Wenn Sie auf der Comodo Valkyrie-Seite auf den Link "Statische Analyse" für die Datei klicken, sehen Sie, dass einer der Gründe für das Markieren der Datei darin bestand, dass "TLS-Rückruffunktionen-Array erkannt" wurde. Es kann einen legitimen Grund für die Aufnahme dieses Codes in die ausführbare Datei geben, die Sie auf die Site hochgeladen haben. TLS-Rückrufcode kann jedoch von Malware-Entwicklern verwendet werden, um die Analyse ihres Codes durch Antivirenforscher zu vereiteln, indem das Debuggen des Codes verstärkt wird schwierig. Beispiel:
Debugger mit TLS-Rückruf erkennen :
TLS-Rückruf ist eine Funktion, die aufgerufen wird, bevor der Prozesseinstiegspunkt ausgeführt wird. Wenn Sie die ausführbare Datei mit einem Debugger ausführen, wird der TLS-Rückruf ausgeführt, bevor der Debugger unterbrochen wird. Dies bedeutet, dass Sie Anti-Debugging-Prüfungen durchführen können, bevor der Debugger etwas tun kann. Daher ist TLS-Rückruf eine sehr leistungsfähige Anti-Debugging-Technik.
TLS Callbacks in the Wild beschreibt ein Beispiel für Malware mit dieser Technik.
Lenovo hat einen schlechten Ruf in Bezug auf die Software, die es mit seinen Systemen verteilt hat. Ab dem Artikel von Ars Technica vom 15. Februar 2015 werden Lenovo PCs mit Man-in-the-Middle-Adware ausgeliefert, die HTTPS-Verbindungen unterbricht :
Laut Sicherheitsforschern verkauft Lenovo Computer, auf denen Adware vorinstalliert ist, die verschlüsselte Websitzungen entführt und Benutzer für HTTPS-Man-in-the-Middle-Angriffe anfällig macht, die für Angreifer trivial sind.
Die kritische Bedrohung besteht auf Lenovo PCs, auf denen Adware eines Unternehmens namens Superfish installiert ist. So unappetitlich viele Leute Software finden, die Anzeigen in Webseiten einfügt, so viel schändlicher ist das Superfish-Paket. Es installiert ein selbstsigniertes HTTPS-Stammzertifikat, das verschlüsselten Datenverkehr für jede Website abfangen kann, die ein Benutzer besucht. Wenn ein Benutzer eine HTTPS-Site besucht, wird das Site-Zertifikat von Superfish signiert und kontrolliert und stellt sich fälschlicherweise als offizielles Website-Zertifikat dar.
Ein Man-in-the-Middle-Angriff hebt den Schutz auf, den Sie sonst hätten, wenn Sie eine Website mit HTTPS anstelle von HTTP besuchen, sodass die Software den gesamten Webverkehr abfangen kann, auch den Verkehr zwischen dem Benutzer und Finanzinstituten wie Banken.
Als Forscher die Superfish-Software auf Lenovo-Computern fanden, behauptete Lenovo zunächst: "Wir haben diese Technologie gründlich untersucht und keine Beweise gefunden, die Sicherheitsbedenken begründen." Das Unternehmen musste diese Aussage jedoch zurückziehen, als Sicherheitsforscher enthüllten, wie die Superfish-Software Lenovo-Systeme für Kompromisse durch Übeltäter offen machte.
Als Antwort auf dieses Debakel erklärte Peter Hortensius, Chief Technical Officer (CTO) von Lenovo: "Was ich heute dazu sagen kann, ist, dass wir eine Vielzahl von Optionen prüfen, darunter: Erstellen eines saubereren PC-Images (Betriebssystem und Betriebssystem) Software, die sofort auf Ihrem Gerät installiert ist) ... "Möglicherweise wurde diese Option verworfen. Siehe beispielsweise den Artikel von Lenovo vom September 2015 auf frischer Tat ertappt (3. Mal): Vorinstallierte Spyware, die von Lenati Khandelwal, einem Sicherheitsanalysten bei The Hacker News , in Lenovo Laptops gefunden wurde und die Software "Lenovo Customer Feedback Program 64" beschreibt, auf der Sie gefunden haben dein System.
Update :
In Bezug auf legitime Verwendungen für TLS-Rückrufe (Thread Local Storage) gibt es eine Diskussion über TLS im Wikipedia Thread Local StorageArtikel. Ich weiß nicht, wie oft Programmierer es für legitime Zwecke verwenden. Ich habe nur eine Person gefunden, die seine legitime Verwendung für die Fähigkeit erwähnt; Alle anderen Verweise darauf, die ich gefunden habe, betrafen die Verwendung durch Malware. Dies kann jedoch einfach daran liegen, dass über die Verwendung durch Malware-Entwickler eher geschrieben wird als über Programmierer, die über ihre legitime Verwendung schreiben. Ich denke nicht, dass seine Verwendung allein ein schlüssiger Beweis dafür ist, dass Lenovo versucht, Funktionen in der Software zu verbergen, die seine Benutzer wahrscheinlich alarmierend finden würden, wenn sie alles wüssten, was die Software getan hat. Angesichts der bekannten Praktiken von Lenovo, nicht nur bei Superfish, sondern später bei der Verwendung der Windows Platform Binary Table (WPBT) für die "Lenovo System Engine".
Lenovo hat die Windows-Diebstahlsicherungsfunktion verwendet, um dauerhafte Crapware zu installieren . Ich denke, es gibt Grund zur Vorsicht und es ist weitaus unwahrscheinlicher, dass Lenovo den Vorteil des Zweifels erhält als andere Unternehmen.
Leider gibt es viele Unternehmen, die versuchen, mit ihren Kunden mehr Geld zu verdienen, indem sie Kundeninformationen verkaufen oder anderen Kunden "Zugang" zu ihren Kunden gewähren. Und manchmal geschieht dies über Adware, was nicht unbedingt bedeutet, dass das Unternehmen diesen "Partnern" personenbezogene Daten zur Verfügung stellt. Manchmal möchte ein Unternehmen möglicherweise Informationen über das Verhalten seiner Kunden sammeln, um Marketingfachleuten mehr Informationen über den Kundentyp zu liefern, den das Unternehmen wahrscheinlich anzieht, als über Informationen, die eine Person identifizieren.
Wenn ich eine Datei auf VirusTotal hochlade und nur ein oder zwei der vielen Antivirenprogramme finde, mit denen hochgeladene Dateien gescannt werden, die die Datei als Malware enthaltend kennzeichnen, betrachte ich diese häufig als falsch positive Berichte, wenn der Code offensichtlich schon ziemlich vorhanden ist Einige Zeit, z. B. wenn VirusTotal meldet, dass es die Datei vor einem Jahr gescannt hat, und ich ansonsten keinen Grund habe, dem Softwareentwickler zu misstrauen, und im Gegenteil, einen Grund, dem Entwickler zu vertrauen, z. B. aufgrund eines seit langem guten Rufs. Aber Lenovo hat seinen Ruf bereits getrübt und 12 von 53 Antivirenprogrammen, die die von Ihnen hochgeladene Datei kennzeichnen, machen etwa 23% aus, was ich als besorgniserregend hohen Prozentsatz betrachte.
Da die meisten Antiviren-Anbieter in der Regel nur wenige oder gar keine spezifischen Informationen darüber bereitstellen, was dazu führt, dass eine Datei als eine bestimmte Art von Malware gekennzeichnet wird und was eine bestimmte Malware-Beschreibung für ihren Betrieb genau bedeutet, ist es oft schwierig, genau festzustellen, was Sie müssen sich Sorgen machen, wenn Sie eine bestimmte Beschreibung sehen. In diesem Fall kann es sogar sein, dass die meisten von ihnen einen TLS-Rückruf sehen und die Datei nur auf dieser Basis kennzeichnen. Das heißt, es ist möglich, dass alle 12 auf derselben falschen Basis eine falsch positive Behauptung aufstellen. Und manchmal haben verschiedene Produkte die gleichen Signaturen zur Identifizierung von Malware, und diese Signatur kann auch in einem legitimen Programm vorkommen.
Das Ergebnis "W32 / OnlineGames.HI.gen! Eldorado", das von einigen Programmen auf VirusTotal gemeldet wurde, ähnelt
PWS: Win32 / OnLineGames.gen! B.ohne spezifische Informationen darüber, was zu der Schlussfolgerung geführt hat, dass die Datei mit W32 / OnlineGames.HI.gen! Eldorado verknüpft ist und welches Verhalten mit W32 / OnlineGames.HI.gen! Eldorado verknüpft ist, dh welche Registrierungsschlüssel und -dateien zu erwarten sind Um herauszufinden, wie sich Software mit dieser bestimmten Beschreibung verhält, würde ich nicht den Schluss ziehen, dass die Software Spielanmeldeinformationen stiehlt. Ohne weitere Beweise halte ich das für unwahrscheinlich. Leider sind viele der Malware-Beschreibungen, die Sie sehen, nur ähnlich benannte generische Beschreibungen, die von geringem Wert sind, um festzustellen, wie besorgt Sie sein sollten, wenn diese Beschreibung an eine Datei angehängt wird. "W32" wird von einigen Antiviren-Anbietern häufig an den Anfang vieler Namen angehängt. Die Tatsache, dass sie das und "OnlineGames" und "gen" für "generic" teilen
Ich würde die Software entfernen, da ich davon ausgehen würde, dass sie Systemressourcen ohne Nutzen für mich verwendet. Wenn Sie Online-Spiele spielen, können Sie Ihre Passwörter vorsichtshalber zurücksetzen, obwohl ich bezweifle, dass die Lenovo-Software Online-Gaming-Anmeldeinformationen gestohlen hat oder führt eine Tastenanschlagprotokollierung durch. Lenovo hat keinen hervorragenden Ruf für die Software, die sie auf ihren Systemen enthalten, aber ich habe keine Berichte gesehen, dass sie Software verteilt haben, die auf diese Weise funktionieren würde. Der periodische Verlust der Netzwerkverbindung kann sogar außerhalb Ihres PCs liegen. Wenn beispielsweise bei anderen Systemen am selben Standort regelmäßig ein Verbindungsverlust auftritt, liegt wahrscheinlich eher ein Problem bei einem Router vor.