Троян CertLock блокирует антивирусы, отменяя их сертификаты

Троян CertLock блокирует антивирусы, отменяя их сертификаты

После установки на компьютере вредонос блокирует сертификаты, создавая в реестре Windows ключ с указанием отпечатка сертификата.

Среди распространителей рекламного и нежелательного ПО появилась новая тенденция устанавливать «защитные» решения, блокирующие работу антивирусов и усложняющие устранение вредоносов. К числу таких «решений» относится программа CertLock, замеченная пользователями одного из форумов, посвященных вопросам безопасности.

По информации издания BeepingComputer, в конце мая пользователи начали сообщать о том, что не могут установить и запустить антивирус на своих инфицированных компьютерах. При попытке запуска на экране появлялось уведомление о блокировке издателя данного приложения. Как оказалось, причина заключалась в CertLock, который блокировал сертификаты производителей антивирусного ПО, что приводило к запрету Windows запуска программы.

CertLock, детектируемый антивирусами как Ceram или Wdfload, распространяется в составе пакетов нежелательного ПО, такого как майнеры. После установки на компьютере вредонос блокирует сертификаты, создавая в реестре Windows ключ с указанием отпечатка сертификата. К примеру, отпечаток сертификата ESET имеет вид F83099622B4A9F72CB5081F742164AD1B8D048C9. Для блокировки данного сертификата CertLock создаст следующий ключ:

 HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9
 

После того как сертификат будет добавлен в список заблокированных, при каждом запуске программ, им подписанных, появится сообщение об ошибке.


Более того, пользователи не смогут не только инсталлировать ПО, но и открывать программы, которые уже установлены на компьютере.

Для решения этой проблемы специалист компании Malwarebytes Жером. Б (Jérôme.B) разработал инструмент под названием AVCertClean, который осуществляет поиск и автоматически удаляет заблокированные сертификаты.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.