コンピュータへのマルウェアインストール後に、証明書の拇印を示すWindowsレジストリキーを作成し、証明書をブロックします。

アドウェアや不要なソフトウェア拡散の新しいトレンドは、アンチウイルスの動作ををブロックし、悪質なプログラムの除去を複雑にすることです。セキュリティ問題に関するフォーラムの1つのユーザーによって気づいたCertLockプログラムは、これらの「解決策」の数に関係があります。

BeepingComputer社の情報によると、5月下旬に、ユーザーが感染したコンピュータにウイルス対策ソフトウェアをインストールして実行できないことを報告し始めました。実行しようとする際、画面にそのアプリケーションがブロックされたという通知を表示します。既に判明しているように、CertLockにおいて、ウイルス対策ソフトウェアの製造元の証明書をブロックし、Windowsプログラムの実行を禁止したのが、その原因となりました。

CeramまたはWdfloadのようなアンチウイルスによって検出されるCertLockは、例えば鉱山労働者のような、不要なソフトウェアのパッケージの一部として配布されています。コンピュータへのマルウェアインストール後、証明書の拇印を示すWindowsレジストリキーを作成し、証明書をブロックします。例えば、ESETの証明書の拇印は、フォームF83099622B4A9F72CB5081F742164AD1B8D048C9を有しています。この証明書をロックするに、CertLockは、次のキーを作成します。

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9

証明書がブロックリストに追加された後、プログラムを起動するたびに、署名し、エラーメッセージが表示されます。

また、ユーザーがソフトウェアをインストールすることができないだけでなく、すでにコンピュータにインストールされているプログラムを開きます。

この問題を解決するために、Malwarebytes社の専門家ジェローム氏は、証明書をブロックするようなソフトウェアを検索し、自動的に削除するAVCertCleanと呼ばれるツールを開発しました。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida