Se você clicar no link "Análise estática" do arquivo na página Comodo Valkyrie, verá que um dos motivos para sinalizar o arquivo foi porque "a matriz de funções de retorno de chamada TLS foi detectada". Pode haver um motivo legítimo para a inclusão desse código no executável que você carregou no site, mas o código de retorno de chamada TLS pode ser usado por desenvolvedores de malware para impedir a análise de seu código por pesquisadores de antivírus, facilitando o processo de depuração do código difícil. Por exemplo, do
Detect debugger com retorno de chamada TLS :
O retorno de chamada TLS é uma função chamada antes da execução do ponto de entrada do processo. Se você executar o executável com um depurador, o retorno de chamada TLS será executado antes da quebra do depurador. Isso significa que você pode executar verificações anti-depuração antes que o depurador possa fazer qualquer coisa. Portanto, o retorno de chamada TLS é uma técnica anti-depuração muito poderosa.
As chamadas de retorno TLS in the Wild discutem um exemplo de malware usando essa técnica.
A Lenovo tem uma má reputação em relação ao software que distribuiu com seus sistemas. Por exemplo, no artigo da Ars Technica de 15 de fevereiro de 2015, os PCs Lenovo são fornecidos com adware man-in-the-middle que interrompe as conexões HTTPS :
A Lenovo está vendendo computadores que vêm pré-instalados com adware que sequestra sessões da Web criptografadas e podem tornar os usuários vulneráveis a ataques HTTPS intermediários que são triviais para os invasores, disseram pesquisadores de segurança.
A ameaça crítica está presente nos PCs da Lenovo que possuem adware de uma empresa chamada Superfish instalada. Por mais desagradável que muitas pessoas achem software que injeta anúncios em páginas da Web, há algo muito mais nefasto no pacote Superfish. Ele instala um certificado HTTPS raiz autoassinado que pode interceptar o tráfego criptografado para todos os sites visitados por um usuário. Quando um usuário visita um site HTTPS, o certificado do site é assinado e controlado pela Superfish e representa-se falsamente como o certificado oficial do site.
Um ataque intermediário anula a proteção que você teria visitando um site usando HTTPS em vez de HTTP, permitindo que o software espionasse todo o tráfego da Web, inclusive o tráfego entre o usuário e instituições financeiras, como bancos.
Quando os pesquisadores encontraram o software Superfish nas máquinas Lenovo, a Lenovo alegou inicialmente "Investigamos minuciosamente essa tecnologia e não encontramos nenhuma evidência para comprovar preocupações de segurança". Mas a empresa teve que retirar essa declaração quando os pesquisadores de segurança revelaram como o software Superfish tornou os sistemas da Lenovo abertos ao comprometimento de malfeitores.
Em resposta a esse desastre, o Diretor Técnico (CTO) da Lenovo, Peter Hortensius, declarou: "O que posso dizer sobre isso hoje é que estamos explorando uma ampla gama de opções que incluem: criar uma imagem de PC mais limpa (sistema operacional e software que está no seu dispositivo imediatamente) ... "Talvez essa opção tenha sido descartada. Por exemplo, consulte o artigo de setembro de 2015 que a Lenovo pegou em flagrante (terceira vez): Spyware pré-instalado encontrado nos laptops da Lenovo por Swati Khandelwal, analista de segurança do The Hacker News , que discute o software "Lenovo Customer Feedback Program 64" encontrado em Seu sistema.
Atualização :
Em relação aos usos legítimos para retornos de chamada TLS (armazenamento local de threads), há uma discussão TLS no armazenamento local de threads da Wikipediaartigo. Não sei com que frequência os programadores o usam para usos legítimos. Eu encontrei apenas uma pessoa mencionando seu uso legítimo para a capacidade; todas as outras referências que encontrei foram ao uso por malware. Mas isso pode ser simplesmente porque o uso por desenvolvedores de malware tem mais probabilidade de ser escrito do que programadores escrevendo sobre seu uso legítimo. Eu não acho que seu uso por si só seja uma evidência conclusiva que a Lenovo está tentando ocultar funções no software que seus usuários provavelmente achariam alarmantes se soubessem tudo o que o software fazia. Mas, dadas as práticas conhecidas da Lenovo, não apenas com o Superfish, mas posteriormente com o uso da Tabela Binária da Plataforma Windows (WPBT) para o "Lenovo System Engine"
A Lenovo usou o recurso anti-roubo do Windows para instalar crapware persistente , acho que há motivos para ser um pouco cauteloso e com muito menos probabilidade de dar à Lenovo o benefício da dúvida do que outras empresas.
Infelizmente, existem muitas empresas que tentam ganhar mais dinheiro com seus clientes vendendo informações ou "acesso" a seus clientes a outros "parceiros". E às vezes isso é feito através de adware, o que não significa necessariamente que a empresa esteja fornecendo informações de identificação pessoal a esses "parceiros". Às vezes, uma empresa pode querer coletar informações sobre o comportamento de seus clientes, apenas para fornecer mais informações aos profissionais de marketing sobre o tipo de cliente que a empresa provavelmente atrairá, em vez de informações que identificam um indivíduo.
Se eu enviar um arquivo para o VirusTotal e encontrar apenas um ou dois dos muitos programas antivírus que ele usa para verificar os arquivos carregados que sinalizam o arquivo como contendo malware, geralmente os considero como relatórios de falso positivo , se o código já existir há bastante tempo. algum tempo, por exemplo, se o VirusTotal relata que ele digitalizou o arquivo anteriormente há um ano e, caso contrário, não tenho motivos para desconfiar do desenvolvedor de software e, pelo contrário, algum motivo para confiar no desenvolvedor, por exemplo, devido a uma boa reputação de longa data. Mas a Lenovo já manchou sua reputação e 12 dos 53 programas antivírus que sinalizam o arquivo que você enviou são cerca de 23%, o que considero uma porcentagem preocupantemente alta.
No entanto, como a maioria dos fornecedores de antivírus geralmente fornece poucas informações específicas, se houver alguma, sobre o que leva a um arquivo ser sinalizado como um tipo específico de malware e exatamente o que uma descrição de malware específica significa em termos de operação, muitas vezes é difícil determinar exatamente o que você precisa se preocupar quando vir uma descrição específica. Nesse caso, pode até ser que a maioria deles esteja vendo um retorno de chamada TLS e sinalizando o arquivo somente com base nisso. Ou seja, é possível que todos os 12 estejam fazendo uma alegação de falso positivo na mesma base equivocada. E, às vezes, produtos diferentes compartilham as mesmas assinaturas para identificar malware e essa assinatura também pode ocorrer em um programa legítimo.
Quanto ao resultado "W32 / OnlineGames.HI.gen! Eldorado" relatado por alguns dos programas no VirusTotal, sendo um nome semelhante ao
PWS: Win32 / OnLineGames.gen! Bsem informações específicas sobre o que levou à conclusão de que o arquivo está associado ao W32 / OnlineGames.HI.gen! Eldorado e qual comportamento está associado ao W32 / OnlineGames.HI.gen! Eldorado, ou seja, quais chaves e arquivos de registro se deve esperar para descobrir e como o software com essa descrição específica se comporta, eu não concluiria que o software rouba credenciais de jogos. Sem nenhuma outra evidência, acho isso improvável. Infelizmente, muitas das descrições de malware que você verá são apenas descrições genéricas de mesmo nome, que são de pouco valor para determinar o quanto você deve estar preocupado ao ver essa descrição anexada a um arquivo. O "W32" geralmente é anexado ao início de muitos nomes por alguns fornecedores de antivírus. O fato de compartilharem isso e "OnlineGames" e "gen" para "genérico"
Eu removeria o software, pois julgaria que ele usaria recursos do sistema sem nenhum benefício para mim e, se você jogar jogos online, poderá redefinir suas senhas como precaução, embora eu duvide que o software da Lenovo tenha roubado credenciais de jogos online ou está fazendo log de pressionamento de tecla. A Lenovo não tem uma reputação estelar do software que eles incluem em seus sistemas, mas não vi relatos de que eles tenham distribuído qualquer software que funcionasse dessa maneira. E a perda periódica de conectividade de rede pode até estar fora do seu PC. Por exemplo, se outros sistemas no mesmo local também experimentarem periodicamente uma perda de conectividade, eu acho que há mais probabilidade de um problema em um roteador.