सब कुछ आप CCleaner मैलवेयर हमले के बारे में जानना चाहिए

समाचार सामने आया है कि लोकप्रिय पीसी और Android अनुकूलन सॉफ्टवेयर CCleaner का एक संक्रमित संस्करण बड़ी संख्या में कंप्यूटर उपयोगकर्ताओं के लिए मैलवेयर फैला रहा है. रहस्योद्घाटन पहली बार सोमवार सुबह वेब पर हिट हुआ, जब सॉफ्टवेयर के डेवलपर पिरिफॉर्म ने इस विषय पर एक ब्लॉग पोस्ट प्रकाशित किया। अच्छी खबर यह है कि केवल 32-बिट विंडोज सिस्टम पर CCleaner चलाने वाले लोग प्रभावित हुए थे.


चूंकि कहानी पहले टूट गई थी, कंप्यूटर सुरक्षा फर्म अवास्ट ने घोषणा की है कि लोकप्रिय पीसी प्रदर्शन अनुकूलन सॉफ्टवेयर के आधिकारिक संस्करणों के भीतर छिपे मैलवेयर से 2.27 मिलियन CCleaner उपयोगकर्ता प्रभावित हो सकते हैं। तब से, सिस्को के शोध से पता चला है कि संक्रमण की सही संख्या लगभग 700,000 पीसी पर कम है.

पिरिफॉर्म द्वारा ब्लॉग पोस्ट के अनुसार, 15 अगस्त और 12 सितंबर के बीच CCleaner की संक्रमित प्रतियों का प्रसार किया गया। पिरिफॉर्म का कहना है कि इसके सॉफ्टवेयर के जिन संस्करणों से समझौता किया गया था वे CCleaner 5.33.6162 और CCleaner Cloud 1.0.3.3191 हैं.

पिरिफॉर्म सभी CCleaner उपयोगकर्ताओं से जल्द से जल्द संस्करण 5.34 या उच्चतर डाउनलोड करने का आग्रह कर रहा है। यह ध्यान देने योग्य है कि CCleaner Cloud के उपयोगकर्ताओं को स्वचालित रूप से अपडेट प्राप्त हो जाएगा। हालाँकि, अन्य CCleaner उपयोगकर्ता अभी भी समझौता संस्करण चला रहे हैं, इसलिए मैन्युअल रूप से अद्यतन करना उन उपभोक्ताओं के लिए अत्यंत महत्वपूर्ण है.

यह अभी तक ज्ञात नहीं है कि हैकर्स कैसे CCleaner के आधिकारिक संस्करण के भीतर पुरुषवादी कोड को छिपाने में कामयाब रहे। Piriform के ब्लॉग पोस्ट से:

“हमने पाया कि CCleaner के 5.33.6162 संस्करण और CCleaner क्लाउड के 1.07.3191 संस्करण को अवैध रूप से संशोधित किया गया था, क्योंकि इसे जनता के लिए जारी किया गया था, और हमने एक जांच प्रक्रिया शुरू की। हमने कानून प्रवर्तन इकाइयों से तुरंत संपर्क किया और उनके साथ इस मुद्दे को हल करने पर काम किया। ”

"गैर संवेदनशील" डेटा चोरी

अब तक पिरिफॉर्म यह पता लगाने में सक्षम है कि मैलवेयर अमेरिका में स्थित कमांड एंड कंट्रोल (CnC) सर्वर के साथ संचार कर रहा था। हैकर्स मालवेयर का इस्तेमाल फसल काटने के लिए करते दिखते हैं, जिसे फर्म "गैर-संवेदनशील" डेटा के रूप में वर्णित करती है.

उस डेटा में उपयोगकर्ता का कंप्यूटर नाम, आईपी पता, उनकी मशीन पर स्थापित सॉफ़्टवेयर की एक व्यापक सूची, सक्रिय सॉफ़्टवेयर की सूची और नेटवर्क एडेप्टर की सूची शामिल है। पिरिफॉर्म ने उपयोगकर्ताओं को सूचित किया है कि:

“हमारे पास कोई संकेत नहीं है कि किसी अन्य डेटा को सर्वर पर भेजा गया है.

"अमेरिकी कानून प्रवर्तन के साथ काम करते हुए, हमने 15 सितंबर को इस सर्वर को बंद कर दिया था, इससे पहले कि कोई ज्ञात नुकसान हो। सर्वर के निष्क्रिय होने से पहले ही यह कानून प्रवर्तन एजेंसी की जांच के साथ सार्वजनिक हो गया था और हमने अपना आकलन पूरा कर लिया था, "

अवास्ट

अवास्ट की भागीदारी

दिलचस्प बात यह है कि सुरक्षा दिग्गज अवास्ट (जो दुनिया भर में कंप्यूटर उपयोगकर्ताओं के लिए सुरक्षा उत्पाद प्रदान करता है) ने हाल ही में CCleaner के डेवलपर Piriform का अधिग्रहण किया है। उस अधिग्रहण को दो महीने पहले, जुलाई 2017 में अंतिम रूप दिया गया था। इस कारण से, हमले का समय कम से कम कहने के लिए सिर-खरोंच का एक सा है। यह तथ्य कि मालवेयर ने इसे CCleaner के आधिकारिक संस्करण पर बनाया था, जब इसे जनता के लिए जारी किया गया तो इसका मतलब यह हो सकता है कि हैकर अंदर से काम कर रहा था। केवल समय ही बताएगा.

अवास्ट की ओर से एक प्रवक्ता ने निम्नलिखित टिप्पणियां की हैं:

"हम मानते हैं कि ये उपयोगकर्ता अब सुरक्षित हैं क्योंकि हमारी जांच इंगित करती है कि हम किसी भी नुकसान को करने में सक्षम होने से पहले खतरे को छिपाने में सक्षम थे.

"हम अनुमान लगाते हैं कि 32-बिट विंडोज़ मशीनों पर 2.27 मिलियन उपयोगकर्ताओं को प्रभावित सॉफ़्टवेयर स्थापित किया गया था।"

कुछ अच्छी खबर

संक्रमणों के एक बड़े प्रारंभिक अनुमान के बावजूद, ऐसा प्रतीत होता है कि पिरिफॉर्म काफी भाग्यशाली रहा है। अवास्ट के अधिग्रहण के समय, यह दावा किया गया था कि CCleaner के पास 130M सक्रिय उपयोगकर्ता हैं, जिसमें Android पर 15M शामिल है। इस तथ्य के कारण कि संक्रमण केवल 32-बिट विंडोज पीसी पर चलने वाले CCleaner के संस्करणों तक ही सीमित था, ऐसा लगता है कि CCleaner उपयोगकर्ताओं की अपेक्षाकृत कम संख्या प्रभावित हुई (सिस्को के अनुसार, सिर्फ 700,000 मशीनें).

कॉर्पोरेट लक्ष्य

कॉर्पोरेट लक्ष्य

केवल बहुत कम संख्या में CCleaner उपयोगकर्ताओं को लक्षित करने के बावजूद, अब यह सबूत सामने आया है कि हैकर्स बहुत ही विशेष रूप से कॉर्पोरेट लक्ष्यों को संक्रमित करने का प्रयास कर रहे थे। इस रहस्योद्घाटन को सुरक्षा विशेषज्ञों द्वारा उजागर किया गया था जिन्होंने हैकर द्वारा उपयोग किए गए CnC सर्वर का विश्लेषण किया था.

सिस्को के तालोस सुरक्षा प्रभाग के शोधकर्ताओं का दावा है कि उन्हें इस बात के सबूत मिले हैं कि 20 बड़े निगमों को विशेष रूप से संक्रमण के लिए लक्षित किया गया था। उन फर्मों में इंटेल, गूगल, सैमसंग, सोनी, वीएमवेयर, एचटीसी, लिंक्स, माइक्रोसॉफ्ट, अकमाई, डी-लिंक और सिस्को शामिल हैं। सिस्को के अनुसार, उन मामलों में से लगभग आधे में, हैकर्स कम से कम एक मशीन को संक्रमित करने में कामयाब रहे। यह एक अधिक परिष्कृत पेलोड देने के लिए उनके CnC सर्वर के लिए पिछले दरवाजे के रूप में कार्य करता है। सिस्को का मानना ​​है कि कारपोरेट जासूसी के लिए शोषण का इरादा था.

दिलचस्प बात यह है कि सिस्को और कैसपर्सकी दोनों के अनुसार, CCleaner के भीतर मौजूद मालवेयर कोड कुछ कोड हैं, जिनका उपयोग चीनी सरकार द्वारा उपयोग किए जाने वाले कारनामों के लिए किया जाता है, जिन्हें समूह 72, या Axiom के रूप में जाना जाता है। यह बताना जल्दबाजी होगी, लेकिन इसका मतलब यह हो सकता है कि साइबर हमले राज्य द्वारा प्रायोजित ऑपरेशन था.

तालोस, क्रेग विलियम्स, पर टिप्पणी प्रबंधक अनुसंधान,

"जब हमने इसे शुरू में पाया, तो हमें पता था कि इसने बहुत सारी कंपनियों को संक्रमित कर दिया है। अब हम जानते हैं कि इसे दुनिया भर में इन 20 कंपनियों को लक्षित करने के लिए एक ड्रगनेट के रूप में इस्तेमाल किया जा रहा था ... उन कंपनियों में पैर जमाने के लिए जिनके पास चोरी करने के लिए बहुमूल्य चीजें हैं, जिनमें सिस्को दुर्भाग्य से शामिल है."

सिस्को

जल्दी पकड़ा गया

शुक्र है कि पीरीफॉर्म हमले को जल्द से जल्द रोक पाने में सक्षम था ताकि इसे और अधिक खराब होने से बचाया जा सके। पॉलिफ़ॉर्म के उपाध्यक्ष, पॉल युंग, टिप्पणी करते हैं,

"इस स्तर पर, हम यह अनुमान नहीं लगाना चाहते हैं कि CCleaner सॉफ़्टवेयर में अनधिकृत कोड कैसे दिखाई देता है, जहाँ हमले की उत्पत्ति हुई थी, यह कब तक तैयार किया जा रहा था और इसके पीछे कौन खड़ा था।"

हालाँकि, सिस्को को यह इंगित करने की जल्दी थी कि जिन फर्मों को लक्षित किया गया था (जिनके पास वे पहले ही संपर्क कर चुके हैं), केवल CCleaner को अपडेट करना पर्याप्त नहीं हो सकता है, क्योंकि उनके सिस्टम के भीतर द्वितीयक पेलोड छुपाया जा सकता है। यह एक अलग CnC सर्वर के साथ संचार हो सकता है जो अभी तक खुला है। इसका मतलब है कि यह संभव है कि हैकर्स द्वारा उन मशीनों पर और भी अधिक कारनामे किए गए हों.

इस कारण से, सिस्को सिफारिश कर रहा है कि सभी संभावित संक्रमित मशीनों को एक समय पहले बहाल कर दिया जाए ताकि पिरिफोर्म के सॉफ़्टवेयर के दूषित संस्करण को उन पर स्थापित किया जा सके।.

क्लींकर ट्रोजन

TR / RedCap.zioqa

एक CCleaner उपयोगकर्ता के अनुसार, जिसे Sky87 कहा जाता है, उन्होंने मंगलवार को CCleaner खोला कि उनके पास क्या संस्करण है। उस समय, 32-बिट बाइनरी को तुरंत TR / RedCap.zvqa के रूप में मैलवेयर की पहचान करने वाले संदेश के साथ संगरोध किया गया था। TR / RedCap.zioqa एक ट्रोजन है जो पहले से ही सुरक्षा विशेषज्ञों के लिए जाना जाता है। अवीरा इसे संदर्भित करता है,

"एक ट्रोजन हॉर्स जो डेटा को जासूसी करने में सक्षम है, आपकी गोपनीयता का उल्लंघन करता है, या सिस्टम में अवांछित संशोधन करता है।"

क्या करें

यदि आप CCleaner के अपने संस्करण के बारे में चिंतित हैं, तो Windows रजिस्ट्री कुंजी के लिए अपने सिस्टम की जाँच करें। ऐसा करने के लिए: HKEY_LOCAL_MACHINE >सॉफ्टवेयर >piriform >Agomo। अगर अगमो फोल्डर मौजूद है तो दो मान होंगे, जिनका नाम MUID और TCID होगा। यह संकेत देता है कि आपकी मशीन वास्तव में संक्रमित है.

यह ध्यान देने योग्य है, कि आपके सिस्टम को CCleaner संस्करण 5.34 में अपडेट करने से Windows रजिस्ट्री से Agomo कुंजी नहीं निकलती है। यह केवल दुर्भावनापूर्ण निष्पादनों को वैध लोगों के साथ बदल देता है, ताकि मैलवेयर अब खतरा पैदा न करें। जैसे, यदि आपने पहले ही CCleaner के नवीनतम संस्करण को अपडेट कर लिया है और Agomo Key देखें, तो यह चिंतित होने वाली बात नहीं है.

जो कोई भी अपने सिस्टम से डरता है, वह TR / RedCap.zioqa ट्रोजन के एक संस्करण से संक्रमित हो सकता है, सबसे अच्छी सलाह यह है कि फ्री मालवेयर डिटेक्शन और रिमूवल टूल स्पाईहंटर का उपयोग किया जाए। वैकल्पिक रूप से, ट्रोजन को हटाने के लिए चरण-दर-चरण मार्गदर्शिका है.

राय लेखक के अपने हैं.

शीर्षक छवि क्रेडिट: CCleaner लोगो का स्क्रीनशॉट.

छवि क्रेडिट: dennizn / Shutterstock.com, विंटेज टोन / Shutterstock.com, डेनिस लाइनिन / Shutterstock.com, Iaremenko Sergii / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me