Nếu bạn nhấp vào liên kết "Phân tích tĩnh" cho tệp trên trang Comodo Valkyrie, bạn sẽ thấy một trong những lý do để gắn cờ tệp là do "mảng chức năng gọi lại TLS được phát hiện". Có thể có một lý do chính đáng để đưa mã đó vào trong tệp thực thi mà bạn đã tải lên trang web, nhưng mã gọi lại TLS có thể được các nhà phát triển phần mềm độc hại sử dụng để cản trở việc phân tích mã của họ bởi các nhà nghiên cứu chống vi-rút bằng cách thực hiện quá trình gỡ lỗi mã hơn khó khăn. Ví dụ: từ
Phát hiện trình gỡ lỗi với cuộc gọi lại TLS :
Gọi lại TLS là một chức năng được gọi trước khi điểm nhập quá trình thực thi. Nếu bạn chạy chương trình thực thi với trình gỡ lỗi, cuộc gọi lại TLS sẽ được thực thi trước khi trình gỡ lỗi phá vỡ. Điều này có nghĩa là bạn có thể thực hiện kiểm tra chống gỡ lỗi trước khi trình gỡ lỗi có thể làm bất cứ điều gì. Do đó, gọi lại TLS là một kỹ thuật chống gỡ lỗi rất mạnh.
Các cuộc gọi lại của TLS trong Wild thảo luận về một ví dụ về phần mềm độc hại sử dụng kỹ thuật này.
Lenovo có tiếng xấu liên quan đến phần mềm mà hãng đã phân phối cùng với các hệ thống của mình. Ví dụ: từ bài viết Ars Technica ngày 15 tháng 2 năm 2015, các PC Lenovo được phát hành với phần mềm quảng cáo trung gian phá vỡ các kết nối HTTPS :
Các nhà nghiên cứu bảo mật cho biết, Lenovo đang bán các máy tính được cài đặt sẵn phần mềm quảng cáo chiếm quyền điều khiển các phiên Web được mã hóa và có thể khiến người dùng dễ bị tấn công bởi các cuộc tấn công trung gian của HTTPS.
Mối đe dọa nghiêm trọng hiện diện trên các máy tính Lenovo có phần mềm quảng cáo từ một công ty có tên Superfish được cài đặt. Không thể tin được khi nhiều người tìm thấy phần mềm tiêm quảng cáo vào các trang web, có một điều gì đó bất chính hơn nhiều về gói Superfish. Nó cài đặt chứng chỉ HTTPS gốc tự ký có thể chặn lưu lượng được mã hóa cho mọi trang web mà người dùng truy cập. Khi người dùng truy cập trang web HTTPS, chứng chỉ trang web được Superfish ký và kiểm soát và thể hiện sai lệch là chứng chỉ trang web chính thức.
Một cuộc tấn công trung gian đánh bại sự bảo vệ mà bạn có bằng cách truy cập một trang web bằng HTTPS thay vì HTTP cho phép phần mềm rình mò tất cả lưu lượng truy cập web ngay cả lưu lượng truy cập giữa người dùng và tổ chức tài chính như ngân hàng.
Khi các nhà nghiên cứu tìm thấy phần mềm Superfish trên các máy của Lenovo, Lenovo ban đầu tuyên bố "Chúng tôi đã điều tra kỹ lưỡng công nghệ này và không tìm thấy bất kỳ bằng chứng nào chứng minh mối lo ngại về bảo mật". Nhưng công ty đã phải rút lại tuyên bố đó khi các nhà nghiên cứu bảo mật tiết lộ cách phần mềm Superfish khiến các hệ thống của Lenovo mở ra để thỏa hiệp bởi các trục trặc.
Để đối phó với sự thất bại đó, Giám đốc kỹ thuật (CTO) của Lenovo, Peter Hortensius, sau đó tuyên bố "Điều tôi có thể nói về điều này ngày nay là chúng tôi đang khám phá một loạt các tùy chọn bao gồm: tạo hình ảnh PC sạch hơn (hệ điều hành và phần mềm trên thiết bị của bạn ngay lập tức) ... "Có lẽ tùy chọn đó đã bị loại bỏ. Ví dụ, xem bài viết tháng 9 năm 2015 Lenovo Caught Red hand (Lần 3): Phần mềm gián điệp được cài đặt sẵn được tìm thấy trong Máy tính xách tay Lenovo của Swati Khandelwal, một nhà phân tích bảo mật tại The Hacker News , thảo luận về phần mềm "Chương trình phản hồi khách hàng của Lenovo 64" mà bạn tìm thấy trên hệ thống của bạn.
Cập nhật :
Liên quan đến việc sử dụng hợp pháp cho các cuộc gọi lại Lưu trữ cục bộ luồng (TLS), có một cuộc thảo luận về TLS trong Lưu trữ cục bộ của chủ đề Wikipediabài báo. Tôi không biết tần suất các lập trình viên sử dụng nó cho mục đích sử dụng hợp pháp. Tôi chỉ tìm thấy một người đề cập đến việc sử dụng hợp pháp của anh ta cho khả năng đó; tất cả các tài liệu tham khảo khác về nó mà tôi tìm thấy đã được sử dụng bởi phần mềm độc hại. Nhưng điều đó có thể đơn giản là do việc sử dụng bởi các nhà phát triển phần mềm độc hại có nhiều khả năng được viết hơn là các lập trình viên viết về việc sử dụng hợp pháp của họ. Tôi không nghĩ việc sử dụng một mình là bằng chứng thuyết phục Lenovo đang cố gắng che giấu các chức năng trong phần mềm mà người dùng có thể sẽ thấy đáng báo động nếu họ biết mọi thứ mà phần mềm đã làm. Nhưng, với các thực tiễn đã biết của Lenovo, không chỉ với Superfish, mà sau đó là việc sử dụng Bảng nhị phân nền tảng Windows (WPBT) cho "Công cụ hệ thống Lenovo"
Lenovo đã sử dụng tính năng chống trộm Windows để cài đặt crapware liên tục , tôi nghĩ có lý do để cảnh giác và ít có khả năng mang lại cho Lenovo lợi ích của sự nghi ngờ so với các công ty khác.
Thật không may, có rất nhiều công ty cố gắng kiếm thêm tiền từ khách hàng của họ bằng cách bán thông tin khách hàng hoặc "truy cập" khách hàng của họ cho các "đối tác" khác. Và đôi khi điều đó được thực hiện thông qua phần mềm quảng cáo, điều đó không nhất thiết có nghĩa là công ty đang cung cấp thông tin nhận dạng cá nhân cho những "đối tác" đó. Đôi khi, một công ty có thể muốn thu thập thông tin về hành vi của khách hàng để họ có thể cung cấp thêm thông tin cho các nhà tiếp thị về loại khách hàng mà công ty có khả năng thu hút hơn là thông tin nhận dạng một cá nhân.
Nếu tôi tải tệp lên VirusTotal và chỉ tìm thấy một hoặc hai trong số nhiều chương trình chống vi-rút mà nó sử dụng để quét các tệp đã tải lên gắn cờ tệp có chứa phần mềm độc hại, tôi thường coi đó là các báo cáo dương tính giả , nếu mã rõ ràng đã xuất hiện đôi khi, ví dụ, nếu VirusTotal báo cáo trước đó nó đã quét tệp một năm trước và tôi không có lý do gì để không tin tưởng nhà phát triển phần mềm và ngược lại, một số lý do để tin tưởng nhà phát triển, ví dụ, vì danh tiếng tốt từ lâu. Nhưng Lenovo đã làm mất danh tiếng của nó và 12 trong số 53 chương trình chống vi-rút đánh dấu tệp bạn đã tải lên là khoảng 23%, mà tôi cho là tỷ lệ cao đáng lo ngại.
Mặc dù, vì hầu hết các nhà cung cấp phần mềm chống vi-rút thường cung cấp rất ít, nếu có, thông tin cụ thể về những gì dẫn đến một tệp bị gắn cờ là một loại phần mềm độc hại cụ thể và chính xác những gì một mô tả phần mềm độc hại có nghĩa là về hoạt động của nó, thường rất khó để xác định chính xác những gì bạn cần phải lo lắng khi bạn thấy một mô tả cụ thể. Trong trường hợp này, thậm chí có thể là hầu hết trong số họ đang nhìn thấy một cuộc gọi lại TLS và chỉ gắn cờ tệp trên cơ sở đó. Tức là, có thể tất cả 12 người đang đưa ra một tuyên bố tích cực sai trên cùng một cơ sở sai lầm. Và đôi khi các sản phẩm khác nhau có chung chữ ký để xác định phần mềm độc hại và chữ ký đó cũng có thể xảy ra trong một chương trình hợp pháp.
Đối với kết quả "W32 / OnlineGames.HI.gen! Eldorado" được báo cáo bởi một vài chương trình trên VirusTotal là một tên tương tự như
PWS: Win32 / OnLineGames.gen! Bkhông có thông tin cụ thể về điều gì dẫn đến kết luận rằng tệp được liên kết với W32 / OnlineGames.HI.gen! Eldorado và hành vi nào được liên kết với W32 / OnlineGames.HI.gen! Eldorado, tức là những gì các khóa và tệp đăng ký nên mong đợi để tìm và cách phần mềm với mô tả cụ thể đó hoạt động, tôi sẽ không kết luận rằng phần mềm đánh cắp thông tin chơi trò chơi. Không có bất kỳ bằng chứng nào khác, tôi nghĩ rằng điều đó là không thể. Thật không may, rất nhiều mô tả phần mềm độc hại mà bạn sẽ thấy chỉ là những mô tả chung có tên tương tự ít có giá trị trong việc xác định mức độ lo lắng của bạn khi thấy mô tả đó được đính kèm vào một tệp. "W32" thường được gắn với phần đầu của rất nhiều tên của một số nhà cung cấp phần mềm chống vi-rút. Thực tế là họ chia sẻ điều đó và "OnlineGames" và "gen" cho "generic"
Tôi sẽ gỡ bỏ phần mềm, vì tôi đánh giá nó sử dụng tài nguyên hệ thống không có lợi cho tôi và nếu bạn chơi trò chơi trực tuyến, bạn có thể đặt lại mật khẩu của mình để đề phòng, mặc dù tôi nghi ngờ phần mềm Lenovo đã đánh cắp thông tin chơi trò chơi trực tuyến hoặc đang thực hiện đăng nhập tổ hợp phím. Lenovo không có danh tiếng xuất sắc cho phần mềm họ có trên hệ thống của họ, nhưng tôi không thấy báo cáo nào cho thấy họ đã phân phối bất kỳ phần mềm nào sẽ hoạt động theo cách như vậy. Và việc mất kết nối mạng định kỳ thậm chí có thể nằm ngoài PC của bạn. Ví dụ: nếu các hệ thống khác ở cùng vị trí cũng bị mất kết nối định kỳ, tôi nghĩ có nhiều khả năng xảy ra sự cố tại bộ định tuyến.