![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher beobachten einen neuen Trend: Schadsoftware, die Sicherheitsprodukte wie Virenscanner aushebeln kann. Windows-Trojaner Der CertLock blockt die Installation von Virenscannern. <\/p>\nSicherheitsforscher beobachten einen neuen Trend: Schadsoftware, die Sicherheitsprodukte wie Virenscanner aushebeln kann. Windows-Trojaner Der CertLock blockt die Installation von Virenscannern. <\/p>\n
<\/p>\n
Stell dir vor, Du willst einen Fremdvirenscanner oder ein Sicherheitsprodukt unter Windows installieren und das geht nicht? Vermutlich wird auf Microsoft geschimpft und behauptet, dass die diese Installation geblockt h\u00e4tten.<\/p>\n
Der Schuldige k\u00f6nnte aber der CertLock-Trojaner sein, den sich der Betroffene auf seinem Windows-System eingefangen hat. Sicherheitsforscher beobachten seit Ende Mai 2017 verst\u00e4rkt Hilferufe von Anwendern in Formen. Diese beklagen sich, dass es unm\u00f6glich sei, Virenscanner auf einem infizierten PC zu installieren oder auszuf\u00fchren. Beim Versuch der Installation oder beim Starten erscheint eine Meldung, dass der Hersteller der Software auf dem System blockiert worden sei. <\/p>\n
Das ist nat\u00fcrlich eine doofe Situation, wenn jemand eine Infektion mit Schadsoftware vermutet und dies per Antivirusprogramm verifizieren m\u00f6chte. Obwohl man auf einem infizierten System eigentlich keinen Virenscanner mehr installiert, sondern eine Offline-Pr\u00fcfung veranlasst. <\/p>\n
Eine Analyse der Situation durch Sicherheitsforscher hat einen interessanten Ansatz festgestellt, die die Malware verwendet. CertLock sperrt einfach das Zertifikat des betreffenden Antivirus-Anbieters unter Windows. Dann l\u00f6st Windows beim Versuch, die Software zu installieren oder zu starten, die betreffende Fehlermeldung aus und verweigert den Programstart. <\/p>\n
Der Trojaner legt dazu einen entsprechenden eigenen Schl\u00fcssel in der Registrierung im Zweig:<\/p>\n
HKLM\\SOFTWARE\\Microsoft\\SystemCertificates\\Disallowed\\Certificates\\<\/code><\/pre>\nan. Der Unterschl\u00fcssel unter Certificates<\/em> wird dann an den betreffenden AV-Hersteller angepasst. Bei ESET tr\u00e4gt der Unterschl\u00fcssel den Namen <\/p>\nF83099622B4A9F72CB5081F742164AD1B8D048C9<\/p>\n
Durch die Manipulation der Registrierung wird dann das Zertifikat des Herstellers in die Sperrliste einsortiert, was die Ausf\u00fchrung der Software unterbindet. Bei AVAST blockiert der Sch\u00e4dling sogar die Kommunikation mit den AVAST-Hosts per hosts<\/em>-Datei, um den Download von Dateien zu unterbinden. <\/p>\nWie kann man CertLock entfernen?<\/h2>\n
Bleeping Computer schreibt<\/a>, dass der Entwickler von AdwCleaner J\u00e9r\u00f4me.B<\/a> das Tool AVCertClean<\/a> entwickelt habe. Dieses erm\u00f6glicht, die Registrierung auf Disallowed-Eintr\u00e4ge f\u00fcr legitime Software-Zertifikate zu scannen und die CertLock-Schl\u00fcssel enfernen kann. <\/p>\nWie f\u00e4ngt man sich CertLock ein?<\/h2>\n