防病毒软件可使您的计算机免受恶意软件,病毒,在线威胁和可疑或有害元素的安全。虽然绕过这种保护卫兵对攻击者来说是一项艰巨的任务,但他们永远不会停止尝试这样做。最近,我们遇到了一个恶意软件,旨在通过禁止证书干扰受感染的系统的安全软件。此恶意软件称为CertLock。
感染链
CERTLOCK通过与其他自由软件捆绑在一起进入受害者的系统。在受感染的系统上,当用户尝试访问其已安装的安全软件时,它们会遇到错误消息,说到访问受到窗口阻止。恶意软件还阻止了在受感染系统中的安全程序的新安装。如果没有任何安全,这些系统都是裁军,因此完全保持攻击者的怜悯。
CERTLOCK操纵系统证书的Windows功能。这些证书由操作系统信任,并且可以通过应用程序使用来使自己值得信赖。在这种情况下,攻击者将安全软件的证书添加到Windows的特殊注册表,这可以防止与该证书签名的程序签名。
这些证书在下面的注册表项下添加:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ SystemCertificates \ Disallowed \证书
证书’S键将在诸如blob中的证书值添加到上面的注册表中。
任何具有在上面密钥下注册的证书的软件都不被识别为可信发布者,这可以防止其在受感染的计算机中的安装或执行。
SEQRITE检测
CertLock不会影响安装的SEQRITE产品的功能,也不会阻止任何新安装。
SEQRITE.’s 行为检测系统成功检测和阻止CERTLOCK以执行任何恶意活动。
SEQRITE.通过基于签名的检测来检测CertLock Malware的恶意文件‘Trojan.CertLock’.
保持安全防范恶意软件等步骤,如Certlock
- 自由软件,特别是那些没有未能过度出版商的软件通常被攻击者使用攻击者来传播恶意软件。始终去真实和许可的软件。
- 使用提供多层保护的安全软件。让软件更新以保持最新和新兴威胁的安全。
- 始终保留使用最新更新修补的操作系统和程序。
承认
主题专家
- Prashil Moon |快速治疗安全实验室
暂无评论