Троян CertLock блокирует антивирусы, отменяя их сертификаты

Среди распространителей рекламного и нежелательного ПО появилась новая тенденция устанавливать «защитные» решения, блокирующие работу антивирусов и усложняющие устранение вредоносов. К числу таких «решений» относится программа CertLock, замеченная пользователями одного из форумов, посвященных вопросам безопасности.

По информации издания BeepingComputer, в конце мая пользователи начали сообщать о том, что не могут установить и запустить антивирус на своих инфицированных компьютерах. При попытке запуска на экране появлялось уведомление о блокировке издателя данного приложения. Как оказалось, причина заключалась в CertLock, который блокировал сертификаты производителей антивирусного ПО, что приводило к запрету Windows запуска программы.

CertLock, детектируемый антивирусами как Ceram или Wdfload, распространяется в составе пакетов нежелательного ПО, такого как майнеры. После установки на компьютере вредонос блокирует сертификаты, создавая в реестре Windows ключ с указанием отпечатка сертификата. К примеру, отпечаток сертификата ESET имеет вид F83099622B4A9F72CB5081F742164AD1B8D048C9. Для блокировки данного сертификата CertLock создаст следующий ключ:

 HKLMSOFTWAREMicrosoftSystemCertificatesDisallowedCertificatesF83099622B4A9F72CB5081F742164AD1B8D048C9  

После того как сертификат будет добавлен в список заблокированных, при каждом запуске программ, им подписанных, появится сообщение об ошибке.

Более того, пользователи не смогут не только инсталлировать ПО, но и открывать программы, которые уже установлены на компьютере.

Для решения этой проблемы специалист компании Malwarebytes Жером. Б (Jérôme.B) разработал инструмент под названием AVCertClean, который осуществляет поиск и автоматически удаляет заблокированные сертификаты.

Источник