Перейти к содержимому


Фото
* * * * * 1 Голосов

Сертификат 3EB44E5FFE6DC72DED703E99902722DB38FFD1CB


  • Please log in to reply
6 ответов в этой теме

#1 azsx

azsx

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Апрель 2019 - 05:29

Здравствуйте, меня звать azsx и я живу на win7 64 бита, которая возможно является поддельной -- без антивируса. Есть comodo фаервол.

Я проверил компьютер Dr. Web CurIT и он обнаружил амми (как обычно) и проблемы с сертификатми, которые в логе выглядят так:

---

\Registry\Machine\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - probably infected with REG:CertLocker
\Registry\Machine\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - infected
---
\Registry\Machine\Software\Wow6432Node\Microsoft\SystemCertificates\Disallowed\Certificates\3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - probably infected with REG:CertLocker
\Registry\Machine\Software\Wow6432Node\Microsoft\SystemCertificates\Disallowed\Certificates\3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - infected
---

 

 
 

Это сертификат d-link, отозван.

image.png

image.png

Вопросы.

1. Что делает Dr. Web CurIT когда проверяет сертификаты? Как вообще сертификат может быть инфицирован?

2. Как найти конкретный сертификат и что с ним делать? Что сделает антивирус при лечении сертификата?
3. Надо ли что то делать?



#2 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 367 Сообщений:

Отправлено 03 Апрель 2019 - 08:46

Данное сообщение говорит о том, что у вас на системе запрещен запуск ПО с подписью "нормального" вендора.

 

Обычно, это используется для блокировки запуска антивирусного ПО различными троянами.



#3 azsx

azsx

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 03 Апрель 2019 - 09:06

спасибо, интересно. Как то можно найти софт которым подписан какой либо сертификат?
Нажал вылечить, один вылечислся, второй нет. Судя по всему вручную его удалить?

У меня первый роутер стоял, перепрошитый продавцом. Может как то оттуда что надо мне поставили.


-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------
 
\Registry\Machine\Software\Microsoft\SystemCertificates\Disallowed\Certificates\3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - cured
\Registry\Machine\Software\Wow6432Node\Microsoft\SystemCertificates\Disallowed\Certificates\3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - incurable

 

 

1. Данный серт старый. Что надо было бы делать, если бы серт новый был?

2. Кто такие суслики?



#4 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 03 Апрель 2019 - 09:38

В данном эвристике нет проверок что он старый/новый, это свидетельствует как минимум о том, что кто-то пытается залочить хороший софт. А если это делали не Вы, то возможно у Вас активно заражение или его следы. Рекомендую создать тему в разделе "Помощь по лечению", там по логам можно посмотреть.

 

По лечению: вторая запись - это физически первая, просто из другого места нашли, косметика в общем, пролечили и так.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 _bad_

_bad_

    Newbie

  • Posters
  • 54 Сообщений:

Отправлено 11 Июнь 2019 - 16:38

вот этот серт, нет? https://tweakers.net/nieuws/105137/d-link-blundert-met-vrijgeven-privesleutels-van-certificaten.html
https://threatpost.ru/d-link-accidentally-leaks-private-code-signing-keys/11941/
надо исправлять этот фолс!!


Сообщение было изменено _bad_: 11 Июнь 2019 - 16:42


#6 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 11 Июнь 2019 - 17:53

исправил. выйдет с одним из апдейтов баз
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#7 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 11 Июнь 2019 - 19:05

 

Это, скорее всего, разгадка, почему на некоторых машинах этот сертификат был в залоченых. В том числе в пакетах обновлений для Win7 от simplix-а с oszone: https://forum.drweb.com/index.php?showtopic=331777&page=2#entry868101

 

Превентивная мера защиты от плохих сертификатов :)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых