CCleaner bol infikovaný zrejme hacknutím kompilačného prostredia, obeťami milióny

Značky: bezpečnosťIT

DSL.sk, 19.9.2017

K vážnemu bezpečnostnému incidentu v podobe infikovania oficiálneho inštalátora populárneho nástroja pre Windows CCleaner prišlo najpravdepodobnejšie pre "modifikáciu prostredia pre zostavovanie softvéru" tvorcu softvéru, spoločnosti Piriform.

Pre server DSL.sk to uviedla spoločnosť Avast, ktorá v lete Piriform odkúpila a aktuálne aj analyzovala incident.

Ako sme upozornili v pondelňajšom článku, Piriform ponúkal takmer mesiac od 15. augusta do 12. septembra z oficiálnych serverov infikovanú verziu inštalátora CCleaner 5.33.6162 a tiež infikovanú verziu CCloud Cloud 1.07.3191.

V inštalátore bol infikovaný priamo inštalovaný spustiteľný súbor CCleaneru, pričom infekcia sa týka podľa Avastu iba 32-bitových verzií Windows.

Na tom odkiaľ užívateľ stiahol inštalačný súbor nezáležalo, podľa informácií Avastu pre DSL.sk všetky stránky distribuujúce CCleaner ponúkali rovnaký infikovaný inštalátor.

Akú podobu má prostredie pre zostavovanie softvéru v Piriform a ako konkrétne bolo modifikované zatiaľ nie je známe. Vo väčších softvérových firmách môže takéto prostredie pozostávať zo serverov respektíve dokonca klastera serverov realizujúcich kompiláciu automaticky, v malých firmách ako je Piriform môžu byť zostavenia vytvárané napríklad aj na jednej pracovnej stanici alebo desktope jedného vývojára.

Ilustračný obrázok, CCleaner, kliknite pre zväčšenie (screenshot: Piriform)

Podľa Avastu bolo incidentom postihnutých 2.27 miliónov užívateľov.

Bezpečnostná divízia Talos spoločnosti Cisco, ktorá infekciu nezávisle objavila, hovorí o ďalšom limitujúcom faktore. Škodlivý kód sa podľa nej aktivoval iba ak má užívateľ administrátorské oprávnenia. Piriform ale o podobnom obmedzení nehovorí.

Škodlivý kód v CCleaner odoslal viaceré informácie o počítači na server útočníkov. Z tohto servera mohol dostať ďalší škodlivý kód na spustenie, Avast ale tvrdí že podľa jeho analýzy postihnutých PC sa tak nikdy nedialo. Vzhľadom na povahu škodlivého kódu zahrnutého v inštalátore tak podľa spoločnosti stačí nainštalovať novú neinfikovanú verziu 5.34 a škodlivý kód bude odstránený. V prípade CCleaner Cloud bol softvér už automaticky aktualizovaný.

Vhodným opatrením môže byť pre istotu oskenovať počítač, na ktorom bola zraniteľná verzia, antivírusom.

Talos ale odporúča infikovaný systém obnoviť do stavu pred 15. augustom alebo reinštalovať Windows. Dôkazy o reálnom stiahnutí ďalšieho škodlivého kódu zo serveru útočníkov nemá ale ani Talos, potvrdil pre DSL.sk Ross Gibb zo spoločnosti. Gibb odporúča reinštaláciu ako najbezpečnejšie riešenie. "Najbezpečnejším riešením je reinštalovať každý počítač, na ktorom bol CCleaner 5.33 nainštalovaný," uviedol Gibb pre DSL.sk.

Vzhľadom na tvrdenie Avastu je aspoň pre bežných užívateľov takéto odporúčanie ale zrejme príliš radikálne a pokiaľ užívateľ nemá na počítači citlivé informácie, na základe zatiaľ dostupných informácií môže byť preň vhodným riešením spoliehať sa na odporúčanie Avastu a doplniť ho oskenovaním počítača a prípadne inými doplňujúcimi opatreniami.




Najnovšie články:



Diskusia:

Vírus Od: grr. | Pridané: 19.9.2017 11:03 "infekcia sa týka podľa Avastu iba 32-bitových verzií Windows." Mal som nainštalovanú 64 bitovú verziu 5.33, bolo mi pri inštalácii divné prečo chce aby som to inštaloval s vyššími právami, ale tak umožnil som to vtedy lebo som si myslel že je to bezpečné, napokon je to CCleaner, miliónmi užívateľmi používaný softvér na celom svete a ani v najhoršom sne by ma nenapadlo že môže byť zavírený! Medzi tým som aktualizoval na verziu 5.34, ale po tejto správe som pre istotu CCleaner odinštaloval a teraz už skoro 10 hodín skenujem počítač softvérom Immunet používajúcim ClamAv, doteraz ani jedna zmienka o aktívnom víruse, ale inštalačky CCleaneru verzie 5.33 už identifikoval a hodil do karantény. PS: Strašne ten Immunet spomaluje počítač. :/ Odpovedať Známka: 2.0 Hodnotiť:

Re: Vírus Od: Adolf Kernel | Pridané: 19.9.2017 11:04 Coho sa Avast chyti, tam je spomalenie systemu a virus... Odpovedať Známka: -3.6 Hodnotiť:

Re: Vírus Od: Inkognito | Pridané: 19.9.2017 11:08 je jasne ze si rad kopnes, ale avast za noc nemoze. a prave pre taketo poskodenie ich mena, pojde ten co to urobil az ho najdu, do vazenia az scerna Odpovedať Známka: 1.7 Hodnotiť:

Re: Vírus Od reg.: Lukáš Raynor Majer | Pridané: 19.9.2017 11:13 Odkedy sa od váženia černie? Odpovedať Známka: 6.5 Hodnotiť:

Re: Vírus Od reg.: maninshadow | Pridané: 19.9.2017 11:17 Ked vazis uhlie. Odpovedať Známka: 9.2 Hodnotiť:

Re: Vírus Od: Adolf Kernel | Pridané: 19.9.2017 11:21 Bez ochrany... Odpovedať Známka: 6.9 Hodnotiť:

Re: Vírus Od: čitateľ | Pridané: 19.9.2017 13:07 Odkedy sa váži vo väzení. Odpovedať Známka: -5.0 Hodnotiť:

Re: Vírus Od: akože slobodný vamericania | Pridané: 19.9.2017 13:15 Na guantaname majú väzni zadarmo aj rektoskopiu aj zubára, Američania si za to musia platiť. Odpovedať Hodnotiť:

Re: Vírus Od reg.: quix_ | Pridané: 19.9.2017 13:59 lebo za slobodu sa plati :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Vírus Od reg.: Anomalia | Pridané: 19.9.2017 11:49 Za noc moze rotacia Zeme, samozrejme ze nie avast. Kazdy AV potrebuje root prava ku vsetkym lokalnym suborom. Z principu im neverim, a samozvane deklaracie nech si strcia do (_._) Odpovedať Známka: 10.0 Hodnotiť:

Re: Vírus Od: Kandidat viet | Pridané: 19.9.2017 11:59 na to aby si vsetky samozvane deklaracie strcili do (_._) by potrebovali aby to bola poriadne velka (_o_) ... Odpovedať Známka: 10.0 Hodnotiť:

Re: Vírus Od: syntaxterrorX XX | Pridané: 19.9.2017 12:11 Eventualne by ale bolo mozne velkost zachovat a vyuzit casovu dimenziu. Napriklad uz len posunutie o hodinu by kapacitu priekazne navysilo nasobne. Odpovedať Známka: 10.0 Hodnotiť:

Re: Vírus Od: Adolf Kernel | Pridané: 19.9.2017 13:35 (_._) + 1 Odpovedať Známka: 10.0 Hodnotiť:

Re: Vírus Od: GabrielR | Pridané: 20.9.2017 21:07 Myslel si (_._)++ Odpovedať Známka: 3.3 Hodnotiť:

Re: Vírus Od: ffdf | Pridané: 20.9.2017 21:19 kua čo tu furt šeci to "K" v zátvorke??? Odpovedať Hodnotiť:

Re: Vírus Od reg.: ujo horar | Pridané: 19.9.2017 13:42 aby sa im neozvala LGBTI komunita... tama zvlast velke (_O_) Odpovedať Známka: 10.0 Hodnotiť:

Re: Vírus Od: Kantorsky Lab | Pridané: 20.9.2017 7:29 Takto sa im podarilo odpísať perfektný nástroj ADW Cleaner. Kúpila ho spoločnosť Malwarebytes a odvtedy bol ADW Cleaner doslova impotentný. Ak predtým našiel a odstránil veci, ktoré zvyšné antivíry nenašli, po prechode pod krídla Malwarebytes nenašiel nič ... náhodička ! -:)) Odpovedať Hodnotiť:

Re: Vírus Od: pgdrj | Pridané: 19.9.2017 11:39 skoda - 10tich hodin hee hee , ... na blbosti treba mat dva pocitace jeden na hranie a jeden na vazne veci o ktore nechcem prist a najlepsie obalit alobalom , posielam kvety . ps:. dufam ze to skenujes pomocou extrerneho antiviru , inac to je zbytocne . Odpovedať Známka: -1.4 Hodnotiť:

Re: Vírus Od: arch_bastard | Pridané: 19.9.2017 12:19 >bolo mi pri inštalácii divné prečo chce aby som to inštaloval s vyššími právami http://dopice.sk//eyes Odpovedať Známka: 2.0 Hodnotiť:

Re: Vírus Od: ffdf | Pridané: 20.9.2017 21:17 máš ho tam!! ak dostaneš hlášku že ani po x hodinách skenovania tam nič nieje tak ho tam máš! :-) a sure nemáš SSD ak to máš spomalené...na klasickom disku spôsobovalo spomalenie úplne všetko...fasa néé?? Odpovedať Hodnotiť:

..... Od: Inkognito | Pridané: 19.9.2017 11:06 toto je na väzenie, až ich-ho chytia. Odpovedať Známka: -1.4 Hodnotiť:

Re: ..... Od: Nasr | Pridané: 19.9.2017 11:20 staci mat spravneho prokuratora a skutok sa nestal Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: grr. | Pridané: 19.9.2017 11:26 Myslíš že všetci majú prokurátora spolužiaka? Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: kekeket | Pridané: 19.9.2017 14:35 Vsetci spoluziaci prokuratora ano Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: ffdf | Pridané: 20.9.2017 21:22 skôr "spoluúbožiaka"..."jak to v mnoha případech je" Odpovedať Hodnotiť:

Cistenie pocitaca Od: dfsffsd | Pridané: 19.9.2017 11:29 Na cistenie pocitaca pouzivam vyhradne len Savo. A vlastne ho pouzivam na hocijake cistenie - vratane cistenia organizmu. Pitie Sava je najlepsia prevencia pred rakovinou. Ale o tom sa v mainstreame nedocitate, farma lobby to nevodoli. Odpovedať Známka: 5.6 Hodnotiť:

Re: Cistenie pocitaca Od: dfsffsd | Pridané: 19.9.2017 14:44 *oprava farma = pharma nevodoli = nedovoli Tie drobne chyby su zrejme malym vedlajsim ucinkom pitia toho Sava, ale inak je to uplne bezpecne. Dakujem za pozornost. Odpovedať Známka: 10.0 Hodnotiť:

Re: Cistenie pocitaca Od: ffdf | Pridané: 20.9.2017 21:24 daj si SAVO bez chloru...to je zdravšie /aj ked bez kyslíku to je na hovno!/ Odpovedať Hodnotiť:

Re: Cistenie pocitaca Od: koumak | Pridané: 19.9.2017 15:47 Aj ked je tvoj prispevok ironicky, mozno ani netusis, ze Savo sa skutocne niekedy pouziva v urcitej koncentracii na dezinfekciu vody, zvycajne v bazenoch. Odpovedať Hodnotiť:

Re: Cistenie pocitaca Od: Nasr | Pridané: 20.9.2017 8:52 Savo sa pouziva aj na dezinfekciu studni Odpovedať Hodnotiť:

Re: Cistenie pocitaca Od: real name | Pridané: 20.9.2017 11:16 a naopak Odpovedať Známka: 3.3 Hodnotiť:

naprd Od reg.: Zapredaný | Pridané: 19.9.2017 11:47 S CCleanerom som skoncil v den ako mi Widle zacali pisat ze mam plny disk a na C som nasiel subor vytvoreny CCleanerom ktory mal 300GB. Ked potrebujete "cistit" OS tak je to nahovno OS. Linux/BSD systemy su cesta! Odpovedať Známka: -3.3 Hodnotiť:

Re: naprd Od: Sloniik | Pridané: 19.9.2017 11:54 Ach ty nahovno zaprdeny, aj linux treba cistit. Len by si ho musel aj viac pouzivat. Odpovedať Známka: 2.9 Hodnotiť:

zdravy rozum Od: mehehe | Pridané: 19.9.2017 12:29 som adminom na univerzite.. akakolvek poziadavka na instalaciu tohoto softwaru bola automaticky zamietnuta :D ... nastastie :D Odpovedať Známka: 0.8 Hodnotiť:

Re: zdravy rozum Od: ujo troll | Pridané: 19.9.2017 12:51 a kde to chceli ludia instalovat akoze ? Na nejaky PC v ucebni alebo free PC terminal? A naco by to niekto chcel na nejakom shared shite ? Odpovedať Známka: 10.0 Hodnotiť:

Re: zdravy rozum Od: Ficiak | Pridané: 19.9.2017 13:40 Si adminom na univerzite a nevyuzivas tie PC potajme na tazenie ? Studuj este... Odpovedať Známka: 7.3 Hodnotiť:

Re: zdravy rozum Od reg.: quix_ | Pridané: 19.9.2017 14:01 nie je mitnick (aspon tak to bolo vo filme :D) Odpovedať Známka: -3.3 Hodnotiť:

Re: zdravy rozum Od: ffdf | Pridané: 20.9.2017 21:28 Mitnick bol hacker a nie SETI miner či niečo podobné Odpovedať Hodnotiť:

c:\\temp Od: Okoloiduci | Pridané: 19.9.2017 12:48 temp a tmp. tal isto c:\windows\temp do c:\temp a pri spusteni win zmazat obsah davkou.. firefox a explorer nastaveny docasne subory na 50 MB. Chrome nemusim, ten blbecek si robi co chce, ani update si poo sebe nezmaze ... CCleaner som po kolegovi mazal uz pred rokom, a furt rozmyslam, naco to kade tade pcha ... Dufam, ze sa mu to vypomstilo teraz... Hotovo ... Odpovedať Známka: -3.3 Hodnotiť:

nic sa nestalo Od: vikus | Pridané: 19.9.2017 16:07 mal som to na administratorskom pc. jebem na to. reinstal by bol na dlho Odpovedať Hodnotiť:

Re: nic sa nestalo Od: ciciniak | Pridané: 19.9.2017 21:46 Však počkaj,keď ti z pc vybehne von trójsky kôň a nasere ti po byte. Odpovedať Známka: 10.0 Hodnotiť:

MEHHHHHHH Od: EHHHHH | Pridané: 20.9.2017 4:36 Aj tak za vsetko v podstate moze intel s MS tragicka architektura cipov a nasledne aj tragicka architektura OS - napr. Windosov :/ Odpovedať Hodnotiť:

tak určitě Od: oNeDaL | Pridané: 20.9.2017 7:31 Smutné, kolik lidí tu najednou CCleaner odsuzuje a říká, že je to software k ničemu. Buď jste pokrytci a nebo moc nerozumíte tomu jak ten software funguje. Pokud někoho odsoudit, tak vývojáře, který zanedbal bezpečnost svého environmentu a umožnil tak infiltraci zvenčí. Pro Windows je to skutečně šikovná utilita, která dokáže odbordelizováním zrychlit systém i o několik procent. Ocenil bych i podobou aplikaci pro Linux, protože i zde se občas hodí vymazat nějaké cache soubory (typicky hlavně pro prohlížečích nebo po Evolution). Odpovedať Známka: 7.1 Hodnotiť:

Re: tak určitě Od reg.: Sheep | Pridané: 20.9.2017 11:11 Je nepodstatne ci to je dobry alebo zly program, tieto programy mali vyznam v casoch Win98, XP, Vista, kedy pocitace mali magneticke disky a tak do 2 GB RAM. Pri Win7/8 a 10 ktore uz niesu tak nachylne na tieto veci a modernom HW ten program nema vyznam. Skor ako instalacia winu, ti tam bud odide nejaka suciastka a ho hodis do srotu alebo ten komp jednoducho predas a vymenis za novy pretoze chces nieco novsie lepsie rychlejsie. To co bol kedysi zavazny problem oznacovany za 'poor OS performance' je v sucasnosti davno prekonany. Udrzbarske programy typu CC dnes maju vyznam ozaj len pre archaicke pocitace so starymi instalaciami. Odpovedať Známka: -10.0 Hodnotiť:

Re: tak určitě Od: vgy | Pridané: 20.9.2017 11:43 Pri dostupnosti copy on write mechanizme by teoreticky bolo mozne vratit registre do povodneho stavu a pozriet zmeny na disku pri zmenenych dokumentoch. Pri transakcnom suborovom systeme a spravnom nastaveni prav by zmeny v urcitych dokumentoch mohli vykonavat len opravnene osoby. Bolo by ale nutne zapracovat na viacnasobnom pristupe k jednemu dokumentu na zdielanom disku. Potom by bolo mozne pri spravnom nastaveni registrov dokumentu povolit editaciu len urcitych casti dokumentu. Co by sa dalo vyuzit na formulare, ktore by si dala vyplnat statna sprava a v pozadi by mohol bezat nejaky Access s napojenim na nieco dalsie. :D Odpovedať Hodnotiť:

Re: tak určitě Od: oNeDaL | Pridané: 20.9.2017 11:56 Nemůžu souhlasit. Na Win10 na notebooku v cenové relaci kolem 40k CZK mi čas od času zvýší výkon. SSD disk, 16GB RAM, i7. Odpovedať Hodnotiť:

Re: tak určitě Od: hdfhbd | Pridané: 20.9.2017 15:02 ha-ha-ha, kecy hlúpej ovce, béééé Odpovedať Hodnotiť:

Re: tak určitě Od: Sloniik | Pridané: 21.9.2017 7:53 Sheep priznaj si, ze si kokot a netrep bludy. Odpovedať Hodnotiť:

Pridať komentár