मेरे एंटीवायरस सॉफ़्टवेयर को मैलवेयर के रूप में XiaoU / LenovoService uninstaller, Lenovo सॉफ़्टवेयर का पता क्यों चलता है?

10

मैंने हाल ही में विंडोज 10 होम एक्स 64 के साथ एक लेनोवो एच 50-55 कंप्यूटर खरीदा था। मैंने कुछ लेनोवो सॉफ़्टवेयर की स्थापना रद्द की जो कंप्यूटर के साथ भेजते थे, लेकिन यह सब नहीं।

मैंने अवास्ट फ्री एंटीवायरस का उपयोग करते हुए कंप्यूटर का एक पूर्ण मैलवेयर स्कैन चलाया और यह C:\Program Files (x86)\Lenovo\XiaoU\UnInstall\LenovoService\setup.exeदुर्भावनापूर्ण के रूप में पाया (जो कि एक लेनोवो फ़ाइल है) और मुझे बताया कि यह 'Win32: मैलवेयर-जीन' था।

इसने आगे की जांच को प्रेरित किया और इसलिए मैंने फाइल को VirusTotal पर अपलोड किया, जिसके परिणाम यहां देखे जा सकते हैं (53 एंटीवायरस प्रोग्रामों में से 12 ने इसे दुर्भावनापूर्ण पाया)।

  • VirusTotal पर एंटीवायरस प्रोग्रामों में से दो ने setup.exe फ़ाइल को 'W32 / OnlineGames.HI.gen! Eldorado' के रूप में पाया, जो इस Microsoft पृष्ठ के अनुसार यहां कुछ गंभीर डेटा चोरी कर सकता है।
  • हालांकि यह मैलवेयर के परिवार के लिए एक सामान्य लेख है (हालांकि यह Microsoft पृष्ठ अधिक विशिष्ट है और बहुत ही समान नाम के मालवेयर के बारे में है जो क्रेडेंशियल्स चुराता है)।

मैंने कोमोडो वल्करी को फाइल अपलोड की, जिसके परिणाम यहां देखे जा सकते हैं । सेवा ने इसे मैलवेयर समझा। अद्यतन: कोमोडो वाल्कीरी पर फ़ाइल के मैनुअल विश्लेषण ने इसे साफ माना।

मैंने अवास्ट को फ़ाइल ठीक करने के लिए कहा था लेकिन मुझे चिंता है कि आगे मैलवेयर अभी भी बना रह सकता है या डेटा पहले ही चोरी हो सकता है।

  • क्या यह वास्तविक खतरा है या नहीं?
  • मुझे आगे क्या करना चाहिये?

मैं पूरे पीसी को पोंछने और विंडोज 10 को खरोंच से फिर से स्थापित करने पर विचार कर रहा हूं, लेकिन इससे डेटा चोरी पहले से होने पर मदद नहीं मिलेगी।

मुझे नहीं पता कि यह संबंधित है, लेकिन मुझे विंडोज टास्क शेड्यूलर में एक कार्य मिला, जिसे 'लेनोवो कस्टमर फीडबैक प्रोग्राम 64 35' कहा गया, जिसे मैंने अक्षम कर दिया था, लेकिन पहले C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exeहर दिन एक एक्सई चला रहा था । लगता है कि इंटरनेट पर ग्राहक प्रतिक्रिया कार्यक्रम के बारे में केवल थोड़ी जानकारी है। मेरा मानना ​​है कि ग्राहक प्रतिक्रिया कार्य संभावित दुर्भावनापूर्ण फ़ाइल के लिए अलग है। ग्राहकों की प्रतिक्रिया को वायरसटोटल द्वारा सुरक्षित माना जाता है और लेनोवो ने स्वयं इसके बारे में एक लेख यहां दिया है , जो कहता है कि यह गैर-व्यक्तिगत डेटा भेजता है।

मेरा नेटवर्क कनेक्शन हर बार संक्षिप्त समय के लिए छोड़ दिया जाता है। मुझे नहीं पता कि यह संबंधित मुद्दा है या नहीं।

windows  malware  lenovo-desktop-computer 
LJD200
स्रोत
1
मुझे लेनोवो कस्टमर फीडबैक प्रोग्राम का उल्लेख एक लेख में मिला है और यह कुछ लेनोवो मॉनिटरिंग / ट्रैकिंग सॉफ़्टवेयर लगता है। इसके बारे में और यहाँ इसे कैसे बंद करें
14:10
1
जानकारी के लिए धन्यवाद, @ MC10। मैंने पहले ही कार्य अक्षम कर दिया है। मेरे पास "लेनोवो एक्सपीरियंस इम्प्रूवमेंट" प्रोग्राम और फीचर्स में सूचीबद्ध नहीं है, लेकिन यह संभव है कि मैंने पहले इसे अनइंस्टॉल कर दिया था। मेरे पास 90 दिनों से कम समय के लिए कंप्यूटर है।
LJD200
इसके माध्यम से पढ़ें: lifehacker.com/5717628/… lifehacker.com/ ... कुछ उपयोगिताओं के लिंक हैं जिनसे क्रैपवेयर और ब्लोटवेयर से छुटकारा पाने में मदद मिलती है।
लियोनेल डूलन
अवास्ट हाल ही में मानसिक रूप से कमजोर हो गया है। पिछले महीने से SO पर सैकड़ों प्रश्न हैं या इसके बारे में एक ही तरीके से सहज दृश्य स्टूडियो उपयोग को पूरी तरह से बर्बाद कर दिया है।
ऑर्बिट
लेख के लिए @LionelDoolan धन्यवाद; मैं एक नजर मार लूगां।
LJD200 11

जवाबों:

12

यदि आप कोमोडो वल्करी पृष्ठ पर फ़ाइल के लिए "स्टेटिक विश्लेषण" लिंक पर क्लिक करते हैं, तो आप देखेंगे कि फ़ाइल को फ़्लैग करने के कारणों में से एक "टीएलएस कॉलबैक फ़ंक्शंस सरणी का पता चला" था। आपके द्वारा साइट पर अपलोड किए गए निष्पादन योग्य के भीतर उस कोड को शामिल करने का एक वैध कारण हो सकता है, लेकिन TLS कॉलबैक कोड का उपयोग मैलवेयर डेवलपर्स द्वारा एंटीवायरस शोधकर्ताओं द्वारा कोड को डीबग करने की प्रक्रिया को और अधिक करके उनके कोड के विश्लेषण को विफल करने के लिए किया जा सकता है। मुश्किल। जैसे, टीएलएस कॉलबैक के साथ डेट डिबगर का पता लगाएं :

टीएलएस कॉलबैक एक फ़ंक्शन है जिसे प्रक्रिया प्रविष्टि बिंदु निष्पादित होने से पहले बुलाया जाता है। यदि आप डिबग करने वाले के साथ निष्पादन योग्य चलाते हैं, तो डीएलएस कॉलबैक को डीबगर के ब्रेक से पहले निष्पादित किया जाएगा। इसका मतलब है कि आप डिबगर कुछ भी करने से पहले एंटी-डिबगिंग चेक कर सकते हैं। इसलिए, टीएलएस कॉलबैक एक बहुत शक्तिशाली विरोधी डिबगिंग तकनीक है।

वाइल्ड में टीएलएस कॉलबैक इस तकनीक का उपयोग करते हुए मैलवेयर के एक उदाहरण पर चर्चा करता है।

लेनोवो के पास अपने सिस्टम के साथ वितरित किए गए सॉफ़्टवेयर के संबंध में एक खराब प्रतिष्ठा है। उदाहरण के लिए, 15 फरवरी, 2015 से Ars Technica लेख Lenovo PCs के साथ मानव-में-मध्य adware कि HTTPS कनेक्शन को तोड़ता है :

सुरक्षा शोधकर्ताओं ने कहा कि लेनोवो ऐसे कंप्यूटर बेच रहा है जो एडवेयर के साथ प्रीइंस्टॉल्ड हैं जो वेब सत्रों को हाईजैक करते हैं और उपयोगकर्ताओं को एचटीटीपीएस के मध्य-मध्य हमलों के लिए संवेदनशील बना सकते हैं जो हमलावरों के लिए तुच्छ हैं।

लेनोवो पीसी पर महत्वपूर्ण खतरा मौजूद है जिसे सुपरफिश नामक कंपनी से एडवेयर किया गया है। जब तक बहुत से लोग ऐसे सॉफ़्टवेयर ढूंढ लेते हैं जो वेब पेजों में विज्ञापनों को इंजेक्ट करते हैं, तो सुपरफ़िश पैकेज के बारे में कुछ ज्यादा ही अप्रिय है। यह एक स्व-हस्ताक्षरित रूट HTTPS प्रमाणपत्र स्थापित करता है जो उपयोगकर्ता की विज़िट के लिए हर वेबसाइट के लिए एन्क्रिप्टेड ट्रैफ़िक को रोक सकता है। जब कोई उपयोगकर्ता HTTPS साइट पर जाता है, तो साइट प्रमाण पत्र पर हस्ताक्षर किए जाते हैं और सुपरफिश द्वारा नियंत्रित किया जाता है और आधिकारिक वेबसाइट प्रमाण पत्र के रूप में गलत तरीके से अपना प्रतिनिधित्व करता है।

एक मैन-इन-द-मिडल हमला एक साइट का उपयोग पर जाकर सुरक्षा आप के लिए होता है अन्यथा धरा HTTPS बजाय http सॉफ्टवेयर जैसे बैंक उपयोगकर्ता और वित्तीय संस्थानों के बीच भी यातायात सभी वेब यातायात पर तांक-झांक करने की इजाजत दी।

जब शोधकर्ताओं ने लेनोवो मशीनों पर सुपरफ़िश सॉफ़्टवेयर पाया, तो लेनोवो ने शुरू में दावा किया कि "हमने इस तकनीक की पूरी तरह से जांच की है और सुरक्षा चिंताओं को पुष्ट करने के लिए कोई सबूत नहीं मिला है।" लेकिन कंपनी को उस बयान को वापस लेना पड़ा जब सुरक्षा शोधकर्ताओं ने खुलासा किया कि सुपरफिश सॉफ्टवेयर ने लेनोवो सिस्टम को खराबी से समझौता करने के लिए कैसे तैयार किया।

उस पराजय के जवाब में, लेनोवो के मुख्य तकनीकी अधिकारी (सीटीओ), पीटर होर्टेंसियस ने कहा, "आज मैं इसके बारे में क्या कह सकता हूं कि हम कई विकल्पों की तलाश कर रहे हैं जिनमें शामिल हैं: एक क्लीनर पीसी छवि बनाना (ऑपरेटिंग सिस्टम और सॉफ़्टवेयर जो आपके डिवाइस पर बॉक्स के ठीक बाहर है) ... "शायद वह विकल्प छोड़ दिया गया था। उदाहरण के लिए, सितंबर 2015 के लेख देखें लेनोवो कैच रेड-हैंडेड (3 जी टाइम): हैकर न्यूज में एक सुरक्षा विश्लेषक स्वाति खंडेलवाल द्वारा लेनोवो लैपटॉप में पाए गए प्री-इंस्टॉल्ड स्पायवेयर , जिसमें "लेनोवो कस्टमर फीडबैक प्रोग्राम 64" सॉफ़्टवेयर पर चर्चा की गई है, जो आपको मिला। आपकी प्रणाली।

अपडेट :

थ्रेड लोकल स्टोरेज (TLS) कॉलबैक के वैध उपयोग के संबंध में, विकिपीडिया थ्रेड स्थानीय संग्रहण में TLS की चर्चा हैलेख। मुझे नहीं पता कि प्रोग्रामर इसे कितनी बार वैध उपयोग के लिए उपयोग करते हैं। मैंने केवल एक व्यक्ति को क्षमता के लिए अपने वैध उपयोग का उल्लेख करते हुए पाया है; इसके अन्य सभी संदर्भ जो मुझे मिले हैं वे मैलवेयर द्वारा इसके उपयोग के लिए किए गए हैं। लेकिन यह केवल इसलिए हो सकता है क्योंकि मैलवेयर डेवलपर्स द्वारा उपयोग के बारे में प्रोग्रामर की तुलना में उनके वैध उपयोग के बारे में लिखे जाने की अधिक संभावना है। मुझे नहीं लगता कि अकेले इसका उपयोग निर्णायक साक्ष्य है। लेनोवो सॉफ्टवेयर में ऐसे कार्यों को छुपाने की कोशिश कर रहा है, जो इसके उपयोगकर्ताओं को पता चल जाएगा कि यदि वे सॉफ़्टवेयर को जानते हैं तो उन्हें सब कुछ पता चल जाएगा। लेकिन, लेनोवो की ज्ञात प्रथाओं को देखते हुए, न केवल सुपरफिश के साथ, बल्कि बाद में "लेनोवो सिस्टम इंजन" के लिए विंडोज प्लेटफॉर्म बाइनरी टेबल (WPBT) के उपयोग के साथ। लेनोवो ने लगातार क्रैपवेयर स्थापित करने के लिए विंडोज एंटी-थेफ्ट फीचर का इस्तेमाल किया , मुझे लगता है कि कुछ हद तक सावधान रहने की वजह है और लेनोवो को अन्य कंपनियों की तुलना में लेनोवो को संदेह का लाभ देने की संभावना कम है ।

दुर्भाग्य से, बहुत सी कंपनियां हैं जो ग्राहकों की जानकारी या अपने ग्राहकों के लिए "पहुंच" को "अन्य भागीदारों" को बेचकर अपने ग्राहकों से अधिक पैसा कमाने की कोशिश करती हैं। और कभी-कभी एडवेयर के माध्यम से किया जाता है, जिसका मतलब यह नहीं है कि कंपनी उन "भागीदारों" को व्यक्तिगत रूप से पहचान योग्य जानकारी प्रदान कर रही है। कभी-कभी कोई कंपनी अपने ग्राहकों के व्यवहार के बारे में जानकारी एकत्र करना चाह सकती है, इसलिए यह बाजार में ग्राहकों को उस प्रकार की अधिक जानकारी प्रदान कर सकती है, जो किसी व्यक्ति की पहचान करने की जानकारी के बजाय कंपनी को आकर्षित करने की संभावना है।

अगर मैं VirusTotal में एक फ़ाइल अपलोड करता हूं और कई एंटीवायरस प्रोग्राम्स का उपयोग करता हूं , तो यह अपलोड की गई फ़ाइलों को स्कैन करने के लिए उपयोग करता है, जिसमें फाइल को मैलवेयर युक्त के रूप में चिह्नित किया गया है, मैं अक्सर उन लोगों को झूठी सकारात्मक रिपोर्ट के रूप में मानता हूं , यदि कोड स्पष्ट रूप से लगभग काफी समय से है। कुछ समय, उदाहरण के लिए, अगर VirusTotal रिपोर्ट करता है कि यह पहले फ़ाइल को एक साल पहले स्कैन कर चुका है, और मेरे पास अन्यथा सॉफ़्टवेयर डेवलपर को अविश्वास करने का कोई कारण नहीं है, और इसके विपरीत, डेवलपर पर भरोसा करने के लिए कुछ कारण, जैसे, एक लंबी प्रतिष्ठा के कारण। लेकिन लेनोवो ने पहले ही अपनी प्रतिष्ठा को धूमिल कर लिया है और आपके द्वारा अपलोड की गई फ़ाइल को झंडी दिखाकर 53 एंटीवायरस प्रोग्रामों में से 12 लगभग 23% है, जिसे मैं चिंताजनक रूप से उच्च प्रतिशत मानता हूं।

हालाँकि, चूंकि अधिकांश एंटीवायरस विक्रेता आमतौर पर किसी विशेष प्रकार के मैलवेयर के रूप में फ़्लैग की जा रही फ़ाइल की ओर जाते हैं, यदि कोई विशेष जानकारी, तो इसके संचालन के संदर्भ में एक विशेष मैलवेयर विवरण का वास्तव में क्या मतलब है, इसकी अक्सर जानकारी प्रदान करना मुश्किल है। जब आप किसी विशेष विवरण को देखते हैं तो आपको चिंता करने की आवश्यकता होती है। इस मामले में यह भी हो सकता है कि उनमें से ज्यादातर टीएलएस कॉलबैक देख रहे हों और अकेले उस आधार पर फाइल को झंडी दिखा रहे हों। यानी, यह संभव है कि सभी 12 एक ही गलती के आधार पर गलत सकारात्मक दावा कर रहे हों। और कभी-कभी विभिन्न उत्पाद मैलवेयर की पहचान के लिए समान हस्ताक्षर साझा करते हैं और यह भी कि वैध कार्यक्रम में हस्ताक्षर हो सकते हैं।

"W32 / OnlineGames.HI.gen! Eldorado" के परिणाम के रूप में VirusTotal पर कुछ कार्यक्रमों द्वारा रिपोर्ट किया गया है जो PWS के समान नाम है : Win32 / OnLineGames.gen! Bविशिष्ट जानकारी के बिना कि किस निष्कर्ष पर पहुंचा कि फ़ाइल W32 / OnlineGames.HI.gen से संबंधित है! Eldorado और W32 / OnlineGames.HI.gen! Eldorado के साथ क्या व्यवहार जुड़ा हुआ है, अर्थात, रजिस्ट्री कुंजियों और फ़ाइलों से क्या अपेक्षा करनी चाहिए! उस विशेष विवरण वाले सॉफ़्टवेयर को खोजने और कैसे व्यवहार करता है, मैं यह निष्कर्ष नहीं निकालूंगा कि सॉफ़्टवेयर गेमिंग क्रेडेंशियल्स चुराता है। किसी भी अन्य सबूत के बिना, मुझे लगता है कि संभावना नहीं है। दुर्भाग्य से, आपके द्वारा देखे जाने वाले बहुत सारे मैलवेयर विवरण समान रूप से सामान्य विवरणों के नाम होंगे, जो यह निर्धारित करने में बहुत कम मूल्य के होते हैं कि किसी फाइल से जुड़े उस विवरण को देखते समय आपको कितना चिंतित होना चाहिए। "W32" अक्सर कुछ एंटीवायरस विक्रेताओं द्वारा बहुत सारे नामों की शुरुआत से जुड़ा होता है। तथ्य यह है कि वे "जेनेरिक" के लिए "ऑनलाइनगेम" और "जीन" साझा करते हैं

मैं सॉफ्टवेयर को हटा देता हूं, क्योंकि मैं इसे बिना किसी लाभ के सिस्टम संसाधनों का उपयोग करने के लिए जज करूंगा, और, यदि आप ऑनलाइन गेम खेलते हैं तो आप एहतियात के तौर पर अपने पासवर्ड रीसेट कर सकते हैं, हालांकि मुझे संदेह है कि लेनोवो सोफवेयर ने ऑनलाइन गेमिंग क्रेडेंशियल्स चुरा लिए हैं या कीस्ट्रोक लॉगिंग कर रहा है। लेनोवो के पास अपने सिस्टम में शामिल सॉफ़्टवेयर के लिए एक तारकीय प्रतिष्ठा नहीं है, लेकिन मैंने कोई रिपोर्ट नहीं देखी है कि उन्होंने किसी भी सॉफ़्टवेयर को वितरित किया है जो इस तरह से संचालित होगा। और नेटवर्क कनेक्टिविटी का आवधिक नुकसान आपके पीसी के बाहर भी हो सकता है। उदाहरण के लिए, यदि एक ही स्थान पर अन्य सिस्टम भी समय-समय पर कनेक्टिविटी की हानि का अनुभव करते हैं, तो मुझे लगता है कि एक राउटर पर एक समस्या होने की अधिक संभावना है।

moonpoint
स्रोत
आपके उत्तर के लिए धन्यवाद। तो आपको लगता है कि यह दुर्भावनापूर्ण हो सकता है और यदि हां, तो आपको क्या लगता है कि यह क्या करता है? जब आप TLS का उपयोग करने के लिए एक गैर-दुर्भावनापूर्ण एप्लिकेशन की अपेक्षा करेंगे? मैं समझता हूं कि लेनोवो के पास पूर्व-स्थापित सॉफ़्टवेयर के संबंध में कई घटनाएं हैं, लेकिन क्या आपको लगता है कि वे मैलवेयर स्थापित करेंगे, विशेष रूप से मूल पोस्ट में उल्लिखित एक keylogger? एक तरफ, यह फ़ाइल संदेहास्पद लगती है, इसके कोड को छिपाने के लिए कदम उठाती है।
LJD200
दूसरी ओर, यह एक प्रसिद्ध पीसी निर्माता से है (जब तक कि फ़ाइल को किसी अन्य प्रोग्राम द्वारा अपहरण नहीं किया गया था)?
LJD200
सोनी के रूटकिट एक प्रसिद्ध निर्माता से भी थे।
एलन शटको
@ LJD200, मैंने आपके प्रश्नों के आधार पर अपनी पोस्ट अपडेट की।
चांदनी
@moonpoint आपकी प्रतिक्रिया के लिए बहुत बहुत धन्यवाद। यह एक उत्कृष्ट उत्तर है और मैंने इसे स्वीकार कर लिया है। मैं विंडोज को फिर से सुरक्षित करने के लिए फिर से इंस्टॉल करूंगा लेकिन मुझे लगता है कि किसी भी गंभीर डेटा के चोरी होने का जोखिम छोटा है। वाल्कीरी द्वारा मुझे पता चला कि संदिग्ध टाइमस्टैम्प भी मेरे कारण एवास्ट वायरस की छाती से फाइल को निकालने के कारण है, जो टाइमस्टैम्प को बदलता है। इस घटना के साथ, अतीत में हुई कई अन्य घटनाओं ने लेनोवो के मेरे विचार को धूमिल कर दिया है और मैं भविष्य में उनके सॉफ़्टवेयर का उपयोग नहीं करूंगा लेकिन मुझे खुशी है कि यह घटना कुछ भी गंभीर नहीं हुई है।
LJD200
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.