Удаляем сертификаты зловредной adware от Lenovo
Недавно было обнародовано вопиющее поведение компании Lenovo, предустанавливающей на свои ноутбуки рекламное ПО. Оно не только вставляет рекламу в страницы, но и внедряет в систему SSL-сертификат, позволяющий сканировать зашифрованный трафик. Конечно же, этот сертификат был взломан и теперь безопасность всех пользователей ноубуков Lenovo под угрозой.
Компания разместила инструкцию по удалению программы, но к сожалению, они упустили из виду вопрос удаления самого сертификата, который при этом не исчезает из системы. Вот инструкция для тех, кто не хочет переустанавливать систему с нуля.
Сертификат размещается в хранилище сертификатов Windows. Некоторые программы, например Mozilla Firefox и Mozilla Thunderbird, используют свои хранилища, куда он тоже может быть внедрён. Для обеспечения безопасности необходимо удалить сертификат отовсюду.
Первый шаг избавления от назойливого adware – удаление самой программы. Это делается через обычную «Установку и удаление программ». Программа называется «Superfish Inc. VisualDiscovery».
Затем необходимо удалить сертификат из хранилища Windows. Для этого надо запустить программу certmgr.msc (через Пуск или командную строку). В открывшемся окне слева выбрать пункт Trusted Root Certification Authorities / Certificates. Затем справа найти сертификат Superfish, Inc и сжечь удалить его.
Если вы пользуетесь продуктами Mozilla, то это ещё не всё. В Firefox зайдите в расширенные настройки и выберите вкладку «Сертификаты».
Найдите в списке сертификатов Superfish и удалите его (кнопка Delete or Distrust).
В Thunderburd действия те же. Зайти в настройки.
Просмотреть сертификаты и удалить Superfish.
Теперь ваша система чиста от зловредной программы и с этого момента у вас всё будет хорошо.
Для проверки успешности удаления направьте ваш браузер на специальный проверочный сайт.
SweetLabs App Platform — что это за программа?
SweetLabs App Platform — потенциально опасное ПО, возможно рекламный модуль, тулбар, сомнительная программа.
Необходимо просканировать компьютер следующими утилитами: Dr.Web CureIt!, AdwCleaner, HitmanPro.
SweetLabs App Platform — разбираемся
SweetLabs это разработчик софта, который создал утилиту Pokki Start Menu, предназначенную для возвращения привычного меню Пуск в операционке Windows 8. Меню добавляется примерно такое:
Есть встроенный поиск, используя который можно искать данные (например программы, посещенные сайты и прочее):
Однако при сканировании ПК антивирусом или антивирусными утилитами — может появиться угроза Adware.SweetLabs.2:
Что это? Всего несколько вариантов:
- Это потенциально опасное ПО, которое было установлено вместе с программой Pokki.
- В проге Pokki Start Menu обнаружен подозрительный код, на который антивирус реагирует как опасный. Сама утилита — не опасна, это факт. Разработчик даже сотрудничал с компанией Lenovo, чтобы на их ноутах была эта утилита.
- Просто ложное срабатывание. Этот вариант тоже не редкость.
Решение — просканировать компьютер специальными утилитами и удалить угрозу, предварительно создав точку восстановления. Если будет удалена утилита для возвращения пуск — восстановите ПК до состояние, когда утилита еще была (если вам нужна она вообще).
Надеюсь данная информация оказалась полезной. Удачи и добра, до новых встреч друзья!
«Доктор Веб»: обзор вирусной активности в марте 2022 года
В марте анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 53.2% по сравнению с февралем. При этом количество уникальных угроз также увеличилось на 46.66%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений. В почтовом трафике чаще всего распространялось разнообразное вредоносное ПО, в том числе различные трояны-загрузчики.
Число обращений пользователей за расшифровкой файлов увеличилось на 13.2% по сравнению с прошлым месяцем. Самым распространенным энкодером марта стал Trojan.Encoder.26996, на долю которого приходится более четверти всех инцидентов.
Главные тенденции марта
- Увеличение количества уникальных угроз;
- Рекламные приложения по-прежнему остаются главной угрозой.
По данным сервиса статистики «Доктор Веб»
Угрозы прошедшего месяца:
Adware.SweetLabs.5 Альтернативный каталог приложений и надстройка к графическому интерфейсу Windows от создателей Adware.Opencandy. Adware.Downware.19998 Рекламное ПО, выступающее в роли промежуточного установщика пиратских программ. Trojan.Siggen17.24247 Модификация семейства Siggen. Adware.OpenCandy.247 Семейство приложений, предназначенных для установки на компьютер различного дополнительного рекламного ПО. Trojan.AutoIt.710 Утилита, написанная на скриптовом языке AutoIt и распространяемая в составе майнера или RAT-трояна.
Статистика вредоносных программ в почтовом трафике
W97M.DownLoader.2938 X97M.DownLoader.922 Семейство троянов-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ. Trojan.Siggen17.24247 Модификация семейства Siggen. BackDoor.SpyBotNET.25 Бэкдор, написанный на VB.NET. Способен манипулировать файловой системой (копирование, удаление, создание директорий и т. д.), завершать процессы, делать снимки экрана. HTML.FishForm.279 Веб-страница, распространяющаяся посредством фишинговых рассылок. Представляет собой фиктивную форму ввода учетных данных, которая имитирует авторизацию на известных сайтах. Введенные пользователем данные отправляются злоумышленникам.
Шифровальщики
По сравнению с февралем, в марте число запросов на расшифровку файлов, затронутых шифровальщиками, увеличилось на 13.26%.
- — 26.23% — 13.99% — 8.04%
- Trojan.Encoder.30356 — 1.40% — 1.05%
Dr.Web Security Space для Windows защищает от троянцев-шифровальщиков
Опасные сайты
В марте 2022 года интернет-аналитики «Доктор Веб» заметили увеличение числа сайтов, которые якобы выплачивают деньги за просмотр видео. Предполагается, что потенциальная жертва окажется на сайте, где обязательным элементом регистрации будет ввод данных банковской карты. На деле же злоумышленники получат ценные данные, а жертве не заплатят ничего.
На скриншоте изображен пример описываемой страницы. Здесь указаны расценки за просмотр видео и восторженные отзывы тех, кто уже якобы заработал на этом.
Вредоносное и нежелательное ПО для мобильных устройств
В марте компания «Доктор Веб» предупредила пользователей о троянах CoinSteal, созданных для кражи криптовалют у владельцев устройств под управлением Android и iOS. Злоумышленники встроили эти вредоносные приложения в некоторые версии популярных криптокошельков, таких как imToken, MetaMask, Bitpie и TokenPocket, чтобы распространять их под видом оригиналов. Трояны похищали секретные seed-фразы, необходимые для доступа к криптокошелькам.
Кроме того, наша вирусная лаборатория обнаружила очередные угрозы в каталоге Google Play. Среди них — программы-подделки Android.FakeApp и троян Android.PWS.Facebook.134. Первые применяются в различных мошеннических схемах. Второй — похищает конфиденциальные данные, необходимые для доступа к учетным записям пользователей социальной сети Facebook (деятельность сети запрещена на территории России).
Анализ статистики детектирований антивирусных продуктов Dr.Web для Android показал, что наиболее распространенной угрозой в марте вновь стал троян Android.Spy.4498, крадущий информацию из уведомлений от других приложений. При этом по сравнению с предыдущим месяцем его активность несколько снизилась. В то же время опасность по-прежнему представляют и рекламные трояны.
Наиболее заметные события, связанные с «мобильной» безопасностью в марте:
- снижение активности трояна-шпиона Android.Spy.4498;
- высокая активность рекламных троянов;
- обнаружение вредоносных приложений, предназначенных для кражи криптовалют пользователей Android- и iOS-устройств.
Более подробно о вирусной обстановке для мобильных устройств в марте читайте в нашем обзоре обзоре.
Adware.SweetLabs.5: что это такое, как удалить?
Сегодня многие люди сталкиваются с фактом обнаружения на своих компьютерах определенного файла Adware.SweetLabs.5. Большинство не знает, что это такое, нужно ли, а если нет, то как его удалить с устройства. Это действительно рекламный модуль для ПК – “Adware”.
Имеет несколько вариаций с разными названиями. Эта программа интегрируется в браузер и начинает показывать контекстную всплывающую рекламу при посещении сайтов.Adware.SweetLabs.5 — разработчик программного обеспечения, создавший утилиту Pokki Start Menu, призванную вернуть знакомое меню «Пуск».
Это потенциально опасное программное обеспечение, которое было установлено вместе с программой Pokki.
В программе Pokki Start Menu обнаружен подозрительный код, на который антивирус реагирует как на опасный. Утилита сама по себе не опасна, это факт. Разработчик также сотрудничал с Lenovo, чтобы установить эту утилиту на свои ноутбуки.
Просто ложное срабатывание. Этот вариант тоже не редкость.
Несмотря на то, что этот софт почти не вреден, он не ворует информацию, но усложняет сам процесс использования браузера. Мало кто хочет навсегда закрывать всплывающие окна.
Что говорит Антивирус Доктор Веб
На официальном сайте Dr.Web регулярно публикуются угрозы, с которыми часто сталкивается антивирус. Just Adware является одной из частых угроз.
Существует несколько вариантов рекламного модуля:
Adware.SweetLabs.5, представленный как альтернативный каталог приложений и как специальное дополнение к графическому интерфейсу операционной системы. Создатель – “Adware.Opencandy”.
Adware.Elemental.17 — это семейство рекламного ПО, которое может получать доступ к устройствам через подмену ссылок на файлообменниках. В этом случае вместо нужных файлов пользователь получит приложение с рекламой, которое затем сможет установить на устройство совершенно ненужное ПО.
Adware.Downware.19856 — рекламное ПО, устанавливающее пиратские программы.
Как защитить себя от рекламных программ
Часто рекламные программы не имеют процедуры удаления и могут использовать технологии, аналогичные тем, которые используются вирусами для проникновения на компьютер и бесшумной работы. Однако, поскольку на вашем компьютере может присутствовать рекламное ПО, антивирусные решения не всегда могут определить серьезность конкретного рекламного ПО. Продукты «Лаборатории Касперского» позволяют вам выбирать, обнаруживать ли рекламные программы и как реагировать на них.