[You must be registered and logged in to see this image.]След проникване в компютъра, вирусът блокира сертификатите на антивирусните програми, създавайки в системния регистър ключ с копие на сертификата.
Това е една нова тенденция сред рекламните и вирусните вредоносни програми, при която се използват защитни за вредоносния код решения, блокиращи работата на антивирусите и усложняващи тяхното премахване. Една от тези коварни зарази е CertLock, за първи път забелязана от потребител на форум по въпросите по компютърната безопасност.
BeepingComputer съобщи, че в края на месец май потребителите са започнали масово да съобщават, че не могат да инсталират и стартират антивирусни програми на своите компютри. При опит за пускане на програмата се появява съобщение, че производителят на този софтуер е блокирал това приложение. Оказа се, че причината е
CertLock, който блокира сертификатите на антивирусния пакет, производителят счита програмата за крадена или нередовна, а Windows блокира нейното стартиране.
CertLock вече се разпознава от антивирусите като
Ceram или
Wdfload. Най- често се разпространява заедно със софтуер за добив на криптовалута. Така например, хешът за сертификата на ESET има вида F83099622B4A9F72CB5081F742164AD1B8D048C9.
За блокирането на този сертификат CertLock създава следния ключ в системния регистър:
HKLMSOFTWAREMicrosoftSystemCertificatesDisallowedCertificatesF83099622B4A9F72CB5081F742164AD1B8D048C9След като той бъде добавен в списъка с блокираните, при всеки опит за стартиране на програма, подписана с него, се появява следното:
Освен това, антивирусната програма не само не може да бъде инсталирана, но и не могат да бъдат стартирани вече инсталираните версии на антивируса.
/kaldata.com