Инцидент с CCleaner, заразен със зловреден софтуер – malware


Всички потребители на компютри добре познаваме програмата CCleaner на известната компания Piriform. Но едва ли някой си е представял, че точно тя ще разпространява malware.

Инцидент със заразяване на CCleaner със зловреден софтуер - malware икона

Да, за съжаление и това се случи – инцидент със заразяване на CCleaner, в следствие на което той несъзнателно разпространява зловреден софтуер за персонални компютри с Windows в продължение на един месец – между 15 август и 12 септември.

Какво се случи и кои са засегнати?

Хакери са компрометирали известната програма, добавяйки зловреден софтуер на 32-битовите версии на CCleaner 5.33.6162 и CCleaner 1.07.3191 Cloud .

Засегнати са всички, които са изтеглили и инсталирали засегнатите версии в този времеви диапазон.

Avast, която е придобила компанията Piriform, предполага, че броят на засегнатите машини е 2,270,000.

Как да разберем дали сме се заразили?

Когато е инсталирана заразената версия на CCleaner, тя е създала ключ за Windows Registry, който се намира в HKEY_LOCAL_MACHINE \ SOFTWARE \ Piriform \ Agomo . Под този ключ са две стойности на данни наречени MUID и TCID, които се използват от инсталираната Floxif инфекция.

, която е придобила компанията Priform регистър

Ключ на системния регистър, създаден от компрометирания CCleaner, източник Bleepingcomputer

Можем да използваме редактора на системния регистър, за да се придвижим до ключ Agomo и да видим дали той съществува. Ако той съществува, тогава сме заразени с този зловреден софтуер.

Внимание: Oбновяване до версия 5.34 няма да премахне ключа Agomo от регистъра на Windows. Той ще замени само злонамерени изпълними файлове с легитимни такива, така че зловредният софтуер вече няма да е налице.

Какво прави зловредният софтуер?

Зловредният софтуер Floxif събира данни от заразени компютри, като например име на компютъра, списък на инсталирания софтуер, списък на стартираните процеси, MAC адреси за първите три мрежови интерфейси, както и уникалните идентификационни номера за идентифициране на  всеки компютър в частност.

Зловредният софтуер също може да свали и стартира друг злонамерен софтуер, но Avast заяви, че не е намерил доказателства, че атакуващите са използвали тази функция, което означава, че не трябва да има инсталиран допълнителен софтуер на устройствата. Самият зловреден софтуер изглежда е бил предназначен за използване на заразените компютри като част от ботнет.

Въпреки, че още не е известно как е настъпил този инцидент, Piriform отбеляза, че разследва причината за нападението и предприема действия за предотвратяване на бъдещи инциденти. Междувременно компанията препоръчва потенциално засегнатите потребители да актуализират възможно най-скоро с най-новата версия на програмата.

Как да премахнем Floxif malware в CCleaner?

Зловредният софтуер е вграден в самия изпълнителен файл CCleaner. Обновяване на CCleaner да v5.34 премахва стария зловреден софтуер. CCleaner не се актуализира автоматично, ще трябва да я изтеглиш и инсталираш ръчно.

Чистата версия на CCleaner Cloud е CCleaner 1.07.3214 Cloud.

Горният malware е работил само, ако потребителят е използвал администраторски профил. Ако използваш ниско привилегирован акаунт и  е инсталиран CCleaner 5.33, още не си засегнат.

Ако използваш Windows 7 Home Premium, тогава най-вероятно си работил с администраторски акаунт и може да се приеме, че си се заразил, ако си инсталирал тази версия на  CCleaner.

Виж и тази моя публикация за начините за премахване на malware: Как да премахнем зловредни програми като Piesearch.com

Дали антивирусната програма може да хване този malware?

Не, защото в CCleaner двоичният код, който включва злонамерения софтуер, е подписан с помощта на валиден цифров сертификат.

Допълнение

В коментарите на темата в Windowscentral казват, че трябва да се внимава и с Microsoft Store, защото не се преглеждат приложенията, които се предлагат в магазина. Злонамерен софтуер би могъл да се разпространи и през него.

Източник на иконата на CCleaner Flickr.

Източник на основното изображение Pixabay.com.

Източник за публикацията Bleepingcomputer.


Коментари