Премахване на Lenovo Superfish Malware

В края на 2014 г. големият производител Lenovo пуска на пазара лаптопи с преинсталиран Windows, в който е включена добавка за браузера, наречена Superfish Visual Discovery, която анализира визуализираните изображения и ако установи, че това е продукт, ви изпраща целева реклама от повече от 70000 магазина.

Superfish не само „превзема“ вашия браузер, за да ви изпраща реклами. Той инсталира и самоподписан root HTTPS сертификат, който „превзема“ сертификата, осигуряващ сигурност на връзката, напр., с вашата банка. От друга страна частните криптиращи ключове на всички компютри Lenovo са еднакви! В крайна сметка това означава, че зловредните мрежи не могат да бъдат установени и блокирани, ако ползвате Lenovo PC.

За да станат нещата още по-лоши, Rob Graham от Errata Security е разбил ключа на сертификата на Superfish, което позволява на всеки да извърши MITM ( man in the middle ) атака върху PC, на което този сертификат е инсталиран.

На първо място трябва да проверите дали вашият компютър е заразен. Посетете https://filippo.io/Badfish/ и проверете резултата. Ако е като този по-долу можете да бъдете относително спокойни.

Ако обаче отговорът е „Yes“, е необходимо да вземете мерки:

1. Стартирайте Run командата (WIN+R) и въведете certmgr.msc. След като Windows certificate manager се отвори, потърсете Trusted Root Certification Authorities, отворете за да се покаже Certificates и в десния панел намерете Superfish, Inc., след което го изтрийте.

2. Стартирайте Run командата (WIN+R) и въведете mmc.exe. След отварянето на Microsoft Management Console изпълнете следната последователност: File > Add/Remove > Certificates > Add > Computer Account > Next > Local Computer > Finish > OK. След това продължете, както е описано в т. 1.

Superfish hijack засяга браузерите Internet Explorer и Google Chrome, но не и Mozilla Firefox, който използва собствена сертификатна система.

3. Под Internet Explorer: чукнете върху настройките (зъбно колело) в горния десен ъгъл на прозореца, изберете Internet Options, селектирайте раздела Content и чукнете върху Certificates. Потърсете Superfish или Visual Discovery в Intermediate Certification Authorities и в Trusted Root Certification Authorities. Ако ги открите, изтрийте ги с  Remove. Рестартирайте компютъра.

4. In Google Chrome: чукнете върху настройките (три линии), изберете Settings > Show Advanced Settings. Превъртете до HTTPS/SSL и изберете Manage Certificates. Потърсете Superfish или Visual Discovery в Intermediate Certification Authorities и в Trusted Root Certification Authorities. Ако ги открите, изтрийте ги с  Remove. Рестартирайте компютъра.

След това е необходимо да изтриете самата добавка, като за целта използвате Control Panel > Uninstall a Program > Visual Discovery > Uninstall. Ако деинсталирате добавката, без да сте премахнали сертификата, проблемът си остава!

5. Използвайте Windows Defender. Стартирайте програмата, уверете се че е актуализирана, и я оставете да изтрие Superfish и всички следи от него.

6. Ако не използвате Windows Defender, а антивирусен пакет от трети производител, проверете за актуализации и сканирайте системата.

Ако това не помогне, ще трябва ръчно да изтриете сертификата, както е описано по-горе. Или за по-сигурно направо преминете на Linux!

Източници:

Lenovo Laptop Owners Beware: Your Device May Have Preinstalled Malware

Lenovo Shipping PCs with Pre-Installed 'Superfish Malware' that Kills HTTPS

Here's How to Remove Superfish Visual Discovery from Your Lenovo PC

Lenovo's Security-Killing Adware: How to Get Rid of It