Dwa tygodnie temu pisałem o oprogramowaniu Lenovo, które jest wykrywane jako adware przez najnowszy produkt Microsoftu Security Essentials. Po moim poście dostałem email od jednego z pracowników Microsoftu zajmującego się Security Essentials z prośbą o sprostowanie mojego komentarza.
Zostało mi wskazane, że MSE prawidłowo rozpoznaje Lenovo Message Center Plus jako adware, co zostało potwierdzone w badaniach przeprowadzonych przez specjalistów z Microsoft. Skontaktowano się z Lenovo, które szybko wypuściło zmodyfikowaną wersję Message Center Plus nie zawierającą kodu uznawanego przez MSE za adware.
Po ukazaniu się nowej wersji oprogramowania Lenovo Microsoft opublikował nowe definicje dla MSE oznaczone numerem 1.61.794.0, które nie rozpoznają już tego oprogramowania jako adware.
Adware:Win32/LenovoMCP was a detection for Lenovo Message Center Plus. This program was detected by definitions prior to 1.61.794.0 as adware, as it violated the guidelines by which Microsoft identifies spyware and other potentially unwanted software. The vendor subsequently modified the program so as to remove the undesired behavior. Due to this vendor action, Microsoft has confirmed that the program no longer has potentially unwanted behaviors. Microsoft has released definition 1.61.794.0, which no longer detects this program.
(informacje ze strony Microsoft Security Encyclopedia)
Użytkownicy komputerów Lenovo powinni zaktualizować swoje oprogramowanie na nową, pozbawioną adware wersję Message Center Plus.
Microsoft Security Essential uznaje oprogramowanie Lenovo za adware
26 Czerwiec 2009
Jeszcze nie tak dawno pisałem pochwalne peany na cześć MSE (Microsoft Security Essentials), a tu już na drugi dzień po zainstalowaniu przywitała mnie pierwsza wpadka tego programu antywirusowego.
Ku mojemu wielkiemu zaskoczeniu, MSE uznał, że Message Center Plus z Lenovo to szkodliwy program wyświetlający reklamy, tzw. adware.
Szczegóły:
- plik – C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe
- wykryty jako Adware:Win32/LenovoMCP
- poziom zagrożenia: średni
Najnowsza wersja Message Center Plus z Lenovo pochodzi z końca maja 2009 roku (link). Od maja nie pamiętam, bym widział reklamę wyświetloną inaczej niż z okna przeglądarki internetowej (Firefox, IE), tym bardziej nie z narzędzia Lenovo. Być może moje doświadczenia to za mało, by stwierdzić, że program tego nie robi, ale chyba nie jest to powodem by ostrzegać użytkowników laptopów Lenovo o potencjalnym zagrożeniu.
Znalezisko wygląda mi na klasyczny false positive. Mam nadzieję, że w niedługim czasie program nie będzie już wykrywany.
Adware z BIOS'u?
14 Styczeń 2009
Wpadła mi w ręce informacja dotycząca nieczystego zagrania pewnego dużego producenta komputerów przenośnych. Ze względu na toczącą się analizę problemu, nie ujawnię jego nazwy.
Na świeżo zainstalowanym systemie Windows Vista na komputerze od tego producenta, pokazało się okno Internet Explorera z reklamą pewnej usługi. Warto podkreślić, że nie był to obraz systemu, jaki zazwyczaj jest dostarczany z komputerem, ale świeża instalacja (nie tzw. OEM, ale FPP) wprost “z pudełka”. W grę nie wchodziły żadne programy, które mogły zainstalować się z Internetu. Poza systemem operacyjnym na komputerze nie było zainstalowane żadne inne oprogramowanie.
Dalsza analiza problemu pokazała, że niechciany software pochodził … z BIOS’u!
Amerykańska firma Absolute Software dostarcza rozwiązanie do ukrywania pewnego rodzaju oprogramowania wprost w BIOS’ie systemu. Oprogramowanie to, zwane Computrace, ma za zadanie namierzenie skradzionego komputera w momencie gdy jego nowy użytkownik połączy się z siecią Internet. System ten działa z powodzeniem w Stanach Zjednoczonych od 1997 roku. Stosuje go wielu znanych producentów systemów komputerowych (lista) – sugeruję sprawdzenie w swoim BIOS’ie.
Jednak firma Absolute Software dla jednego z tych producentów wykazała więcej inicjatywy i dostarczyła opcję wyświetlania reklam.
W 2006 roku program antywirusowy AVG znajdował w plikach rpcnetp.exe i rpcnetp.dll trojana. Nie pomagało usuwanie plików, używanie innych skanerów, ani nawet re-instalacja systemu. Pliki te zawsze “magicznie” pojawiały się w systemie po restarcie. Autorem tych dwóch plików jest firma Absolute Software (Computrace LoJack for Laptops) i pliki te były kopiowane z BIOS’u. Od tego czasu AVG już nie znajduje w tych dwóch plikach trojanów, ale jakby nie było, niesmak pozostał.
Problemów z tego rodzaju oprogramowaniem jest co najmniej kilka. Ale najbardziej niepokąjaca nie jest idea, że na naszych komputerach możemy mieć zainstalowane oprogramowanie, którego nie pozbędziemy się nawet stosując format dysku. Nawet jeśli Computrace stworzony został w zacnym celu, może okazać się przykry w skutkach, jeśli zostanie rozpracowany przez autorów malware.
Oryginalne okno z reklamą usługi Computrace. Wyciąłem nazwy i loga producenta oprogramowania.
Najlepszy program antywirusowy?
8 Wrzesień 2008
Przy wielu okazjach, wiele osób pytało mnie jaki jest najlepszy program antywirusowy. Najczęściej odpowiadałem, że żaden i dodawałem, że świadomość tego co robisz jest najlepszą receptą na unikanie problemów. Jednak nie wszyscy są geekami i dla wielu osób nauczenie się zasad działania oprogramowania na ich komputerze może okazać się zadaniem karkołomym (pytanie choćby o ulubioną przeglądarkę wiąże się z odpowiedzią “onet.pl”).
Opublikowane kilka dni temu na stronie Virus Bulletin testy najpopularniejszych produktów antywirusowych wykonane przez AV-test.org dość dobrze pokazują co wybrać, by zabezpieczyć swój komputer przez malware, adware i spyware.
Cytat:
In terms of pure detection rates in on-demand scanning, a beta version of GDATA’s AVK 2009 topped the charts for both ‘malware’ (measured against 1,164,662 samples) and ‘ad- and spyware’ (94,291 samples), with Avira’s Premium Security Suite 2008 a close runner-up in the former category and F-Secure 2009 placing second in the latter. Secure Computing’s Webwasher gateway product, based on the Avira engine with some in-house heuristics, came third in both categories.
Na topie: AVK, F-Secure i Avira. O Avira wiedziałem od dawna, że jest bardzo dobrym skanerem, który nie przyprawia o częsty ból głowy jeśli chodzi o false positives. Microsoft też okazał się być niezły ze swoim skanerem, używanym np. w Live One Care, bijąc takich konkurentów jak Sophos, Norman, Eset, McAfee czy CA.
Czy jednak wykrywalność na poziomie 99.8% pozwoli każdemu, kto zainstalował program antywirusowy, spać spokojnie? Czy nawet najlepsze skanery uchronią nas przed szkodnikami, które chcą wykraść numery naszych kart kredytowych, próbują kasować nasze pliki i rozprzestrzeniają się po Internecie blokując nasz dostęp do Internetu? Absolutnie nie!
Zatem drogi użytkowniku, ściągnij sobie program antywirusowy, zainstaluj i miej go zawsze zaktualizowanego. Ale w międzyczasie ucz się w jaki sposób malware może dostać się na Twój komputer. Bez tej wiedzy możesz okazać się ofiarą tych 0.2% wirusów, które przechodzą koło nosa nawet najlepszym skanerom.
