Другие новости

Adware-программа Vonteera блокирует продукты безопасности с помощью Windows UAC

24.11.2015 | 01:53 Экономика

Программа использует цифровые сертификаты против антивирусных продуктов

Хорошо известная рекламная программа мешает пользователям устанавливать антивирусные продукты за счет использования функции Windows, которая была разработана для обеспечения безопасности.

Программа, известная как Vonteera, злоупотребляет проверкой цифровой подписи, осуществляемой Windows User Access Control (UAC) для исполняемых файлов.

UAC запрашивает у пользователей подтверждение, когда программа хочет внести изменения в систему, требующих привилегий администратора. UAC предотвращает попытки вредоносного ПО получения полного доступа к системе, если запуск происходит из учетной записи пользователя с ограниченными правами.

В зависимости от того, имеет ли исполняемый файл цифровую подпись доверенного издателя, UAC отображает запрос подтверждения с различными уровнями риска. Например, если файл не подписан или подписан самогенерирующимся сертификатом, UAC покажет желтый восклицательный знак.

Если файл подписан с помощью сертификата, который содержится в черном списке, UAC просто заблокирует запуск файла, и покажет предупреждение красного цвета.

Кажется, что создатели программы Vonteera, целью которой является угон браузеров и размещение рекламы, выяснили, что они могут злоупотреблять поведением UAC, чтобы предотвратить установку продуктов безопасности пользователями.

Программа копирует 13 цифровых сертификатов, которые используются для подписи антивирусных программ и инструментов безопасности в хранилище «ненадежных сертификатов» в Windows, написали исследователи из Malwarebytes в своем блоге.

В черный список попали сертификаты от Avast Software, AVG Technologies, Avira, Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAfee, Panda Security, Trend Micro и ThreatTrack Security.

Vonteera создает службу, которая периодически проверяет, находятся ли эти сертификаты в хранилище «ненадежных сертификатов», и добавляет их обратно, если они не там.

К счастью, этот черный список сертификатов эффективен лишь частично, говорит Богдан Ботезату, старший аналитик электронных угроз из Bitdefender. Данная техника только предотвращает установку новых продуктов или выполнение автономных инструментов удаления вирусов, которые нуждаются в привилегиях администратора. Системные службы и драйверы, созданные антивирусными продуктами, которые уже работают, не будут затронуты.

Vonteera устойчива и навязчива, так что пользователям будет нелегко избавиться от нее вручную. Программа создает несколько запланированных задач по обеспечению ее исполнения и показывает рекламу на регулярной основе. Она также регистрирует системную службу, которая устанавливает зловредные расширения в Internet Explorer и Google Chrome, и изменяет ярлыки браузеров для автоматического открытия URL при запуске.

Пострадавшие пользователи имеют несколько вариантов для обхода изменений, сделанных Vonteera, чтобы установить антивирусную программу. Они могут полностью отключить UAC, но это не рекомендуется, потому что уменьшает безопасность системы.

Они также могут вручную удалить сертификаты из хранилища «ненадежных сертификатов» при помощи инструмента Windows Certificate Manager, но тогда они должны действовать быстро, прежде чем Vonteera запишет их обратно. Это можно сделать, нажав клавишу Windows + R, затем ввести certmgr.msc. В левой панели они могут перейти к Untrusted Certificates > Certificates и удалить сертификаты с названием производителя антивируса.