更新(9/19/2017):

停住了澄清解释发生了什么,并给出事件的时间表。我们应该注意到的一点是,此次入侵发生在Avast接管Piriform之前。

不确定它们是否受到此类的影响以及它们是否可能已发送给C2服务器的用户可以检查注册表项下是否存在以下值:

HKEY_LOCAL_MACHINE \ \梨状\ Agomo软件

有问题的值是:
muid,tcid和nid

这些值不是由任何清洁版本的CCleaner创建的,仅由受感染的版本创建。

必威平台APPMalwarebytes将检测这些值的存在并将其标记为trojan.floxif.trace.trace.

据报道,木马本身只在Windows 32位系统上运行,但上面的值也在64位系统上创建。

原帖:

在一个供应链攻击这可能在下载数量前所未有,托管CCleaner的服务器是一种清理PC的流行工具,已经通过恶意软件提供了一个上述软件的版本。

ccleaner恶意软件吗?

威胁参与者已设法更改托管CCleaner更新的Avast服务器正在传递的文件。如果您想知道为什么他们在那些服务器上,停住了梨形的,几个月前,CCleaner的原始出版商。

事件被发现了塔罗斯州报道梨形的意识到正在采取行动防止进一步的破坏。他们还在调查来自他们服务器的文件在发布给公众之前是如何被修改的。

妥协版本

可能的影响

目前很难说有多少用户可能受到影响,但数字可能是巨大的。从Piriform带来的统计数据,CCleaner总共下载了20亿次,每周500万次。修改版本5.33,由8月15日提供,直到9月12日发布5.34版。在一个新闻语句该公司估计有227万人使用了受影响的软件。

CCleaner恶意软件

恶意软件会收集被感染系统的以下信息:

  • 电脑名称
  • 已安装的软件列表,包括Windows更新
  • 当前正在运行的进程列表
  • MAC地址前三个网络适配器
  • 与管理权限等恶意软件相关的其他系统信息,无论是64位系统等。

恶意软件使用硬编码的C2服务器和一个域生成算法(DGA)作为备份,发送有关受影响的系统的信息并获取最终的信息有效载荷

阻止IP.

如果你认为你受到影响,该怎么办?

首先,检查系统上的CCleaner版本。如果您怀疑您可能已经下载了CCleaner 5.33.6162或CCleaner Cloud 1.07.3191版本,请扫描您的系统是否存在恶意软件。

检测和保护

正在运行旧版本的CCleaner用户或不相信他们现在使用的版本的CCleaner用户被鼓励更新他们的CCleaner软件到5.34或更高版本。最新版本可以下载在这里

受影响的版本:CCleaner版本5.33.6162和CCleaner云版本1.07.3191

必威平台APP阻止与此恶意软件相关的IP和域。我们还删除了恶意安装程序。

注意安全!

Pieter Arntz.