5/5 - (1 vote)

CertLock, un Cheval de Troie qui désactive tous les antivirus.

CertLock se classe dans la catégorie des Chevaux de Troie ou Trojan. Il s’agit d’un type de logiciel malveillant, souvent confondu avec les virus ou autres parasites.

Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une malveillance.

Il possède la particularité de désactiver tous les antivirus au niveau des certificats de la Base de Registre et celle de rediriger leurs adresses dans le fichier Hosts.

Cela se passe en deux temps, dans un premier temps, CertLock modifie la Base de registre pour faire croire que le certificat de votre antivirus n’est pas conforme et, pour être totalement efficace, il va bloquer les certificats de tous les antivirus, du moins les plus connus, qu’ils soient gratuits ou payants et les plus utilisés. Ainsi il peut agir sans contrainte dans un deuxième temps, afin de modifier votre fichier hosts pour rediriger tous les appels aux domaines de votre antivirus. En agissant ainsi, il rend impossible leur réactivation via internet. A noter que l’antivirus d’Avast est beaucoup plus ciblé que les autres au niveau de la redirection de ses domaines. [Lire aussi sur Bleeping Computer]
Le rôle du Cheval de Troie (Trojan) est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur. Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion. C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite.

Les logiciels potentiellement indésirables (LPI) ou Potentialy Unwanted Programs (PUP) sont à l’origine de nombreuses infections. L’exemple le plus souvent rencontré est celui des adwares InstallCore, CrossRider, Graftor ou Boxore qui polluent la Base de Registres et vos unités de stockage de données. Ils s’installent généralement à votre insu via le téléchargement de gratuiciels. En effet certains sites utilisent la méthode de repaquetage, une opération qui consiste à refaire le module d’installation du logiciel en y ajoutant des options de téléchargement. Ces options permettent d’ajouter d’autres logiciels comme par exemple des barres d’outils de navigateur, des adwares, des logiciels potentiellement indésirables, des logiciels à publicités intrusives, voire des pirates de navigateur.

Les logiciels espions (spywares) et les logiciels publicitaires (Adwares) indésirables, tout comme les malwares, peuvent utiliser les failles d'écriture des logiciels légitimes ou celles des systèmes d'exploitation. Il est donc essentiel d'avoir des logiciels officiels et qu'ils disposent d'une mise à jour automatique. De même votre système d'exploitation Windows doit être programmé en mode update automatique et activé, de façon à pouvoir disposer des dernières mises à jour de failles critiques de sécurité.

Caractéristiques

– Il crée de multiples valeurs de clé dans la Base de Registres (O88 ),
– Il redirige les adresses IP des antivirus vers la boucle locale (O1) (Fichier Hosts),

Aperçu dans les rapports

Recensé le 26/06/2017
[HKLM\Software\Policies\Microsoft\SystemCertificates\Disallowed\Certificates\181E2AE5727DE60F52EF26D90BC6919481601793]
[HKLM\Software\Policies\Microsoft\SystemCertificates\Disallowed\Certificates\C1437F2BC6F11F4806EAD857982457BF7828CE15]

—\\ Etude du fichier hosts (3) – 0s
O1 – Hosts: 127.0.0.1 sm00.avast.com =>Trojan.CertLock
O1 – Hosts: 127.0.0.1 gf.tools.avast.com =>Trojan.CertLock
~ Nombre lignes détournées 2/23 (Hosts file redirected)

—\\ Fichier hôte. (2)
REMPLACÉ: 127.0.0.1 sm00.avast.com
REMPLACÉ: 127.0.0.1 gf.tools.avast.com
~ Nombre de redirections trouvées 2/24