Comodo Valkyrie sayfasındaki dosya için "Statik Analiz" bağlantısını tıklatırsanız, dosyayı işaretlemenin nedenlerinden birinin "TLS geri çağrı işlevleri dizisi algılandığından" kaynaklandığını göreceksiniz. Bu kodun siteye yüklediğiniz yürütülebilir dosyanın içine dahil edilmesinin meşru bir nedeni olabilir, ancak TLS geri arama kodu, kodun hata ayıklama işlemini daha fazla yaparak antivirüs araştırmacıları tarafından kodlarının analizini engellemek için kötü amaçlı yazılım geliştiricileri tarafından kullanılabilir. zor. Örneğin,
TLS geri aramalı hata ayıklayıcıyı algıla :
TLS geri araması, işlem giriş noktası yürütülmeden önce çağrılan bir işlevdir. Yürütülebilir dosyayı bir hata ayıklayıcı ile çalıştırırsanız, TLS geri çağrısı hata ayıklayıcı kesilmeden önce yürütülür. Bu, hata ayıklayıcı herhangi bir şey yapmadan önce hata ayıklama denetimleri yapabileceğiniz anlamına gelir. Bu nedenle, TLS geri çağırma çok güçlü bir hata ayıklama önleme tekniğidir.
Wild'daki TLS Geri Aramaları bu tekniği kullanarak kötü amaçlı yazılımın bir örneğini tartışır.
Lenovo, sistemleriyle birlikte dağıttığı yazılım konusunda kötü bir üne sahiptir. Örneğin, 15 Şubat 2015 tarihli Ars Technica makalesinden Lenovo PC'ler, HTTPS bağlantılarını kesen ortadaki adam adware ile birlikte gönderilir :
Güvenlik araştırmacıları, Lenovo'nun şifreli Web oturumlarını ele geçiren reklam yazılımlarıyla önceden yüklenmiş olarak gelen bilgisayarları sattığını ve kullanıcıları, saldırganların gerçekleştirmesi için önemsiz olan HTTPS ortadaki adam saldırılarına karşı savunmasız bırakabileceğini söyledi.
Kritik tehdit, Superfish adlı bir şirketin reklam yazılımına sahip Lenovo PC'lerde bulunur. Birçok kişi Web sayfalarına reklam enjekte eden yazılım bulduğu için rahatsız edici olduğu için, Superfish paketi hakkında çok daha zararlı bir şey var. Bir kullanıcının ziyaret ettiği her web sitesi için şifreli trafiği engelleyebilen kendinden imzalı bir kök HTTPS sertifikası yükler. Bir kullanıcı bir HTTPS sitesini ziyaret ettiğinde, site sertifikası Superfish tarafından imzalanır ve kontrol edilir ve kendisini hatalı olarak resmi web sitesi sertifikası olarak temsil eder.
Bir adam-in-the-middle saldırısı kullanarak bir site ziyaret ederek aksi olurdu koruma yendi HTTPS yerine HTTP daha yazılım bankalar gibi tüm web trafiğini kullanıcı ve finansal kurumlar arasında bile trafik hafiyelik sağlıyor.
Araştırmacılar Superfish yazılımını Lenovo makinelerinde bulduğunda, Lenovo başlangıçta "Bu teknolojiyi ayrıntılı bir şekilde araştırdık ve güvenlik endişelerini doğrulayacak herhangi bir kanıt bulamadık." Ancak şirket, güvenlik araştırmacıları Superfish yazılımının Lenovo sistemlerini arızalardan ödün vermeye nasıl açık hale getirdiğini açıkladığında bu ifadeyi geri çekmek zorunda kaldı.
Bu felakete yanıt olarak, Lenovo'nun Baş Teknik Sorumlusu (CTO) Peter Hortensius, "Bugün bunun hakkında söyleyebileceğim, aşağıdakileri içeren çok çeşitli seçenekleri araştırmamızdır: daha temiz bir PC görüntüsü (işletim sistemi ve kutusundan çıkar çıkmaz) ... "Belki de bu seçenek atıldı. Örneğin, Eylül 2015'te Lenovo Red-Handed yakalandı (3. Kez): Swati Khandelwal tarafından Lenovo Dizüstü Bilgisayarlarda bulunan Hacker News'de bir güvenlik analisti olan ve bulduğunuz "Lenovo Müşteri Geri Bildirim Programı 64" yazılımını tartışan Önceden Yüklenmiş Casus Yazılımlar Sisteminiz.
Güncelleme :
Konu yerel depolama (TLS) geri aramalar için meşru kullanımlarına ilişkin olarak, Vikipedi bir tartışma TLS var Konu Yerel Depolamamakale. Programcıların yasal kullanımlar için ne sıklıkta kullandığını bilmiyorum. Yetenek için meşru kullanımından bahseden sadece bir kişi buldum; bulduğum diğer tüm referanslar kötü amaçlı yazılım tarafından kullanılmasıyla ilgili. Ancak bunun nedeni, kötü amaçlı yazılım geliştiricilerinin kullanımının, programcıların meşru kullanımları hakkında yazmasından daha fazla yazılmasının daha olası olması olabilir. Lenovo'nun tek başına kullanımının kesin kanıt olduğunu düşünmüyorum, Lenovo yazılımın, yazılımın yaptığı her şeyi bildiklerinde kullanıcılarının muhtemelen endişe verici bulacağı işlevleri gizlemeye çalıştığını gösteriyor. Ancak, Lenovo'nun bilinen uygulamaları göz önüne alındığında, sadece Superfish ile değil, daha sonra "Lenovo System Engine" için Windows Platform İkili Tablosunu (WPBT) kullanmasıyla
Lenovo , kalıcı crapware yüklemek için Windows hırsızlık önleme özelliğini kullandı , bence biraz dikkatli olmanın ve Lenovo'ya diğer şirketlerden daha fazla şüphe duyma olasılığının daha düşük olduğunu düşünüyorum.
Maalesef, müşteri bilgilerini satarak veya müşterilerine diğer "ortaklara" "erişerek" müşterilerinden daha fazla para kazanmaya çalışan birçok şirket var. Ve bazen bu mutlaka bu "ortaklar" için kişisel olarak tanımlanabilir bilgi sağladığı anlamına gelmez adware ile yapılır. Bazen bir şirket, müşterilerin davranışları hakkında bilgi toplamak isteyebilir, böylece pazarlamacılara, bir kişiyi tanımlayan bilgilerden ziyade şirketin çekeceği müşteri türü hakkında daha fazla bilgi sağlayabilir.
VirusTotal'a bir dosya yüklersem ve dosyayı kötü amaçlı yazılım içerdiğini işaretleyen yüklenmiş dosyaları taramak için kullandığı birçok virüsten koruma programından yalnızca bir veya ikisini bulursam , kodun açık bir şekilde etrafta kalması durumunda genellikle yanlış pozitif raporlar olarak görüyorum bir süre, örneğin, VirusTotal daha önce bir yıl önce dosyayı taradıysa ve aksi takdirde yazılım geliştiricisine güvenmemek için bir nedenim yok, aksine, geliştiriciye güvenmek için bir nedenim var, örneğin, uzun süredir devam eden iyi bir itibar nedeniyle. Ancak Lenovo itibarını zaten kararttı ve yüklediğiniz dosyayı işaretleyen 53 antivirüs programından 12'si yaklaşık% 23, bu da endişe verici derecede yüksek bir yüzde olarak görüyorum.
Çoğu virüsten koruma yazılımı satıcısı, bir dosyanın belirli bir kötü amaçlı yazılım türü olarak işaretlenmesine neden olan şeylerle ve belirli bir kötü amaçlı yazılım açıklamasının çalışması açısından tam olarak ne anlama geldiğiyle ilgili genellikle çok az, belirli bir bilgi sağladığından, genellikle tam olarak ne olduğunu belirlemek zordur. belirli bir açıklama gördüğünüzde endişelenmeniz gerekir. Bu durumda, çoğu, bir TLS geri araması görüyor ve dosyayı yalnızca bu temelde işaretliyor olabilir. Yani, 12'nin de aynı yanlış temelde yanlış pozitif iddiada bulunması mümkündür. Ve bazen farklı ürünler kötü amaçlı yazılımları tanımlamak için aynı imzaları paylaşır ve bu imza meşru bir programda da ortaya çıkabilir.
VirusTotal'daki birkaç program tarafından bildirilen "W32 / OnlineGames.HI.gen! Eldorado" sonucuna gelince,
PWS: Win32 / OnLineGames.gen! Bdosyanın W32 / OnlineGames.HI.gen! Eldorado ile ilişkili olduğu ve hangi davranışların W32 / OnlineGames.HI.gen! Eldorado ile ilişkili olduğu sonucuna yol açan özel bilgiler olmadan, yani hangi kayıt defteri anahtarlarının ve dosyalarının beklenmesi gerektiği bu açıklamaya sahip yazılımların nasıl davrandığını ve nasıl davrandığını, yazılımın oyun kimlik bilgilerini çaldığı sonucuna varamayacağım. Başka bir kanıt olmadan, bunun olası olmadığını düşünüyorum. Ne yazık ki, göreceğiniz kötü amaçlı yazılım açıklamalarının birçoğu, benzer bir şekilde adlandırılmış jenerik açıklamalardır ve bu açıklama bir dosyaya eklendiğinde ne kadar endişelenmeniz gerektiğini belirlemede çok az değerlidir. "W32" genellikle bazı antivirüs sağlayıcıları tarafından birçok adın başlangıcına eklenir. Bunu paylaşmaları ve "jenerik" için "OnlineGames" ve "gen"
Yazılım kaynaklarını kaldırırdım, çünkü sistem kaynaklarını benim için hiçbir faydası olmadan kullanmaya karar verdim ve çevrimiçi oyunlar oynarsanız, önlem olarak şifrelerinizi sıfırlayabilirsiniz, ancak Lenovo yazılımının çevrimiçi oyun kimlik bilgilerini çaldığından şüpheliyim veya tuş vuruşu kaydı yapıyor. Lenovo'nun sistemlerine dahil ettikleri yazılımlar için mükemmel bir üne sahip değilim, ancak böyle bir şekilde çalışacak herhangi bir yazılımı dağıttıklarına dair hiçbir rapor görmedim. Ve ağ bağlantısı periyodik kaybı PC'nizin dışında bile olabilir. Örneğin, aynı konumdaki diğer sistemler de periyodik olarak bağlantı kaybı yaşarsa, yönlendiricide bir sorun olduğunu düşünürüm.