CERTLOCK BLOQUEA EL SOFTWARE DE SEGURIDAD

Una nueva tendencia en programas publicitarios y proveedores de programas no deseados es instalar software de protección que hace que sea más difícil para los usuarios de Windows para ejecutar sus programas de seguridad

Esto se vio con el rootkit SmartService que bloqueó software antivirus y se ejecute ahora con un programa de protección que se llama CertLock.

Desde finales de mayo hay informes de los usuarios no son capaces de instalar y ejecutar programas de seguridad en sus ordenadores infectados. Cuando tratan de ejecutar los programas, que son recibidos con una alerta que indica que el editor ha sido bloqueado se ejecute en el equipo.

Resulta que este está siendo causado por CertLock que no permite el certificado de un proveedor de seguridad en el ordenador afectado para que Windows no permite el programa se ejecute.

CertLock rechaza certificados proveedor de seguridad

Siendo comúnmente detectado como Ceram o Wdfload por los vendedores de anti-virus, CertLock se distribuye por haces de programas no deseados. Una vez instalado, CertLock bloqueará el certificado de un proveedor de seguridad mediante su inclusión en una llave especial registro de Windows. Esto hace que Windows no ejecutar todos los programas que están firmados con ese certificado.

CertLock bloquea un certificado mediante la creación de una subclave utilizando la huella digital del certificado que quiere bloquear a la siguiente clave: HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\

A modo de ejemplo, uno de los certificados de ESET tiene una huella digital del F83099622B4A9F72CB5081F742164AD1B8D048C9.

Para bloquear este certificado, CertLock creará una clave de registro denominada: HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9

En esta clave será un solo valor BLOB que contiene la información del certificado.

Si se añade un certificado a la lista prohibidos, cuando un usuario intenta ejecutar un programa que está firmado por este certificado será recibidos con un error que indica "El editor se ha bloqueado la ejecución de software en la máquina".

Si bien el bloqueo impide el certificado firmado a instaladores, sino que también evita que los programas ya instalados utilizan el CERT bloqueado de ejecución así. Por ejemplo, cuando los certificados de firma de código Malwarebytes' están bloqueadas, los usuarios son recibidos con errores cuando tratan de ejecutar el programa.

Este troyano no le gusta Avast

Mientras CertLock ya no permite el uso del certificado AVAST, sino que también va un paso más allá para asegurarse que Avast sea incapaz de funcionar. Para ello, señalando muchos nombres de host avast.com a 127.0.0.1 con el archivo hosts de Windows para que el ordenador no puede conectarse a ellos.

CertLock genera la lista de Avast que bloquea descargando el archivo files.avast.com/iavs9x/servers.def. Este archivo contiene una lista de nombres de host asociados con el programa de seguridad Avast. A continuación, analiza este archivo y los añade al archivo HOSTS de Windows.

Mediante la adición de los nombres de host en el archivo HOSTS y apuntando a 127.0.0.1, en la práctica se hace con el equipo llegue a estos servidores.

¿Cómo eliminar certificados no permitidos por CertLock

ToolsLib.com co-administrador y desarrollador Malwarebytes AdwCleaner Jérôme.B ha creado una herramienta llamada AVCertClean que escaneará la clave de registro anulado por teclas bloqueadas legítimos y eliminarlos. Para utilizar la herramienta, sólo tiene que descargar y ejecutar la misma. El programa entonces eliminar automáticamente los certificados bloqueados

Cuando el programa ha terminado, se mostrará un registro que muestra los certificados que fueron limpiados por AVCertClean.

Ahora que los certificados ya no están siendo bloqueados, los usuarios pueden instalar y ejecutar sus programas de seguridad con el fin de limpiar su ordenador. En algunas situaciones, el usuario de ser necesario reiniciar la aplicación con el fin de conseguir que se ejecuten.

Registro Entiries Asociado con CertLock

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\0F684EC1163281085C6AF20528878103ACEFCAAB

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1667908C9E22EFBD0590E088715CC74BE4C60884

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\18DEA4EFA93B06AE997D234411F3FD72A677EECE

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\249BDA38A611CD746A132FA2AF995A2D3C941264

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\31AC96A6C17C425222C46D55C3CCA6BA12E54DAF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\331E2046A1CCA7BFEF766724394BE6112B4CA3F7

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3353EA609334A9F23A701B9159E30CB6C22D4C59

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\373C33726722D3A5D1EDD1F1585D5D25B39BEA1A

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3D496FA682E65FC122351EC29B55AB94F3BB03FC

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4420C99742DF11DD0795BC15B7B0ABF090DC84DF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5240AB5B05D11B37900AC7712A3C6AE42F377C8C

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\5DD3D41810F28B2A13E9A004E6412061E28FA48D

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\7457A3793086DBB58B3858D6476889E3311E550E

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\76A9295EF4343E12DFC5FE05DC57227C1AB00D29

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\775B373B33B9D15B58BC02B184704332B97C3CAF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\872CD334B7E7B3C3D1C6114CD6B221026D505EAB

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\88AD5DFE24126872B33175D1778687B642323ACF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9132E8B079D080E01D52631690BE18EBC2347C1E

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\982D98951CF3C0CA2A02814D474A976CBFF6BDB1

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9C43F665E690AB4D486D4717B456C5554D4BCEB5

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9E3F95577B37C74CA2F70C1E1859E798B7FC6B13

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A5341949ABE1407DD7BF7DFE75460D9608FBC309

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\A59CC32724DD07A6FC33F7806945481A2D13CA2F

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\AD96BB64BA36379D2E354660780C2067B81DA2E0

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\CDC37C22FE9272D8F2610206AD397A45040326B8

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\DB303C9B61282DE525DC754A535CA2D6A9BD3D87

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\E22240E837B52E691C71DF248F12D27F96441C00

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\ED841A61C0F76025598421BC1B00E24189E68D54

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\F83099622B4A9F72CB5081F742164AD1B8D048C9

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\FBB42F089AF2D570F2BF6F493D107A3255A9BB1A

HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\FFFA650F2CB2ABC0D80527B524DD3F9FC172C138

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\[computer_name]%temp%\[temp_name].tmp.exe
Fecha actualización el 2021-6-8. Fecha publicación el 2017-6-8. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente:bleepingcomputer
CertLock