Избавились от Superfish? К сожалению, это только начало!

Если вы были одним из пользователей, затронутых проблемами с Superfish, вероятно, вы уже успели позаботиться об опасном программном обеспечении в вашей системе. К сожалению, это ни в коем случае не должно успокаивать, потому что после скандала с Superfish и Lenovo многие исследователи в области компьютерной безопасности обратили свое внимание на подобный вид уязвимостей. В результате стало ясно, что Superfish только верхушка поразительно огромного айсберга, содержащего десятки или больше подобных adware-приложений, таких как Wajam, Geniusbox, Content Explorer, Komodia, PrivDog.

Все они работают по одному и тому же принципу, который называется HTTPS-hijacking, т.е. перенаправление всех запросов из браузера пользователя через дополнительный прокси-сервер. Таким образом, перехватывая все запросы на доступ, отправляемые пользователем в интернет, злоумышленники могут управлять содержимым его браузера, например, для вставки рекламных объявлений на страницы, которые он открывает.

Эта, казалось бы, относительно невинная практика может иметь крайне серьезные последствия, так как она полностью обходит и игнорирует протоколы для безопасного серфинга на так называемых https-сайтах, включая те, которые предоставляют услуги онлайн-банкинга. Соответственно, при заходе на такой https-сайт, полагая, что просмотр происходит через зашифрованный, защищенный режим, пользователь в действительности обменивается с сайтом исключительно важными личными данными, причем полностью свободно. Это позволяет злоумышленникам легко перехватывать номера банковских счетов, кредитных и дебетовых карт, адреса, телефоны и прочее.

Как узнать, есть ли у вас проблемы?

В настоящее время одним из самых простых и быстрых способов проверить наличие установленного HTTPS-hijacking adware-приложения является сайт https://filippo.io/Badfish/

Он имеет встроенный сценарий сканирования компьютера, который через несколько секунд сообщит о наличии (или отсутствии) в вашей системе установленных небезопасных приложений, таких как Superfish.

Так что если вы увидите сообщение такого рода:

значит ваша система в порядке.

Однако если сообщение будет таким:

это значит, что компьютер уязвим, и требуется предпринять соответствующие меры.

Что можно сделать?

Удаление этого типа угрозы не сильно отличается от метода устранения Superfish.

Первый шаг заключается в том, чтобы удалить все найденные adware-приложения в меню «Программы и компоненты». Затем нужно открыть Microsoft Management Console и вручную удалить все подозрительные SSL-сертификаты, установленные adware-программами.

Для этого нажмите Win + R, чтобы открыть диалог «Выполнить» и в поле запуска введите команду mmc, чтобы открыть консоль. В окне консоли выберите «Файл» -> «Добавить или удалить оснастку», выделите секцию «Сертификаты» в левой панели («Доступные оснастки») и переместите в правую панель («Выбранные оснастки») нажатием кнопки «Добавить». В следующем диалоговом окне выберите «Учетной записи компьютера» и нажмите «Далее» -> «Готово» -> «OK».

Это покажет все SSL-сертификаты, установленные на компьютере. Найдите раздел «Доверенные корневые центры сертификации» и проверьте список на наличие подозрительных записей. Что я имеем в виду? Речь идет о сертификатах, выданных любой из следующих компаний:

• Sendori
• Purelead
• Rocket Tab
• Super Fish
• Lookthisup
• Pando
• Wajam
• WajaNEnhance
• DO_NOT_TRUSTFiddler_root (Fiddler is a legitimate developer tool but malware has hijacked their cert)
• System Alerts, LLC
• CE_UmbrellaCert

Обратите внимание, что это сравнительно ограниченный список, актуальный на момент публикации этого материала, но вполне возможно, что в будущем он увеличится.

Если вы найдете одно из таких имен в списке сертификатов, щелкните на нем правой кнопкой мыши и выберите «Удалить».

Как защитить себя?

Как уже упоминалось, список опасных adware-приложений по типу Superfish постоянно растет. Другими словами, если вы удалите угрозу для безопасности компьютера сегодня, это не значит, что завтра ему не будет угрожать другая разновидность Superfish.

Следует принять необходимые меры предосторожности, чтобы свести к минимуму риски для вашей личной информации.

В качестве профилактического средства проверяйте систему на наличие инфекции с помощью сценариев сканирования на https://filippo.io/Badfish/. Просто добавьте этот сайт в список избранного и время от времени посещайте его. Если вы действительно беспокоитесь о безопасности вашего компьютера, тогда сделайте этот сайт стартовой страницей, чтобы она открывалась автоматически каждый раз при загрузке браузера.

Скачайте и установите одно из Click-to-play-расширений. Это небольшие и очень полезные инструменты, которые мешают автоматическому выполнению различных сценариев, встроенных в веб-страницы. Часто они используются для скрытой установки различных рекламных приложений, замаскированных под анимированные рекламные объявления или другое содержание. Опция Click-to-play позволяет выбрать, какие Flash-скрипты должны выполняться, что значительно снижает риск скрытого заражения компьютера.

Серфинг с умом – это одна из наиболее важных и конструктивных мер предосторожности, которые вы можете предпринять. Будьте осторожны с тем, какие сайты вы открываете, что с них скачиваете и что устанавливаете. Многие бесплатные программы часто содержат возможности для установки дополнительных приложений как часть их собственного процесса установки. Если вы не смотрите, что выбираете во время установки, то можете стать невольным обладателем и кучи программ, которые не ясно когда и каким образом оказались на вашем компьютере. Чтобы быть полностью уверенным, что этого не произойдет, я рекомендую скачивать и устанавливать freeware (бесплатные) приложения с помощью программы-посредника. В настоящее время лучшая из них называется Ninite.

Через нее можно загрузить и установить огромное количество свободного программного обеспечения, но без страха, что оно намеренно или случайно заразит систему рекламными или вредоносными программами.

Если вы хотите еще больше повысить уровень безопасности при просмотре интернета, можете скачать и установить инструменты, такие как Microsoft Enhanced Mitigation Experience Toolkit (EMET) и/или Malwarebytes Anti-Exploit. Они служат для активации дополнительных механизмов защиты от вредоносных атак и фильтрации входящего и исходящего интернет-трафика.

Наконец, убедитесь, что у вас включена автоматическая установка критически важных обновлений Windows, чтобы быть уверенным, что операционная система защищена от потенциальных угроз для ее безопасности.