您需要了解的有关CCleaner恶意软件攻击的所有信息

有消息称,受感染的流行PC和Android优化软件CCleaner的版本已将恶意软件传播给大量计算机用户. 该消息最早是在星期一早上在网络上发布的,当时该软件的开发人员Piriform发表了有关该主题的博客文章。好消息是只有在32位Windows系统上运行CCleaner的人受到影响.

自从故事开始破裂以来,计算机安全公司Avast宣布,多达227万CCleaner用户可能已受到流行PC性能优化软件官方版本中隐藏的恶意软件的影响。此后,思科的研究表明,感染的真实数量较低,大约为70万台PC.

根据Piriform的博客文章,受感染的CCleaner副本在8月15日至9月12日之间传播。 Piriform表示,其软件遭到破坏的版本为CCleaner 5.33.6162和CCleaner Cloud 1.07.3191.

Piriform敦促所有CCleaner用户尽快下载5.34版或更高版本。值得注意的是CCleaner Cloud的用户将自动收到更新。但是,其他CCleaner用户可能仍在运行受感染的版本,因此对于那些使用者而言,手动更新极为重要.

尚不知道黑客如何在CCleaner的正式版本中隐藏恶意代码。从Piriform的博客文章中:

“我们发现5.33.6162版本的CCleaner和1.07.3191版本的CCleaner Cloud在被公开发布之前被非法修改,我们开始了调查过程。我们还立即与执法部门联系,并与他们合作解决了这一问题。”

"不敏感" 数据被盗

到目前为止,Piriform已经能够确定该恶意软件正在与位于美国的Command and Control(CnC)服务器进行通信。黑客似乎使用了恶意软件来收集公司描述为“非敏感”数据.

这些数据包括用户的计算机名,IP地址,在其计算机上安装的软件的完整列表,活动软件的列表以及网络适配器的列表。 Piriform已通知用户:

“我们没有迹象表明任何其他数据已发送到服务器.

“与美国执法部门合作,我们导致该服务器于9月15日关闭,然后再进行任何已知的危害。在服务器被禁用之前,我们已经公开了此消息,这将阻碍执法机构的调查,并且我们完成了初步评估,”

阿瓦斯特

Avast的参与

有趣的是,安全巨头Avast(为全球计算机用户提供安全产品)直到最近才收购了CCleaner的开发商Piriform。此次收购仅在两个月前(即2017年7月)完成。因此,至少可以说,这次攻击的时机有点让人头疼。该恶意软件在发布给公众之前已被安装在CCleaner的正式版本中,这可能意味着黑客从内部进行了工作。只有时间会给出答案.

代表Avast的发言人发表了以下评论:

“我们认为这些用户现在是安全的,因为我们的调查表明,我们能够在威胁造成任何伤害之前解除威胁.

“我们估计有227万用户在32位Windows计算机上安装了受影响的软件。”

一些好消息

尽管初步估计感染很大,但Piriform似乎很幸运。在收购Avast时,据称CCleaner拥有1.3亿活跃用户,其中Android拥有1500万。由于感染仅限于在32位Windows PC上运行的CCleaner版本,因此,似乎受影响的CCleaner用户相对较少(根据Cisco的统计,仅700,000台计算机).

企业目标

企业目标

尽管仅针对少数CCleaner用户,但现在已经出现证据表明黑客非常具体地试图感染企业目标。安全专家分析了黑客使用的CnC服务器后发现了这一启示.

思科Talos安全部门的研究人员声称,他们已经发现证据表明有20家大型公司专门针对感染。这些公司包括英特尔,谷歌,三星,索尼,VMware,HTC,Linksys,微软,Akamai,D-Link和思科本身。据思科称,在大约一半的情况下,黑客设法感染了至少一台计算机。这充当了其CnC服务器提供更复杂的有效负载的后门。思科认为该漏洞可用于企业间谍活动.

有趣的是,根据思科和卡巴斯基的说法,CCleaner中包含的恶意软件代码与中国政府黑客利用的被称为Group 72或Axiom的漏洞共享一些代码。现在说还为时过早,但这可能意味着网络攻击是国家资助的行动.

Talos研究经理Craig Williams评论,

"当我们最初发现它时,我们知道它已经感染了许多公司。现在我们知道,这已被用作针对全球这20家公司的拉网...在那些有价值的东西(包括不幸的是思科)的公司中立足."

思科公司

早起

值得庆幸的是,Piriform能够尽早发现攻击,从而阻止了攻击的恶化。 Piriform的副总裁Paul Yung评论,

“在此阶段,我们不希望推测未经授权的代码如何出现在CCleaner软件中,攻击源自何处,准备了多长时间以及受其攻击的人。”

但是,思科很快指出,对于目标公司(他们已经联系过的公司),仅仅更新CCleaner可能不够,因为次要负载可能隐藏在他们的系统中。它可能正在与另一台CnC服务器进行通信,以与迄今为止尚未发现的服务器通信。这意味着黑客可能会将更多的漏洞利用传递给这些计算机。.

因此,思科建议将所有可能被感染的计算机还原到在其上安装受污染的Piriform软件版本之前。.

Cclener Trojan

TR / RedCap.zioqa

根据一位名为Sky87的CCleaner用户的说法,他们在周二打开了CCleaner,以检查其版本。那时,该32位二进制文​​件立即被隔离,并显示一条消息,将恶意软件标识为TR / RedCap.zioqa。 TR / RedCap.zioqa是一种木马,已为安全专家所熟知。 Avira将其称为,

“特洛伊木马能够监视数据,侵犯您的隐私或对系统进行不必要的修改。”

该怎么办

如果您担心自己的CCleaner版本,请检查系统中的Windows注册表项。为此,请转到:HKEY_LOCAL_MACHINE >软件 >梨状 >阿格莫如果存在Agomo文件夹,将有两个值,分别为MUID和TCID。这表明您的计算机确实已被感染.

值得注意的是,将系统更新为CCleaner版本5.34不会从Windows注册表中删除Agomo项。它仅用合法的可执行文件替换恶意的可执行文件,因此该恶意软件不再构成威胁。因此,如果您已经更新到最新版本的CCleaner并查看了Agomo密钥,则无需担心.

对于任何担心自己的系统可能感染了TR / RedCap.zioqa木马版本的人,最好的建议是使用免费的恶意软件检测和清除工具SpyHunter。另外,这里还有一个分步指南,用于删除木马。.

意见是作者自己的.

标题图片来源:CCleaner徽标的屏幕截图.

图片来源:dennizn / Shutterstock.com,Vintage Tone / Shutterstock.com,Denis Linine / Shutterstock.com,Iaremenko Sergii / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me