防病毒软件可保护您的计算机免受恶意软件,病毒,在线威胁以及可疑或有害元素的侵害。尽管绕过此防护措施对攻击者而言是一项艰巨的任务,但他们从未停止尝试这样做。最近,我们发现了一种恶意软件,该恶意软件旨在通过禁止其证书来干扰受感染系统的安全软件。该恶意软件称为CertLock。
感染链
CertLock通过与其他免费软件捆绑在一起进入受害者的系统。在受感染的系统上,当用户尝试访问其安装的安全软件时,他们会遇到一条错误消息,指出该访问已被Windows阻止。该恶意软件还阻止了受感染系统中新安装的安全程序。没有任何安全性,这些系统就无法防御,因此完全由攻击者控制。
CertLock操纵Windows系统证书的功能。这些证书受操作系统信任,并且可以由应用程序用来使其自身可信任。在这种情况下,攻击者将安全软件的证书添加到Windows的特殊注册表中,以防止使用该证书签名的程序在系统上执行。
这些证书添加在下面的注册表项下:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ SystemCertificates \ Disallowed \ Certificates
证书’s的密钥会以blob中的证书值添加到上述注册表中。
使用上述密钥注册了证书的任何软件都不会被识别为受信任的发布者,这将阻止其在受感染的计算机中安装或执行。
序列检测
CertLock不会影响已安装的Seqrite产品的功能,也不会阻止任何新安装。
序列’s 行为检测系统 成功检测并阻止CertLock进行任何恶意活动。
序列 通过基于签名的检测来检测CertLock恶意软件的恶意文件‘Trojan.CertLock’.
防范恶意软件(如CertLock)的步骤
- 攻击者通常使用免费软件,尤其是发布商未经验证的软件,来传播恶意软件。务必购买正版和许可的软件。
- 使用提供多层保护的安全软件。保持软件更新,以免受最新和新兴威胁的侵害。
- 始终使用最新更新对操作系统和程序进行修补。
致谢
主题专家
- Prashil Moon |快速修复安全实验室
没意见