Встретив в Интернете новости о том, что вместе с CCleaner целый месяц распространялся бэкдор (средство удалённого управления) я подумал “Ничего себе. Ну ладно…”, хотя судьба распорядилась иначе. Столкнулся с этим бэкдором на собственной шкуре.
Буквально вчера антивирус после очередного обновления отреагировал на утилиту:
Исследователи обнаружили, что версия CCleaner 5.33 периодически связывается с подозрительным доменом в Интернете. Виновник нашёлся – вредоносный объект Floxif, работающий из-под учётной записи администратора и лишь на x86 платформах.
Вредоносный объект собирает информацию об инфицированном узле и отправляет их на удалённый сервер.
По мнению специалистов, вредонос содержит также функционал загрузки дополнительных модулей, но подтверждённых данных об использовании данной возможности я не встречал.
Как это произошло?
Эксперты Cisco Talos полагают, что злоумышленником удалось скомпрометировать цепочку сертификатов и подписать CCleaner версии 5.33.0.6162, чтобы подменить ей легальную версию.
Как проверить на заражение?
На сайтах пишут о том, как можно понять, являетесь вы “счастливым” обладателем инфицированной версии или нет:
Провериться на заражение можно достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.
Источник: https://xakep.ru/2017/10/17/infineon-technologies-tpm-flaw/
Так вот, друзья, у меня данного ключа нет, значит этот способ нельзя считать на 100% верным.
Предлагаю переустановить CCleaner на новую версию (на момент написания статьи доступна версия 5.35 , не содержащая вредоносный код).
Comments: