Una nuova tendenza tra i programmatori di adware e programmi indesiderati è quella di installare software di protezione per i propri programmi che rendono difficile l’avvio dei software di sicurezza e pulizia dalle infezioni agli utenti Windows. Questo metodo era già stato usato dal rootkit Smartservice e ora viene nuovamente usato da un programma chiamato CertLock. Dalla fine di Maggio, i forum di sicurezza informatica hanno riportato testimonianze di utenti non più in grado di installare ed eseguire programmi di sicurezza nei propri computer infetti. Infatti, nel momento in cui un utente prova ad avviare uno di questi programmi, viene avvisato dal sistema che il publisher è stato bloccato e non può procedere all'avvio. Si è scoperto che questi problemi sono causati da CertLock che disattiva il certificato dell'azienda di sicurezza nel computer infetto così da non permettere a Windows di avviare il programma.
CertLock disattiva il certificato di sicurezza del venditore
Essendo solitamente rilevato dagli antivirus come trojan Ceram o Wdfload, CertLock viene diffuso
tramite "bundle" di programmi indesiderati, come programmi miner. Una volta installati, CertLock blocca il certificato dell'azienda di sicurezza aggiungendoci una chiave di registro del sistema Windows speciale. Ne consegue il blocco da parte di Windows di tutti i programmi firmati con questo certificato. CertLock blocca il certificato creando una sottochiave denominata utilizzando l’impronta del certificato che vuole bloccare la chiave:
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\
Per esempio, su un certificato con quest’impronta:
F83099622B4A9F72CB5081F742164AD1B8D048C9
CertLock creerà una chiave di registrazione chiamata:
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9
Sotto questa chiave ci sarà un singolo BLOB (binary large object: un oggetto binario di grandi dimensioni) che contiene le informazioni del certificato. Se un certificato è aggiunto alla lista di quelli non permessi, quando l’utente cerca di eseguire il programma firmato con questo certificato verrà avvisato da una nota che dichiara che il publisher non può avviare il software nella macchina.
Bloccare certificati non solo previene l’avvio degli installer firmati, ma anche dei programmi già installati che usano i certificati bloccati. Mentre CertLock disabilita l’uso del certificato dei programmi di sicurezza, ne previene anche l’attivazione puntando numerosi hostname (nomi identificativi) usando i file Windows HOST così da non permettere al computer di connettersi a questi. CertLock genera infatti un file contenente una lista degli hostname associati ai programmi di sicurezza, per poi analizzarli e aggiungerli al file Windows HOST.
Come rimuovere i certificati Disallowed di CertLock
Jérôme.B, co-amministratore di ToolsLib.com e sviluppatore di Malwarebytes AdwCleaner ha creato uno strumento chiamato AVCertClean che analizzerà la chiave di registro disattivata per legittimare la chiave di blocco e rimuoverli. Per poter usare questo strumento basta scaricarlo ed avviarlo sulla macchina. Il programma rimuoverà automaticamente i certificati bloccati. Quando il programma avrà finito, mostrerà un log con la lista dei certificati che sono stati puliti. A questo punto gli utenti potranno installare e avviare i loro programmi di sicurezza per pulire i propri computer. Probabilmente gli utenti dovranno riavviare l’applicazione per poterle eseguire.
Registri associati a CertLock
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\[computer_name] %temp%\[temp_name].tmp.exe
Nessun commento:
Posta un commento