FinFisher – uniknij wielkiego brata, jak usunąć szkodnika manualnie

Na naszym blogu w ramach wyjaśniania tego do czego służy złośliwe oprogramowanie typu spyware wspominaliśmy o wykorzystywanym przez agencje rządowe oprogramowaniu FinFisher, znanym również jako FinSpy. Dla przypomnienia, służy ono do śledzenia prywatności podejrzanych i jest rozwijane przez brytyjską firmę Gamma International Gmbh. Samo oprogramowanie, nie jest ogólnodostępne. Istnieje także wersja FinFisher'a na urządzenia mobilne. To narzędzie posiada jeszcze większą funkcjonalność niż narzędzie przeznaczone na standardowe komputery. Potrafi ono monitorować przychodzące i wychodzące połączenia telefoniczne oraz wiadomości SMS i e-mail, zapisywać wciskane klawisze, kraść listę kontaktów, włączyć mikrofon, by nagrywać wszystko co dzieje się w otoczeniu telefonu oraz śledzić użytkownika przez sygnał GPS. Paradoksalnie akurat w uniknięciu skutków ostatniej wymienionej funkcjonalności FinSpy Mobile, śledzeniu przy użyciu sygnału GPS, może pomóc zastosowanie innej nielegalnej praktyki mianowicie jamming-u GPS, o którym też wspominaliśmy ostatnio.

Osoby będące przedmiotem śledztw z reguły nie są świadome posiadania malware'u na swoim komputerze, a co za tym idzie nie udostępniają jego próbek. Ponadto FinFisher wykorzystuje luki w innym oprogramowaniu, co przy zbyt późnym ich aktualizowaniu lub nieposiadaniu aktualnych baz sygnatur wirusów może powodować niewykrycie go przez bardzo długi czas. Z resztą FinFisher potrafi także wyłączyć ochronę antywirusową. To czy oprogramowanie firmy Gamma International służy słusznym celom czy nie, nie zmienia faktu, że FinFisher w dalszym ciągu pozostaje oprogramowaniem typu spyware. Mikko Hypponen, Chief Research Officer w firmie F-Secure produkującej oprogramowanie antywirusowe powiedział, że kiedy kopia tego oprogramowania zostanie znaleziona, to napisze antywirusa przeciwko temu narzędziu.

Jak się okazało na początku tego roku Bill Marczak otrzymał próbki pewnego oprogramowania, a potem znalazł dowody na to, że zostało ono wydane przez firmę Gamma International. Opis całego zajścia oraz analiza tego oprogramowania znajduje się tu. Obecnie rozwijane są narzędzia, które mogą pomóc pozbyć się tego złośliwego oprogramowania z zainfekowanych urządzeń. Zanim jednak przytoczymy możliwe sposoby usunięcia tego spyware'u, to napiszemy nieco o sposobach uniknięcia infekcji zarówno komputera jak i urządzenia mobilnego.

Profilaktyka

Aby uniknąć zarażenia tym złośliwym oprogramowaniem wystarczy przestrzegać kilku prostych zasad obowiązujących w stosunku do każdego oprogramowania typu malware. Oczywiście w przypadku gdy osoba trzecia uzyska fizyczny dostęp do naszego urządzenia, to prawdopodobieństwo skutecznej obrony spada diametralnie, ale w przypadku stwierdzenia infekcji komputera będzie można spróbować zastosować się do instrukcji usuwania złośliwego oprogramowania, o czym napisaliśmy w kolejnym paragrafie.

  • Nie klikaj w nieznane odnośniki i nie pobieraj załączników, których się nie oczekiwałeś, nawet jeśli zostały wysłane przez osobę, którą znasz.

  • Nie udostępniaj swojego komputera czy telefonu niezaufanym ludziom. Mogą oni bowiem posiadając fizyczny dostęp do Twojego urządzenia zainstalować na nim złośliwe oprogramowanie takie jak FinFisher.

  • Zawsze chroń swój profil w systemie przy użyciu skomplikowanego hasła (http://www.dlp-expert.pl/articles/id,45/polityka_bezpieczenstwa_kazdego_internauty_.html), a dostęp do swojego urządzenia mobilnego zabezpieczaj przy użyciu PIN-u lub Pattern Lock'a.

  • Zawsze posiadaj aktualny system, wszystkie aplikacje w nim zawarte oraz bazę sygnatur wirusów.

  • Instaluj oprogramowanie tylko z pewnych źródeł.

  • Szyfruj dane na swoim urządzeniu tak, by za każdym razem po ponownym uruchomieniu urządzenia należało podać hasło konieczne do ich odszyfrowania.

Usunięcie szkodnika

Jeśli wymienione wyżej zalecenia zawiodą i zauważymy takie objawy jak gwałtowny spadek wydajności naszego urządzenia, ciągłe przekierowania na nieznane strony Internetowe czy dodatkowe, wcześniej niezauważone, procesy w menadżerze zadań, to znaczy, że należy nabrać podejrzeń. Dodatkową podpowiedzią sugerującą infekcję FinFisher-em może być sprawdzenie czy nasz komputer nie łączy się z serwerami C&C FinFisher'a, których lista adresów IP znajduje się poniżej:

  • 112.78.143.26 (Indonezja)
  • 121.215.253.151 (Australia)
  • 78.100.57.165 (Katar)
  • 213.55.99.74 (Etiopia)
  • 94.112.255.116 (Republika Czeska)
  • 213.168.28.91 (Estonia)
  • 54.248.2.220 (USA)
  • 202.179.31.227 (Mongolia)
  • 80.95.253.44 (Republika Czeska)
  • 81.198.83.44 (Łotwa)
  • 86.97.255.50 (Dubaj, UAE)

Wyścig pomiędzy producentami oprogramowania antywirusowego oraz szpiegującego powoduje, że nie zawsze nasz program antywirusowy wykryje taką infekcję. W związku z tym często pozostaje manualne usunięcie spyware'u.

      W menadżerze zadań należy odnaleźć i unieruchomić proces o nazwie dotnetchk.exe.
      W rejestrze systemu operacyjnego należy odnaleźć poniższe wpisy i usunąć je jeden po drugim:
      – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\???FinFisher??? = ???C:\progra~1\common~1\cmx1\start.exe???
      – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CBDCB339-21C1-4834-9572-51ECC329ABD7}
      – HKEY_LOCAL_MACHINE\SOFTWARE\FinFisher
      – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\2FABB6478E3EAB84C98C6D8AB6155523
      – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\[RANDOM SID]\Components\858132C493B23D11E8D0000CF486730D
      – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\[RANDOM SID]\Products\933BCDBC1C124384592715CE3C92BA7D
      – HKEY_USERS\[RANDOM SID]\Software\Microsoft\Installer\Features\933BCDBC1C124384592715CE3C92BA7D
      – HKEY_USERS\[LOSOWY SID]\Software\Microsoft\Installer\Products\933BCDBC1C124384592715CE3C92BA7D
      – HKEY_USERS\[LOSOWY SID]\Software\Microsoft\Installer\UpgradeCodes\2FABB6478E3EAB84C98C6D8AB6155523
      Z systemu należy także usunąć następujące pliki:
      – %UserProfile%\\Local Settings\\Temp\\cmx1\\FinFisherR_SCREEN.DATACZAS.[LOSOWA DATA I CZAS].png
      – %UserProfile%\\Local Settings\\Application Data\\Protexis\\UserSettings.xml %UserProfile%\\Local Settings\\Temp\\CFGD.tmp
      – %UserProfile%\\Local Settings\\Temp\\cmx1\\FinFisherR_KEY.klog.html %UserProfile%\\Local Settings\\Temp\\VSDB.tmp\\DotNetFX\\dotnetchk.exe %UserProfile%\\Local Settings\\Temp\\VSDB.tmp\\install.log
      – %UserProfile%\\Start Menu\\Programs\\FinFisher.lnk
      – C:\\Documents and Settings\\All Users\\Application Data\\Protexis\\DL\\[LOSOWA NAZWA].dlf
      – C:\\Documents and Settings\\All Users\\Application Data\\Protexis\\State\\[LOSOWA NAZWA].dls
      – %CommonProgramFiles%\\cmx1\\FinFisher.ico
      – %CommonProgramFiles%\\cmx1\\cmx1.dat %CommonProgramFiles%\\cmx1\\setup_dot_net_checker.msi
      – %Windir%\\Installer\\[LOSOWA NAZWA].msi

Oczywiście tak jak wspominaliśmy wcześniej, to oprogramowanie jest ciągle udoskonalane, a pliki oraz wpisy w rejestrze z którego korzysta mogą być zmieniane w kolejnych wersjach. Jednak trzeba też wziąć pod uwagę to, że nawet agencje rządowe mogą nie chcieć ciągle zmieniać oprogramowania na nowsze. Z drugiej jednak strony jeśli już to zrobią, a różnice pomiędzy poszczególnymi wersjami będą na tyle znaczące, że oprogramowanie antywirusowe nie będzie w stanie rozpoznać zagrożenia, to znowu bardzo długo potrwa zanim gdzieś w sieci wypłynie próbka tego szpiega. Dlatego zawsze należy podejmować wszelkie możliwe środki ostrożności w celu zminimalizowania potencjalnego zainfekowania się tym złośliwym oprogramowaniem.

Na zakończenie przedstawiamy Państwu krótki animowany film obrazujący możliwości oprogramowania FinFisher

Źródło: Redakcja