Selle rünnaku kirjeldasid Cisco Talos asuvad teadlased järgmiselt: CCleaneri 5.33 õigustatud allkirjastatud versioon.. Samuti sisaldas mitmetasandiline pahavara kasulik koormus, mis jooksis CCleaneri installi peale. CCleaneri emaettevõtja Piriform (mida hiljuti ostis kohutav viirusetõrjefirma Avast) tunnistas seda probleemi kohe pärast seda.
Kuna CCleaner väidab, et on miljoneid allalaadimisi nädalas, on see potentsiaalselt tõsine probleem.
Mida teeb pahavara?
Paharprogramm ei kahjusta süsteeme aktiivselt, kuid see krüpteeriti ja koguti teavet, mida võiks tulevikus teie süsteemi kahjustamiseks kasutada. Eelkõige Piriformi andmetel loonud arvuti jaoks ainulaadse identifikaatori ja kogus seda:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Saate lugeda rohkem tehnilist infot rünnaku kohta Cisco Talose blogis ja Piriformi blogis.
Kas mind mõjutas?
Õnneks tundub, et see pahavara mõjutas ainult kindlat CCleaneri kasutajate alamhulka. Eelkõige mõjutas see järgmist:
- Kasutajad, kes käitavad rakenduse 32-bitist versiooni (mitte 64-bitist versiooni)
- Kasutajad, kes käitavad CCleaneri versiooni 5.33.6162 või CCleaner Cloud 1.07.3191, mis ilmus 15. augustil 2017
Kuna paljud kasutajad kasutavad tõenäoliselt rakenduse 64-bitist versiooni ja CCleaner Free ei värskendata automaatselt, on see hea uudis paljudele inimestele.
(Uuenda: Mõni päev pärast seda, kui uudised murdusid, leiti teine koormatav koormus, mis mõjutas 64-bitiseid kasutajaid, kuid see oli suunatud ettevõtetele suunatud rünnak, mistõttu enamik kodu kasutajaid ei mõjutanud.)
Kui olete Windowsi 32-bitisel versioonil ja arvate, et võisite CCleaneri alla laadida mõjutatud ajavahemikus, siis saate kontrollida, millist versiooni teil on. Avage CCleaner ja vaadake akna ülemises vasakus nurgas - peaksite nägema programmi nime all olevat versiooni numbrit.
HKLMSOFTWAREPiriform
ja vaata, kas seal on klahv märgistatud
Agomo:MUID
. Kui see võti on olemas, siis tähendab see, et teil oli teie süsteemis nakatatud tarkvara ühes ajahetkel.)
Mida ma peaksin tegema?
Kuigi midagi kohe kahjulikku ei leitud, soovitab Cisco Talos teie süsteemi taastada enne 15. augustit 2017 varundamisest, kui see on mõjutatud. Sa peaksid tõenäoliselt viirusetõrje ja MalwareByte'i skannima oma süsteemis ja oma varukoopiate tegemiseks, et poleks pahavara jäänud installitud.
Alternatiivina ütlevad nad, et saate Windowsi täielikult installida - jah, see on natuke tuumaobjekt, kuid see on ainus viis täielikult teada, et teie süsteem on puhas pärast sellist sündmust.
