时间:2015-11-25 来源:系统堂 游览量: 次
一位著名的广告软件程序,防止用户通过利用被设计用于安全功能的Windows安装防病毒产品。
该计划被称为Vonteera,滥用Windows用户访问控制(UAC)的可执行文件进行数字签名检查。
UAC提示用户进行确认每当一个节目希望让需要管理员级别权限的系统变革。因此,它可以防止恶意软件悄悄地获得整个系统的访问权限,如果从一个受限用户帐户执行。
根据是否已执行文件是由受信任的发布者数字签名,UAC会显示确认提示,表示不同程度的风险。例如,如果该文件是无符号,或与自我生成的证书Windows无法反向链接到一个受信任的证书颁发机构签署,UAC提示将会有一个黄色的感叹号。
然而,如果文件与该被列入黑名单的证书进行签名,UAC将简单地从运行阻止的文件和一个红色警告将被显示。
看来,Vonteera,其目的是劫持浏览器和显示广告,创作者已经想通了,他们可以滥用这个UAC行为,以阻止用户安装安全产品。
曾用来签名的防病毒程序和安全工具,以“不受信任的证书”存储在Windows的程序副本13的数字证书,研究人员从安全公司的Malwarebytes在博客中说。
该列入黑名单的证书是由Avast的软件,AVG技术,查杀,百度下,BitDefender,ESET,ESS分布,Lavasoft的,的Malwarebytes,迈克菲,熊猫安全,趋势科技和ThreatTrack安全。
Vonteera创建定期检查,如果这些证书出现在“不受信任的证书”店,并增加了他们回来,如果他们不服务。
幸运的是,这个黑名单的供应商证书仅部分有效,说一位资深的电子威胁分析师杀毒厂商BitDefender的波格丹Botezatu。该技术不仅可以防止新的产品安装或需要管理员权限的独立拆卸工具的执行。系统驱动程序,并已在运行防病毒产品创建的服务不会受到影响,他说。
然而,如果用户已经有一个防病毒运行和Vonteera已设法进行这些改变,这意味着该产品已经失败来检测它和用户需要安装另外的工具来取出 - 一个可能现在被阻止。
Vonteera是相当持久的侵入,从而使用户能够有一个很难摆脱它手动。该程序会创建多个计划任务,以确保其执行情况,并定期展示广告。它还会注册一个系统服务,安装在Internet Explorer和谷歌浏览器的流氓扩展和改变了浏览器的快捷键点击时自动打开一个URL。
受影响的用户有多种选择,以绕过Vonteera的更改Windows证书黑名单,使他们能够安装防病毒产品。他们可以禁用UAC完全,但不建议这样做,因为它降低了系统的安全性。
他们还可以手动使用Windows证书管理器工具,请从“不受信任的证书”库中的证书,但他们必须迅速采取行动之前Vonteera把他们回来。这可以通过按Windows键+ R打开运行提示符,然后键入certmgr.msc来完成。在左侧面板中,他们可以浏览到不受信任的证书>证书并删除具有防病毒供应商名称证书。
最后,他们可以使用,使用计划任务来绕过UAC提示以安装自己想要的防病毒工具一招,用它来除去Vonteera,然后手动删除黑名单证书时,的Malwarebytes研究人员说。
由于这种侵入行为,的Malwarebytes改变Vonteera的分类从可能不需要的应用程序,以明确恶意应用程序,检测它作为一个木马。其他防病毒产品,包括BitDefender的和ESET也有检测例程它。