Sicherheitsforscher beobachten einen neuen Trend: Schadsoftware, die Sicherheitsprodukte wie Virenscanner aushebeln kann. Windows-Trojaner Der CertLock blockt die Installation von Virenscannern.
Anzeige
Stell dir vor, Du willst einen Fremdvirenscanner oder ein Sicherheitsprodukt unter Windows installieren und das geht nicht? Vermutlich wird auf Microsoft geschimpft und behauptet, dass die diese Installation geblockt hätten.
CertLock blockt AV-Zertifikate
Der Schuldige könnte aber der CertLock-Trojaner sein, den sich der Betroffene auf seinem Windows-System eingefangen hat. Sicherheitsforscher beobachten seit Ende Mai 2017 verstärkt Hilferufe von Anwendern in Formen. Diese beklagen sich, dass es unmöglich sei, Virenscanner auf einem infizierten PC zu installieren oder auszuführen. Beim Versuch der Installation oder beim Starten erscheint eine Meldung, dass der Hersteller der Software auf dem System blockiert worden sei.
Das ist natürlich eine doofe Situation, wenn jemand eine Infektion mit Schadsoftware vermutet und dies per Antivirusprogramm verifizieren möchte. Obwohl man auf einem infizierten System eigentlich keinen Virenscanner mehr installiert, sondern eine Offline-Prüfung veranlasst.
Eine Analyse der Situation durch Sicherheitsforscher hat einen interessanten Ansatz festgestellt, die die Malware verwendet. CertLock sperrt einfach das Zertifikat des betreffenden Antivirus-Anbieters unter Windows. Dann löst Windows beim Versuch, die Software zu installieren oder zu starten, die betreffende Fehlermeldung aus und verweigert den Programstart.
Anzeige
Wie macht CertLock das?
Der Trojaner legt dazu einen entsprechenden eigenen Schlüssel in der Registrierung im Zweig:
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\
an. Der Unterschlüssel unter Certificates wird dann an den betreffenden AV-Hersteller angepasst. Bei ESET trägt der Unterschlüssel den Namen
F83099622B4A9F72CB5081F742164AD1B8D048C9
Durch die Manipulation der Registrierung wird dann das Zertifikat des Herstellers in die Sperrliste einsortiert, was die Ausführung der Software unterbindet. Bei AVAST blockiert der Schädling sogar die Kommunikation mit den AVAST-Hosts per hosts-Datei, um den Download von Dateien zu unterbinden.
Wie kann man CertLock entfernen?
Bleeping Computer schreibt, dass der Entwickler von AdwCleaner Jérôme.B das Tool AVCertClean entwickelt habe. Dieses ermöglicht, die Registrierung auf Disallowed-Einträge für legitime Software-Zertifikate zu scannen und die CertLock-Schlüssel enfernen kann.
Wie fängt man sich CertLock ein?
CertLock wird übrigens über nicht erwünschte Programm-Bundles in Crypto.-Geld-Minern oder ähnlichem verteilt und mit installiert, wie Bleeping Computer hier schreibt. Im englischsprachigen Artikel sind noch einige zusätzliche Informationen zu CertLock zu finden.
Anzeige