Si hace clic en el "Análisis Estático de enlace para el archivo en el Comodo Valkyrie la página, verás que una de las razones para marcar el archivo fue porque "TLS funciones de devolución de llamada matriz detectado". Puede haber una razón legítima para la inclusión de dicho código en el archivo ejecutable que has subido a la web, pero TLS código de devolución de llamada puede ser utilizado por los desarrolladores de malware para frustrar el análisis de su código antivirus investigadores, haciendo que el proceso de depuración que el código sea más difícil. E. g., de
Detectar depurador con TLS de devolución de llamada:
TLS callback es una función que llama antes de que el proceso de punto de entrada se ejecuta. Si se ejecuta el archivo ejecutable con un depurador, el TLS de devolución de llamada se ejecuta antes de que el depurador se rompe. Esto significa que usted puede realizar anti-depuración de los cheques antes de que el depurador puede hacer nada. Por lo tanto, TLS de devolución de llamada es un potente anti-técnica de depuración.
TLS devoluciones de llamada en la naturaleza se describe un ejemplo de malware utilizando esta técnica.
Lenovo tiene una mala reputación en lo que respecta al software ha distribuido con sus sistemas. E. g., desde el 15 de febrero de 2015 Ars Technica artículo Lenovo Pc barco con el hombre-en-el-medio adware que rompe las conexiones HTTPS:
Lenovo es la venta de equipos que vienen preinstalados con el adware que
secuestra en el sitio Web codificado sesiones y pueden hacer que los usuarios vulnerables a HTTPS
hombre-en-el-medio de los ataques de que son triviales para los atacantes para llevar a cabo,
los investigadores de seguridad dijeron.
La crítica de la amenaza está presente en ventas de Pc de Lenovo que tiene el adware de un
la compañía llamado Superfish instalado. Como desagradables, como a muchas personas les
software que inyecta anuncios en las páginas Web, hay algo que es mucho más
nefasto sobre la Superfish paquete. Se instala una root firmados
Certificado HTTPS que puede interceptar el tráfico cifrado para cada
sitio web que un usuario visita. Cuando un usuario visita un sitio HTTPS, el sitio
certificado está firmado y controlado por Superfish y falsamente
representa a sí mismo como el sitio web oficial de certificado.
Un hombre en el ataque medio derrota a la protección de lo contrario tendría por visitar un sitio con HTTPS en lugar de HTTP que permite que el software para espiar a todo el tráfico web, incluso el tráfico entre el usuario y las instituciones financieras como los bancos.
Cuando los investigadores encontraron que el Superfish de software en equipos Lenovo, Lenovo inicialmente afirmó que "Hemos investigado a fondo esta tecnología y no encontrar ninguna prueba para justificar los problemas de seguridad." Pero la empresa tuvo que retractarse de esa declaración cuando los investigadores de seguridad reveló cómo la Superfish el software de los sistemas de Lenovo abiertas a un acuerdo por malfactors.
En respuesta a la debacle, Lenovo Director Técnico (CTO), Peter Hortensius, declaró entonces "Lo que puedo decir sobre esto es que hoy estamos explorando una amplia gama de opciones que incluyen:la creación de un limpiador de PC de la imagen (el sistema operativo y el software que está en el dispositivo de la derecha fuera de la caja)..." tal vez esa opción fue descartada. E. g., ver el septiembre de 2015 artículo Lenovo pillados (3ª Vez): Pre-Instalado Spyware encontrado en Lenovo, los Portátiles por Swati Khandelwal un analista de seguridad de La Hacker News, que analiza la "Lenovo Comentarios de los Clientes Programa 64" el software que se encuentra en su sistema.
Actualización:
En lo que respecta a los usos legítimos para el Almacenamiento Local de subprocesos (TLS) devoluciones de llamada, hay una discusión de TLS en la Wikipedia Almacenamiento Local de subprocesos artículo. No sé cómo los programadores utilizan a menudo para usos legítimos. Yo solamente he encontrado una persona en mencionar su legítimo el uso de la capacidad; todas las demás referencias que he encontrado han sido para su uso por el malware. Pero que puede ser simplemente porque el uso por los desarrolladores de malware es más probable que sea por escrito acerca de los programadores que escriben acerca de sus legítimos de uso. No creo que su uso solo es evidencia concluyente de Lenovo está tratando de ocultar funciones en el software que los usuarios de su probable encontrar alarmante si que lo sabía todo el software. Pero, dado Lenovo prácticas conocidas, no sólo con Superfish, pero posteriormente con el uso de la Plataforma Windows Tabla Binaria (canal wpbt) para el "Sistema Lenovo Motor" para garantizar el OneKey Optimizer (OKO) software pueda ser instalado en un sistema, incluso si un usuario ha intentado crear una instalación "limpia" de Windows, como se describe en
Lenovo utiliza Windows anti-robo de instalar la característica persistente crapware, creo que hay razones para ser un poco cautelosos y soy mucho menos propensas a dar a Lenovo el beneficio de la duda de lo que pienso, otras compañías.
Por desgracia, hay un montón de empresas que tratar de ganar más dinero a sus clientes por la venta de la información de los clientes o de "acceso" a sus clientes a otros "socios". Y a veces eso se hace a través de adware, que no significa necesariamente que la empresa es proporcionar información de identificación personal a los "socios". A veces una empresa puede recopilar información sobre sus clientes, el comportamiento, por lo que puede proporcionar más información a los vendedores en el tipo de cliente de la empresa es probable que atraiga más que la información de identificación de un individuo.
Si puedo subir un archivo a VirusTotal y encontrar sólo uno o dos de los muchos programas antivirus utiliza para escanear los archivos subidos marcar el archivo como que contienen software malicioso, a menudo me he sentido como los falsos positivos de los informes, si el el código, evidentemente, ha sido de alrededor durante bastante tiempo, por ejemplo, si VirusTotal informes que previamente digitalizados del archivo de hace un año, y de lo contrario no tienen ningún motivo para desconfiar de que el desarrollador de software y, por el contrario, algunas razones para confiar en el desarrollador, por ejemplo, debido a una larga trayectoria de buena reputación. Pero Lenovo ya ha empañado su reputación y 12 de 53 programas antivirus marcar el archivo que has subido es de aproximadamente 23%, al que considero como un preocupante porcentaje alto.
Sin embargo, ya que la mayoría de los fabricantes de antivirus generalmente proporcionan poca, si alguna, información específica sobre lo que conduce a un archivo que está siendo señalado como un tipo particular de malware y exactamente lo que es un malware en particular la descripción de los medios en términos de su funcionamiento, a menudo es difícil determinar exactamente lo que usted necesita preocuparse cuando usted ve una determinada descripción. En este caso, incluso podría ser que la mayoría de ellos están viendo un TLS de devolución de llamada y marcar el archivo sólo sobre esa base. I. e., es posible que todos los 12 están haciendo un falso positivo de la reclamación sobre la misma equivocado. Y a veces, los diferentes productos comparten las mismas firmas para la identificación de malware y que la firma también puede ocurrir en un programa legítimo.
En cuanto a la "W32/OnlineGames.HOLA.gen!Eldorado" resultados reportados por un par de programas en VirusTotal es un nombre similar
PWS:Win32/OnLineGames.gen!B sin información específica sobre lo que llevó a la conclusión de que el archivo está asociado con W32/OnlineGames.HOLA.gen!Eldorado y cuál es el comportamiento asociado con W32/OnlineGames.HOLA.gen!Eldorado, es decir, lo que las claves de registro y archivos se debe esperar encontrar y cómo el software con el que en particular descripción se comporta, no me la conclusión de que el software roba juegos de credenciales. Sin ningún otro tipo de pruebas, creo que es poco probable. Desafortunadamente, una gran cantidad de malware descripciones que vemos son sólo de nombre similar descripciones genéricas que son de poco valor en la determinación de cómo la preocupación que debe ser al ver que la descripción se adjunta a un archivo. "W32" a menudo se adjunta en el comienzo de un montón de nombres por algunos de los fabricantes de antivirus. El hecho de que se comparta y que "OnlineGames" y "gen" para "genérico" en los nombres no me llevan a la conclusión de que los archivos los nombres de operar de la misma manera.
Me gustaría quitar el software, ya que me gustaría juez es el uso de los recursos del sistema sin ningún beneficio para mí, y, si juegas a juegos en línea que usted podría restablecer sus contraseñas como medida de precaución, aunque dudo que el software Lenovo ha robado los juegos en línea credenciales o está haciendo de registro de pulsaciones. Lenovo no tiene una reputación estelar para el software que incluyen en sus sistemas, pero no he visto los informes de que se han distribuido de cualquier software que opere de tal manera. Y el periódico la pérdida de la conectividad de la red podría ser incluso fuera de su PC. E. g., si otros sistemas en la misma ubicación también periódicamente la experiencia de una pérdida de conectividad, yo pensaría que es más probable que un problema en un router.
