zniszczony monitor kineskopowy
25

CCleaner rozsiewał malware. Tak, to ten, którego przejął niedawno Avast

Do kuriozalnej sytuacji doszło z programem CCleaner, popularnego pakietu służącego głównie do walki ze złośliwym oprogramowaniem. Informacje pochodzące z Cisco Talos wskazują na to, iż między 15 sierpnia, a 12 września w oficjalnych kanałach dystrybucyjnych była dostępna złośliwa wersja programu, która odpowiedzialna była za rozprzestrzenienie Floxif, który miał pobierać inne niebezpieczne programy.

Co ciekawe, do sytuacji doszło na miesiąc po tym, jak Avast przejął firmę Piriform odpowiedzialną za tworzenie oraz dystrybucję popularnego narzędzia CCleaner. W przypadku tej aplikacji nie doszło jednak do podmienienia instalatora w zewnętrznej stronie oferującej dostęp do programu. Okazuje się, że również wersja znajdująca się na oficjalnej witrynie CCleanera zawierała w sobie kod Floxif. Cisco Talos wskazuje na to, że prawdopodobnie doszło do ataku na mechanizmy dystrybucyjne nowej wersji programu przez co hakerom udało się zamienić wolny od programów szpiegujących instalator na ten, który zawiera w sobie złośliwy dodatek. Niesamowicie kontrowersyjnym jest fakt, iż pliki instalacyjne były podpisane prawidłowym cyfrowym certyfikatem – podobnie jak wszystkie inne wersje CCleanera.

Floxif to narzędzie, które służy do pobierania innych niebezpiecznych programów. Mechanizm zbiera informacje na temat zainfekowanych systemów i przesyła je dalej do serwera zarządzającego. W tym momencie nie ma żadnych dowodów, które świadczyłyby o tym, iż Floxif zawarty w instalatorze CCleanera był w stanie ściągnąć z internetu inne niebezpieczne programy jednak nie jest to całkowicie wykluczane. Po zainstalowaniu na komputerze, Floxif gromadził takie informacje jak: nazwa komputera, lista zainstalowanych programów, lista uruchomionych procesów, adresy MAC dla pierwszych trzech interfejsów sieciowych oraz kilka innych unikalnych informacji pozwalających na łatwe zidentyfikowanie maszyny w sieci. Co ciekawe, Floxif był w stanie działać tylko na 32-bitowych systemach operacyjnych i dodatkowo, gdy użytkownik nie korzystał z konta administratora, jego działanie było przerywane.

ccleaner floxif

Mimo ograniczeń Floxif, zaatakowanych zostało tysiące komputerów

Analizując zapytania DNS dla domen wykorzystanych w sierpniu oraz wrześniu przez Floxif udało się odkryć, iż poprawnie udało się zaatakować co najmniej kilka tysięcy urządzeń na całym świecie. Tego typu infekcji mogło być znacznie więcej, jeśli Floxif byłby w stanie działać na 64-bitowych maszynach i dodatkowo, nie przeszkadzałby mu brak uprawnień administratora. Z punktu widzenia takich informacji atak nie wygląda na szczególnie poważny, ale należy brać pod uwagę, że dotyczy on firmy zajmującej się cyberbezpieczeństwem. Dlatego też, należy sobie zadać pytanie, w jaki dokładnie sposób doszło do tej infekcji i gdzie leży wina za rozprzestrzenienie Floxif za pomocą CCleanera.

Jeżeli na Waszych komputerach instalowaliście ostatnio CCleanera, musicie wiedzieć, że wersje 5.33.6162 są dotknięte złośliwym oprogramowaniem. Dodatkowo, pakiet CCleaner Cloud w wersji 1.07.3191 również zawiera w sobie niebezpieczny kod. Piriform 13 września opublikował nowe wersje tych programów, już wolne od cyberzagrożenia.

A może infekcja nie była przypadkowa?

Trudno sobie wyobrazić sytuację, w której naprawdę duża i szanowana firma (Avast) dopuszcza się instalowania złośliwego oprogramowania na komputerach swoich klientów. Eksperci wskazują, że raczej nie mamy do czynienia z intencjonalnym zarażaniem urządzeń przez CCleaner. Jednak pozostaje jeszcze pytanie o zabezpieczenia wewnątrz Piriform odpowiedzialnego za pakiet bezpieczeństwa. Nie wiadomo obecnie, w jaki sposób doszło do podmienienia prawidłowej wersji oprogramowania na tą, która zawierała złośliwy kod.

  • Bartosz Zabrzo

    uff nie mam cc od jakiegos czasu

    • Dotyczyło to tylko tej konkretnej wersji. :)

    • Bartosz Zabrzo

      Jak cc sam sie aktualizuje to chyba dostał bym tą wersje?

    • Optymista1

      Wersja darmowa nieaktualizuje się sama, musi to zrobić użytkownik

  • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

    Dobrze, że od jakiegoś czasu nie aktualizuję :D

    • Pakietów wysyłanych poprzez aktualizacje chyba nie ruszyli. :)

  • Adi

    Wolę Odkurzacz

  • won_CCleaner

    „Do kuriozalnej sytuacji doszło z programem CCleaner, popularnego pakietu służącego głównie do walki ze złośliwym oprogramowaniem.”
    Nie, CCleaner nigdy nie służył do walki ze złośliwym oprogramowaniem. Był odkurzaczem usuwającym śmieci z systemu.

    Był, bo dla mnie już nie jest.

    • Optymista1

      Wiesz, że twój nick oznacza „CCleaner wygrał” ? :)

    • won_CCleaner

      Po polsku nie znaczy, a po angielsku to wygrał co najwyżej pietruszkę :).

  • Adi

    Wolę Odkurzacz

  • Tomek pozdro

    Polecam zmianę na Privazer.

    • won_CCleaner

      Wczoraj testowałem. Przyzwyczaiłem się do przejrzystego menu CCleanera i pierwszy raz ciężko się połapać w Privazerze co z czym się je. Ale robotę zrobił. No, zobaczymy w przyszłości jak będzie się sprawdzał i jak skutecznie usuwa śmieci.

      A przy okazji, jest narzędzie do usuwania tego babola, który był rozsiewany z CCleanerem http://files-download.avg.com/util/avgrem/avg_remover_floxif.exe

      Sprawdzi pliki i ewentualnie usunie zakażenie. U mnie na szczęście tego czegoś nie było na kompie.

  • Optymista1

    W RSS wyświetliło mi się: „Popularny program usuwający złośliwe oprogramowanie… sam je rozsiewał”, poprawcie to bo to wprowadzanie w błąd, gdyż CCleaner nie jest antywirusem.

  • zakius

    „Trudno sobie wyobrazić sytuację, w której naprawdę duża i szanowana
    firma (Avast) dopuszcza się instalowania złośliwego oprogramowania
    na komputerach swoich klientów.”
    a avast to co? dosłownie każda wersja jest złośliwa, chociaż niektóre bardziej

    • Optymista1

      Adware :)

    • zakius

      oj żeby tylko to to byłoby dobrze

  • Zozo

    No to od kolejnych wersji Avast w pakiecie. Żeby czasem jakiś wirus się nie trafił…

  • stefan

    Gdyby tak MS wbudował takie narzędzie w system, to nikt by nie musiał tych klinerow używać na pierwszym miejscu.

    • Optymista1

      A wiesz, że częściowo jest ? 👊

  • Adrian Nyszko

    Dobrze ze raz wszystko zainstaluje i nic nie aktualizuje

  • kubastick

    Jestem ciekawy jakim cudem zmofyfikowany ccleaner został podpisany tym samym cyfrowym kluczem co niezainfekowana wersja.

  • kriswolf

    Czy ktoś wie dlaczego po skanowaniu ccleaner wylogowuje mnie ze wszystkiego, pomimo odznaczenia haseł?

  • jscst

    (…)Do kuriozalnej sytuacji doszło z programem CCleaner, popularnego pakietu służącego głównie do walki ze złośliwym oprogramowaniem.(…)
    Taki numer przeszedł w MeDoc, to dlaczego nie z CCleanerem czy Kasperskym?