A támadást a Cisco Talos kutatói írják le: "a CCleaner 5.33 legitim aláírt változata.. A CLEANER telepítésén túlmenően egy többlépcsős malware csomagot is tartalmazott. "A CCleaner anyavállalata, a Piriform (aki nemrégiben Avast rettenetes vírusvédelmi vállalata vásárolta meg), röviddel ezután elismerte a problémát.
Mivel a CCleaner szerint több millió letöltés hetente van, ez potenciálisan súlyos probléma.
Mi a rosszindulatú program?
A rosszindulatú programok nem károsították a rendszereket, de titkosítottak és gyűjtöttek információkat, amelyek a jövőben kárt okozhatnak a rendszerben. Különösen a Piriform szerint egyedülálló azonosítót hozott létre a számítógéphez és összegyűjtött:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
A Cisco Talos blogjáról és a Piriform blogjáról érkező támadásokról további technikai információkat olvashat.
Érintettem?
Szerencsére úgy tűnik, hogy ez a rosszindulatú program csak a CCleaner felhasználók bizonyos részhalmazát érintette. Különösen érinti:
- Az alkalmazás 32 bites verzióját futtató felhasználók (nem a 64 bites verzió)
- A CCleaner vagy a CCleaner Cloud 1.07.3191 verziójának 5.33.6162 verzióját futtató felhasználók, közzétéve 2017. augusztus 15-én
Mivel sok felhasználó valószínűleg használja az alkalmazás 64 bites verzióját, és a CCleaner Free nem frissül automatikusan, ez jó hír sok ember számára.
(frissítés: Néhány nappal azután, hogy ez a hír eltört, egy második hasznos adat került feltárásra, ami a 64 bites felhasználókra vonatkozott, de célzott támadást jelentettek a technológiai vállalatok ellen, ezért valószínűtlen, hogy a legtöbb otthoni felhasználó érintett.)
Ha a Windows 32 bites verzióján vagyunk, és úgy véljük, hogy az érintett időkereten belül letöltötted a CCleanert, akkor tudod ellenőrizni, hogy milyen verzió van. Nyissa meg a CCleanert és nézze meg az ablak bal felső sarkát - a programnév alatt meg kell jelennie egy verziószámot.
HKLMSOFTWAREPiriform
és ellenőrizze, van-e kulcs a címkével
Agomo:MUID
. Ha ez a kulcs létezik, azt jelenti, hogy egy időben fertőzött szoftvert láttál a rendszereden.)
Mit kellene tennem?
Bár nem találták meg azonnal a káros hatásokat, a Cisco Talos azt javasolja, hogy 2017 augusztus 15-e előtt helyreállítsa a rendszert egy biztonsági másolatról, ha érintett. Valószínűleg futtatnia kell egy víruskereső és MalwareBytes beolvasást a rendszerén és a biztonsági másolatain, hogy biztosítsa, hogy a rosszindulatú programokat ne telepítsék.
Alternatívaként azt mondják, teljesen újratelepítheti a Windows rendszert - igen, ez egy kicsit nukleáris lehetőség, de ez az egyetlen módja annak, hogy teljesen tisztában legyen vele, hogy a rendszered ilyen esemény után tiszta.