Pelanggan di Internet. Saya percaya bahwa tugas Umpan Balik Pelanggan terpisah dengan file yang berpotensi jahat. Umpan balik pelanggan dianggap aman oleh VirusTotal dan Lenovo sendiri memiliki artikel tentang hal itu di sini , yang mengatakan bahwa ia mengirimkan data non-pribadi.
Koneksi jaringan saya sepertinya putus untuk jangka waktu singkat setiap begitu sering. Saya tidak tahu apakah ini masalah terkait.
Jawaban:
Jika Anda mengklik tautan "Analisis Statis" untuk file di halaman Comodo Valkyrie, Anda akan melihat bahwa salah satu alasan untuk menandai file adalah karena "array fungsi fungsi panggil balik TLS terdeteksi". Mungkin ada alasan yang sah untuk dimasukkannya kode itu dalam executable yang Anda unggah ke situs, tetapi kode panggilan balik TLS dapat digunakan oleh pengembang malware untuk menggagalkan analisis kode mereka oleh peneliti antivirus dengan membuat proses debug kode lebih banyak sulit. Misalnya, dari Deteksi debugger dengan panggilan balik TLS :
Callback TLS in the Wild membahas contoh malware menggunakan teknik ini.
Lenovo memiliki reputasi buruk dalam hal perangkat lunak yang didistribusikan dengan sistemnya. Misalnya, mulai 15 Februari 2015, artikel Ars Technica, PC Lenovo dikirimkan dengan man-in-the-middle adware yang memutus koneksi HTTPS :
Serangan man-in-the-middle mengalahkan perlindungan yang seharusnya Anda miliki dengan mengunjungi situs menggunakan HTTPS daripada HTTP yang memungkinkan perangkat lunak untuk mengintip semua lalu lintas web bahkan lalu lintas antara pengguna dan lembaga keuangan seperti bank.
Ketika para peneliti menemukan perangkat lunak Superfish pada mesin Lenovo, Lenovo awalnya menyatakan "Kami telah menyelidiki teknologi ini secara menyeluruh dan tidak menemukan bukti yang mendukung masalah keamanan." Tetapi perusahaan harus menarik kembali pernyataan itu ketika peneliti keamanan mengungkapkan bagaimana perangkat lunak Superfish membuat sistem Lenovo terbuka untuk dikompromikan oleh malfaktor.
Menanggapi bencana itu, Chief Technical Officer (CTO) Lenovo, Peter Hortensius, kemudian menyatakan "Apa yang dapat saya katakan tentang hal ini hari ini adalah bahwa kami sedang mengeksplorasi berbagai pilihan yang meliputi: menciptakan citra PC yang lebih bersih (sistem operasi dan perangkat lunak yang ada di perangkat Anda langsung dari kotak) ... "Mungkin opsi itu dibuang. Misalnya, lihat artikel September 2015 Lenovo Caught Red-handed (3rd Time): Spyware Pra-Instal yang ditemukan di Laptop Lenovo oleh Swati Khandelwal seorang analis keamanan di The Hacker News , yang membahas perangkat lunak "Program Pelanggan Lenovo Feedback 64" yang Anda temukan di sistem anda.
Perbarui :
Sehubungan dengan kegunaan yang sah untuk panggilan balik Thread Local Storage (TLS), ada diskusi TLS di Wikipedia Thread Local Storageartikel. Saya tidak tahu seberapa sering programmer menggunakannya untuk penggunaan yang sah. Saya hanya menemukan satu orang menyebutkan penggunaannya yang sah untuk kemampuan; semua referensi lain untuk itu saya temukan adalah penggunaannya oleh malware. Tapi itu mungkin hanya karena penggunaan oleh pengembang malware lebih cenderung ditulis daripada programmer menulis tentang penggunaannya yang sah. Saya tidak berpikir penggunaannya sendiri adalah bukti konklusif Lenovo berusaha menyembunyikan fungsi dalam perangkat lunak yang penggunanya mungkin akan merasa khawatir jika mereka tahu semua yang dilakukan perangkat lunak. Tapi, mengingat praktik yang diketahui Lenovo, tidak hanya dengan Superfish, tetapi kemudian dengan penggunaannya Windows Platform Binary Table (WPBT) untuk "Lenovo System Engine" Lenovo menggunakan fitur anti-pencurian Windows untuk menginstal crapware yang persisten , saya pikir ada alasan untuk agak waspada dan jauh lebih kecil kemungkinannya untuk memberikan Lenovo keuntungan yang diragukan daripada yang mungkin saya lakukan pada perusahaan lain.
Sayangnya, ada banyak perusahaan yang mencoba menghasilkan lebih banyak uang dari pelanggan mereka dengan menjual informasi pelanggan atau "akses" ke pelanggan mereka ke "mitra" lainnya. Dan kadang-kadang itu dilakukan melalui adware, yang tidak berarti perusahaan memberikan informasi yang dapat diidentifikasi secara pribadi kepada "mitra" tersebut. Kadang-kadang suatu perusahaan mungkin ingin mengumpulkan informasi tentang perilaku pelanggannya sehingga dapat memberikan lebih banyak informasi kepada pemasar tentang jenis pelanggan yang cenderung menarik perusahaan daripada informasi yang mengidentifikasi individu.
Jika saya mengunggah file ke VirusTotal dan menemukan hanya satu atau dua dari banyak program antivirus yang digunakannya untuk memindai file yang diunggah yang menandai file tersebut berisi malware, saya sering menganggapnya sebagai laporan positif palsu , jika kodenya jelas sudah ada cukup lama. beberapa waktu, misalnya, jika VirusTotal melaporkan sebelumnya memindai file setahun yang lalu, dan saya sebaliknya tidak punya alasan untuk tidak mempercayai pengembang perangkat lunak dan, sebaliknya, beberapa alasan untuk mempercayai pengembang, misalnya, karena reputasi yang baik sejak lama. Tetapi Lenovo telah menodai reputasinya dan 12 dari 53 program antivirus yang menandai file yang Anda unggah adalah sekitar 23%, yang saya anggap persentase yang sangat tinggi.
Padahal, karena sebagian besar vendor antivirus biasanya memberikan sedikit, jika ada, informasi spesifik tentang apa yang mengarah ke file yang ditandai sebagai jenis malware tertentu dan persis apa arti deskripsi malware tertentu dalam hal operasinya, seringkali sulit untuk memastikan dengan pasti apa Anda perlu khawatir ketika Anda melihat deskripsi tertentu. Dalam hal ini bahkan mungkin sebagian besar dari mereka melihat panggilan balik TLS dan menandai file berdasarkan itu saja. Yaitu, ada kemungkinan bahwa semua 12 membuat klaim positif palsu atas dasar kesalahan yang sama. Dan kadang-kadang berbagai produk berbagi tanda tangan yang sama untuk mengidentifikasi malware dan tanda tangan itu juga dapat terjadi dalam program yang sah.
Adapun hasil "W32 / OnlineGames.HI.gen! Eldorado" dilaporkan oleh beberapa program di VirusTotal menjadi nama yang mirip dengan PWS: Win32 / OnLineGames.gen! Btanpa informasi spesifik tentang apa yang mengarah pada kesimpulan bahwa file tersebut terkait dengan W32 / OnlineGames.HI.gen! Eldorado dan perilaku apa yang terkait dengan W32 / OnlineGames.HI.gen! Eldorado, yaitu, kunci registri dan file apa yang harus diharapkan oleh seseorang untuk menemukan dan bagaimana perangkat lunak dengan deskripsi tertentu itu berperilaku, saya tidak akan menyimpulkan bahwa perangkat lunak itu mencuri kredensial game. Tanpa bukti lain, saya pikir itu tidak mungkin. Sayangnya, banyak deskripsi malware yang akan Anda lihat hanya dengan nama yang sama dengan deskripsi umum yang memiliki nilai kecil dalam menentukan seberapa khawatir Anda seharusnya ketika melihat deskripsi itu dilampirkan ke file. "W32" sering melekat pada awal banyak nama oleh beberapa vendor antivirus. Fakta bahwa mereka berbagi itu dan "OnlineGames" dan "gen" untuk "generik"
Saya akan menghapus perangkat lunak, karena saya akan menilai untuk menggunakan sumber daya sistem tanpa manfaat bagi saya, dan, jika Anda bermain game online, Anda dapat mengatur ulang kata sandi sebagai tindakan pencegahan, meskipun saya ragu perangkat lunak Lenovo telah mencuri kredensial game online atau sedang melakukan keystroke logging. Lenovo tidak memiliki reputasi bintang untuk perangkat lunak yang mereka sertakan pada sistem mereka, tetapi saya tidak melihat laporan bahwa mereka telah mendistribusikan perangkat lunak apa pun yang akan beroperasi dengan cara seperti itu. Dan hilangnya konektivitas jaringan secara berkala bahkan bisa di luar PC Anda. Misalnya, jika sistem lain di lokasi yang sama juga secara berkala mengalami kehilangan konektivitas, saya pikir ada lebih banyak masalah pada router.
sumber