Pourquoi mon logiciel antivirus détecte-t-il le programme de désinstallation de XiaoU / LenovoService, le logiciel Lenovo, comme un logiciel malveillant?

J'ai récemment acheté un ordinateur Lenovo H50-55 avec Windows 10 Home x64. J'ai désinstallé certains des logiciels Lenovo fournis avec l'ordinateur, mais pas tous.

J'ai exécuté une analyse complète des logiciels malveillants de l'ordinateur à l'aide d'Avast Free Antivirus et il a détecté C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exe(qui est un fichier Lenovo) comme malveillant et m'a dit qu'il s'agissait de «Win32: Malware-gen».

Cela a incité à une enquête plus approfondie et j'ai donc téléchargé le fichier sur VirusTotal, dont les résultats peuvent être consultés ici (12 des 53 programmes antivirus l'ont détecté comme malveillant).

• Deux des programmes antivirus sur VirusTotal ont détecté le fichier setup.exe comme «W32 / OnlineGames.HI.gen! Eldorado», qui, selon cette page de Microsoft , peut voler des données assez sérieuses.
• Il s'agit cependant d'un article générique pour la famille des logiciels malveillants (bien que cette page Microsoft soit plus spécifique et concerne un logiciel malveillant de nom similaire qui vole des informations d'identification).

J'ai téléchargé le fichier sur Comodo Valkyrie, dont les résultats peuvent être consultés ici . Le service l'a considéré comme un malware. MISE À JOUR: L'analyse manuelle du fichier sur Comodo Valkyrie l'a jugé propre.

J'ai dit à Avast de réparer le fichier, mais je crains que d'autres logiciels malveillants ne subsistent ou que des données aient déjà été volées.

• Est-ce une menace réelle ou non?
• Que devrais-je faire ensuite?

J'envisage d'effacer l'intégralité du PC et de réinstaller Windows 10 à partir de zéro, mais cela n'aidera pas si le vol de données s'est déjà produit.

Je ne sais pas si cela est lié, mais j'ai trouvé une tâche dans le Planificateur de tâches Windows appelée `` Lenovo Customer Feedback Program 64 35 '' que j'ai désactivée mais exécutais auparavant un exe appelé C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exetous les jours. Il semble qu'il n'y ait que peu d'informations sur le programme de rétroaction des clients sur Internet. Je pense que la tâche Commentaires des clients est distincte du fichier potentiellement malveillant. Les commentaires des clients exe est jugé sûr par VirusTotal et Lenovo ont eux - mêmes un article à ce sujet ici , qui dit qu'il envoie des données non personnelles.

Ma connexion réseau semble s'interrompre de temps en temps. Je ne sais pas s'il s'agit d'un problème connexe.

Si vous cliquez sur le lien "Analyse statique" pour le fichier sur la page Comodo Valkyrie, vous verrez que l'une des raisons pour marquer le fichier était parce que "Tableau des fonctions de rappel TLS détecté". Il peut y avoir une raison légitime à l'inclusion de ce code dans l'exécutable que vous avez téléchargé sur le site, mais le code de rappel TLS peut être utilisé par les développeurs de logiciels malveillants pour contrecarrer l'analyse de leur code par les chercheurs antivirus en rendant le processus de débogage du code plus difficile. Par exemple, à partir du débogueur Detect avec rappel TLS :

Le rappel TLS est une fonction qui a été appelée avant l'exécution du point d'entrée de processus. Si vous exécutez l'exécutable avec un débogueur, le rappel TLS sera exécuté avant la rupture du débogueur. Cela signifie que vous pouvez effectuer des vérifications anti-débogage avant que le débogueur ne puisse faire quoi que ce soit. Par conséquent, le rappel TLS est une technique anti-débogage très puissante.

TLS Callbacks in the Wild présente un exemple de malware utilisant cette technique.

Lenovo a une mauvaise réputation en ce qui concerne les logiciels qu'il a distribués avec ses systèmes. Par exemple, à partir de l'article du 15 février 2015 d'Ars Technica, les PC Lenovo sont livrés avec un logiciel publicitaire man-in-the-middle qui rompt les connexions HTTPS :

Lenovo vend des ordinateurs préinstallés avec des logiciels publicitaires qui détournent les sessions Web cryptées et peuvent rendre les utilisateurs vulnérables aux attaques man-in-the-middle HTTPS qui sont triviales pour les attaquants, selon des chercheurs en sécurité.

La menace critique est présente sur les PC Lenovo équipés de logiciels publicitaires d'une société appelée Superfish. Aussi peu recommandable que de nombreuses personnes trouvent un logiciel qui injecte des publicités dans les pages Web, il y a quelque chose de bien plus néfaste dans le package Superfish. Il installe un certificat HTTPS racine auto-signé qui peut intercepter le trafic chiffré pour chaque site Web visité par un utilisateur. Lorsqu'un utilisateur visite un site HTTPS, le certificat de site est signé et contrôlé par Superfish et se représente faussement comme le certificat de site Web officiel.

Une attaque d'homme au milieu annule la protection que vous auriez autrement en visitant un site utilisant HTTPS plutôt que HTTP, permettant au logiciel d'espionner tout le trafic Web, même le trafic entre l'utilisateur et les institutions financières telles que les banques.

Lorsque les chercheurs ont découvert le logiciel Superfish sur les machines Lenovo, Lenovo a initialement affirmé "Nous avons étudié de manière approfondie cette technologie et nous n'avons trouvé aucune preuve pour étayer les problèmes de sécurité." Mais la société a dû retirer cette déclaration lorsque les chercheurs en sécurité ont révélé comment le logiciel Superfish a rendu les systèmes Lenovo ouverts aux compromis des malfaiteurs.

En réponse à cette débâcle, le chef de la direction technique (CTO) de Lenovo, Peter Hortensius, a ensuite déclaré: «Ce que je peux dire à ce sujet aujourd'hui, c'est que nous explorons un large éventail d'options, notamment: la création d'une image PC plus propre (le système d'exploitation et logiciel qui est sur votre appareil dès la sortie de la boîte) ... "Peut-être que cette option a été rejetée. Par exemple, voir l'article de septembre 2015 Lenovo pris en flagrant délit (3e fois): Spyware préinstallé trouvé dans les ordinateurs portables Lenovo par Swati Khandelwal, analyste en sécurité chez The Hacker News , qui traite du logiciel «Lenovo Customer Feedback Program 64» que vous avez trouvé sur votre système.

Mise à jour :

En ce qui concerne les utilisations légitimes des rappels TLS (Thread Local Storage), il y a une discussion TLS dans Wikipedia Thread Local Storagearticle. Je ne sais pas à quelle fréquence les programmeurs l'utilisent pour des utilisations légitimes. Je n'ai trouvé qu'une seule personne mentionnant son utilisation légitime de la capacité; toutes les autres références que j'ai trouvées à ce sujet concernent son utilisation par des logiciels malveillants. Mais cela peut simplement être dû au fait que l'utilisation par les développeurs de logiciels malveillants est plus susceptible d'être écrite que les programmeurs écrivant sur leur utilisation légitime. Je ne pense pas que son utilisation à elle seule soit une preuve concluante que Lenovo essaie de cacher dans le logiciel des fonctions que ses utilisateurs trouveraient probablement alarmants s'ils savaient tout ce que le logiciel a fait. Mais, étant donné les pratiques connues de Lenovo, non seulement avec Superfish, mais par la suite avec son utilisation de la table binaire de la plate-forme Windows (WPBT) pour le "Lenovo System Engine" Lenovo a utilisé la fonction antivol de Windows pour installer des logiciels malveillants persistants.Je pense qu'il y a des raisons de se méfier un peu et je suis beaucoup moins susceptible de donner à Lenovo le bénéfice du doute que je ne le ferais d'autres sociétés.

Malheureusement, de nombreuses entreprises essaient de faire plus d'argent à leurs clients en vendant des informations sur les clients ou en "accédant" à leurs clients à d'autres "partenaires". Et parfois, cela se fait via un logiciel de publicité, ce qui ne signifie pas nécessairement que la société fournit des informations personnellement identifiables à ces «partenaires». Parfois, une entreprise peut vouloir collecter des informations sur le comportement de ses clients afin de pouvoir fournir plus d'informations aux marketeurs sur le type de client que l'entreprise est susceptible d'attirer plutôt que des informations identifiant un individu.

Si je télécharge un fichier sur VirusTotal et que je ne trouve qu'un ou deux des nombreux programmes antivirus qu'il utilise pour analyser les fichiers téléchargés signalant le fichier comme contenant des logiciels malveillants, je les considère souvent comme des rapports faussement positifs , si le code existe évidemment depuis assez longtemps. un certain temps, par exemple, si VirusTotal rapporte qu'il a précédemment analysé le fichier il y a un an, et je n'ai par ailleurs aucune raison de me méfier du développeur du logiciel et, au contraire, une raison de faire confiance au développeur, par exemple, en raison d'une bonne réputation de longue date. Mais Lenovo a déjà terni sa réputation et 12 des 53 programmes antivirus signalant le fichier que vous avez téléchargé représentent environ 23%, ce que je considère comme un pourcentage inquiétant.

Cependant, étant donné que la plupart des fournisseurs d'antivirus fournissent généralement peu, voire pas du tout, d'informations spécifiques sur ce qui conduit à signaler un fichier comme un type particulier de logiciel malveillant et exactement ce que signifie une description particulière de logiciel malveillant en termes de fonctionnement, il est souvent difficile de déterminer exactement ce que vous devez vous inquiéter lorsque vous voyez une description particulière. Dans ce cas, il se pourrait même que la plupart d'entre eux voient un rappel TLS et signalent le fichier sur cette seule base. C'est-à-dire, il est possible que tous les 12 fassent une déclaration faussement positive sur la même base erronée. Et parfois, différents produits partagent les mêmes signatures pour identifier les logiciels malveillants et cette signature peut également se produire dans un programme légitime.

En ce qui concerne le résultat "W32 / OnlineGames.HI.gen! Eldorado" rapporté par quelques programmes sur VirusTotal étant un nom similaire à PWS: Win32 / OnLineGames.gen! Bsans informations spécifiques sur ce qui a conduit à la conclusion que le fichier est associé à W32 / OnlineGames.HI.gen! Eldorado et quel comportement est associé à W32 / OnlineGames.HI.gen! Eldorado, c'est-à-dire à quelles clés de registre et fichiers faut-il s'attendre pour trouver et comment se comporte un logiciel avec cette description particulière, je ne conclurais pas que le logiciel vole des informations d'identification de jeu. Sans aucune autre preuve, je pense que c'est peu probable. Malheureusement, la plupart des descriptions de logiciels malveillants que vous verrez ne sont que des descriptions génériques nommées de la même manière qui ont peu de valeur pour déterminer à quel point vous devriez être inquiet lorsque vous voyez cette description jointe à un fichier. "W32" est souvent associé au début de nombreux noms par certains fournisseurs d'antivirus. Le fait qu'ils partagent cela et "OnlineGames" et "gen" pour "générique"

Je supprimerais le logiciel, car je jugerais qu'il utilise les ressources système sans aucun avantage pour moi, et, si vous jouez à des jeux en ligne, vous pouvez réinitialiser vos mots de passe par précaution, bien que je doute que le logiciel Lenovo ait volé des informations d'identification de jeu en ligne ou effectue une journalisation des frappes. Lenovo n'a pas une excellente réputation pour les logiciels qu'ils incluent sur leurs systèmes, mais je n'ai vu aucun rapport indiquant qu'ils ont distribué des logiciels qui fonctionneraient de cette manière. Et la perte périodique de connectivité réseau pourrait même être en dehors de votre PC. Par exemple, si d'autres systèmes au même endroit subissent également périodiquement une perte de connectivité, je pense qu'il y a plus probablement un problème au niveau d'un routeur.