Материал просмотрен 151 раз(а)

Встретив в Интернете новости о том, что вместе с CCleaner целый месяц распространялся бэкдор (средство удалённого управления) я подумал “Ничего себе. Ну ладно…”, хотя судьба распорядилась иначе. Столкнулся с этим бэкдором на собственной шкуре.

CCLeaner-Backdoor

Буквально вчера антивирус после очередного обновления отреагировал на утилиту:

Backdoor CCleaner

 

Исследователи обнаружили, что версия CCleaner 5.33 периодически связывается с подозрительным доменом в Интернете. Виновник нашёлся – вредоносный объект Floxif, работающий из-под учётной записи администратора и лишь на x86 платформах.

Вредоносный объект собирает информацию об инфицированном узле и отправляет их на удалённый сервер.

По мнению специалистов, вредонос содержит также функционал загрузки дополнительных модулей, но подтверждённых данных об использовании данной возможности я не встречал.

Как это произошло?

Эксперты Cisco Talos полагают, что злоумышленником удалось скомпрометировать цепочку сертификатов и подписать CCleaner версии 5.33.0.6162, чтобы подменить ей легальную версию.

Инфицированная версия

Как проверить на заражение?

На сайтах пишут о том, как можно понять, являетесь вы “счастливым” обладателем инфицированной версии или нет:

Провериться на заражение можно достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.

Источник: https://xakep.ru/2017/10/17/infineon-technologies-tpm-flaw/

Так вот, друзья, у меня данного ключа нет, значит этот способ нельзя считать на 100% верным.

Предлагаю переустановить CCleaner на новую версию (на момент написания статьи доступна версия 5.35 , не содержащая вредоносный код).