Aggiornamenti recenti Ottobre 30th, 2025 12:51 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- TEE.Fail, l’attacco che accede all’ambiente di esecuzione delle CPU
- Atlas, browser basato su ChatGPT, consente l’injection di comandi malevoli
- I cyberattacchi al governo U.S.A. sono quasi raddoppiati dopo lo “shutdown”
- Dante, lo spyware italiano usato in campagne di cyberspionaggio
- CERT-AGID 18–24 ottobre: phishing a tema PagoPA e Fascicolo Sanitario
CertLock: ecco il trojan che tiene alla larga i software antivirus
Il malware inserisce delle chiavi di registro per fare in modo che Windows non accetti i certificati digitali degli antivirus e ne impedisca l’installazione.
Nell’ottica di un pirata informatico, infettare un computer che non ha un antivirus è piuttosto semplice. Ma come impedire che la vittima rimuova il malware installando un programma di sicurezza?
A trovare una “soluzione” per questo problema sono stati gli autori di CertLock, un trojan che i ricercatori di sicurezza hanno individuato alla fine di maggio.
CertLock, una volta installato sul computer, inserisce alcune chiavi particolari nel registro di sistema che invalidano i certificati digitali usati dai più diffusi antivirus. Risultato: Windows non li considera “attendibili” e ne impedisce l’installazione.
Come riporta Lawrence Abrams in un articolo su Bleeping Computer, il trojan interviene sulla chiave di registro HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\ e impedisce l’installazione dei seguenti programmi:
| Antivirus | Codice certificato digitale |
| AVAST | AD4C5429E10F4FF6C01840C20ABA344D7401209F |
| AVAST | DB77E5CFEC34459146748B667C97B185619251BA |
| AVG | 3D496FA682E65FC122351EC29B55AB94F3BB03FC |
| AVG | AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 |
| AVG Technologies | E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF |
| Adaware | 9132E8B079D080E01D52631690BE18EBC2347C1E |
| Avira | A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 |
| BitDefender | 18DEA4EFA93B06AE997D234411F3FD72A677EECE |
| BitDefender | ED841A61C0F76025598421BC1B00E24189E68D54 |
| BullGuard | A5341949ABE1407DD7BF7DFE75460D9608FBC309 |
| Bullguard | 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 |
| Checkpoint Software | 5240AB5B05D11B37900AC7712A3C6AE42F377C8C |
| Comodo | 03D22C9C66915D58C88912B64C1F984B8344EF09 |
| Comodo | 872CD334B7E7B3C3D1C6114CD6B221026D505EAB |
| CurioLab | 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 |
| Doctor Web | 4420C99742DF11DD0795BC15B7B0ABF090DC84DF |
| Doctor Web | FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 |
| ESET | A59CC32724DD07A6FC33F7806945481A2D13CA2F |
| ESET | F83099622B4A9F72CB5081F742164AD1B8D048C9 |
| Emsisoft | 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF |
| Emsisoft | 5DD3D41810F28B2A13E9A004E6412061E28FA48D |
| F-Secure | 0F684EC1163281085C6AF20528878103ACEFCAAB |
| FRISK | 1667908C9E22EFBD0590E088715CC74BE4C60884 |
| GData | 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF |
| K7 Computing | 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 |
| K7 Computing | 7457A3793086DBB58B3858D6476889E3311E550E |
| Kaspersky | 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F |
| Kaspersky | D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 |
| Malwarebytes | 249BDA38A611CD746A132FA2AF995A2D3C941264 |
| Malwarebytes | B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 |
| McAfee | 775B373B33B9D15B58BC02B184704332B97C3CAF |
| McAfee | 88AD5DFE24126872B33175D1778687B642323ACF |
| PC Tools | 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 |
| Panda | FBB42F089AF2D570F2BF6F493D107A3255A9BB1A |
| SUPERAntiSpyware | 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A |
| Safer Networking | 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 |
| Symantec | 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF |
| Symantec | AD96BB64BA36379D2E354660780C2067B81DA2E0 |
| ThreatTrack Security | 9C43F665E690AB4D486D4717B456C5554D4BCEB5 |
| ThreatTrack Security | DB303C9B61282DE525DC754A535CA2D6A9BD3D87 |
| Total Defense | E22240E837B52E691C71DF248F12D27F96441C00 |
| Trend Micro | 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 |
| Trend Micro | CDC37C22FE9272D8F2610206AD397A45040326B8 |
| Webroot | 3353EA609334A9F23A701B9159E30CB6C22D4C59 |
| Webroot | 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 |
In alcuni casi, come in quello di Avast, il trojan adotta anche una tecnica alternativa per impedire il funzionamento del programma: modifica il file HOSTS impostando l’host per i server dei software antivirus all’indirizzo 127.0.0.1, impedendo di fatto la comunicazione con i server stessi.
Per contrastare l’azione di CertLock è possibile utilizzare uno strumento dedicato, chiamato AVCertClean, sviluppato da uno dei ricercatori di Malwarebytes e disponibile per il download su questa pagina.
Condividi l'articolo
I pirati sfruttano la vulnerabilità di Samba per minare criptovaluta
Un trojan usa le tecnologie Intel per aggirare il firewall
Articoli correlati
Altro in questa categoria
Approfondimenti
-
TEE.Fail, l’attacco che accede all’ambiente di... Un gruppo di ricercatori della Gerogia Tech University e... -
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
TEE.Fail, l’attacco che accede all’ambiente di... Un gruppo di ricercatori della Gerogia Tech University e...
-
Atlas, browser basato su ChatGPT, consente... I ricercatori di LayerX hanno scoperto una vulnerabilità... -
I cyberattacchi al governo U.S.A. sono quasi raddoppiati... L’interruzione delle attività governative negli... -
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware...
-
CERT-AGID 18–24 ottobre: phishing a tema PagoPA e... Nel periodo compreso tra il 18 e il 24 ottobre,...
Ransomware: la serie
No posts found.