IT обозрение


Новости интернета и компьютерных технологий

Троян CertLock блокирует антивирусы, отменяя их сертификаты

10 июня
15:12 2017

Троян CertLock блокирует антивирусы, отменяя их сертификаты

После установки на компьютере вредонос блокирует сертификаты, создавая в реестре Windows ключ с указанием отпечатка сертификата.
Среди распространителей рекламного и нежелательного ПО появилась новая тенденция устанавливать «защитные» решения, блокирующие работу антивирусов и усложняющие устранение вредоносов. К числу таких «решений» относится программа CertLock, замеченная пользователями одного из форумов, посвященных вопросам безопасности.
По информации издания BeepingComputer, в конце мая пользователи начали сообщать о том, что не могут установить и запустить антивирус на своих инфицированных компьютерах. При попытке запуска на экране появлялось уведомление о блокировке издателя данного приложения. Как оказалось, причина заключалась в CertLock, который блокировал сертификаты производителей антивирусного ПО, что приводило к запрету Windows запуска программы.
CertLock, детектируемый антивирусами как Ceram или Wdfload, распространяется в составе пакетов нежелательного ПО, такого как майнеры. После установки на компьютере вредонос блокирует сертификаты, создавая в реестре Windows ключ с указанием отпечатка сертификата. К примеру, отпечаток сертификата ESET имеет вид F83099622B4A9F72CB5081F742164AD1B8D048C9. Для блокировки данного сертификата CertLock создаст следующий ключ:

HKLMSOFTWAREMicrosoftSystemCertificatesDisallowedCertificatesF83099622B4A9F72CB5081F742164AD1B8D048C9

После того как сертификат будет добавлен в список заблокированных, при каждом запуске программ, им подписанных, появится сообщение об ошибке.

Троян CertLock блокирует антивирусы, отменяя их сертификаты

Более того, пользователи не смогут не только инсталлировать ПО, но и открывать программы, которые уже установлены на компьютере.
Для решения этой проблемы специалист компании Malwarebytes Жером. Б (Jérôme.B) разработал инструмент под названием AVCertClean, который осуществляет поиск и автоматически удаляет заблокированные сертификаты.

Источник: securitylab.ru


Статьи по теме

0 0 vote
Article Rating
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments

Последние новости

    Epic Games запустила в Fortnite платежи без комиссии Apple. А та удалила Fortnite из App Store. А Epic Games не растерялась и подала на Apple в суд

2:19 Epic Games запустила в Fortnite платежи без комиссии Apple. А та удалила Fortnite из App Store. А Epic Games не растерялась и подала на Apple в суд

0 комментариев Читать всю статью