Backdoor w CCleanerze

[Zeno]

Dla tych, którzy używają i chcą się przekonać, czy złapali ten katar, powinni za radą "instalek.pl" uruchomić program regedit.exe, a następnie przejść do klucza:
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
Jeżeli we wskazany kluczu znajdziecie dwie wartości DWORD, MUID oraz TCID, oznacza to, że złapaliście Floxifa.
lub przejechać komputer szczepionką od AVG:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[yyy]

Ci co zapłacili 20 ojro dostali backodoora bez grama wysiłku. Ci, którzy mieli wersję free musieli się odrobinę napracować instalując aktualizację

Mój największy koszmar - Avast chroni mój komputer, Ccleaner czyści a do pozostałych rzeczy korzystam z produktów Ashampoo

Dla tych, którzy używają i chcą się przekonać, czy złapali ten katar, powinni za radą "instalek.pl" uruchomić program regedit.exe, a następnie przejść do klucza:
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
Jeżeli we wskazany kluczu znajdziecie dwie wartości DWORD, MUID oraz TCID, oznacza to, że złapaliście Floxifa.
lub przejechać komputer szczepionką od AVG:

Zaloguj lub Zarejestruj się aby zobaczyć!

Kuzyn ccleaner przemycił ,dziadek avast przepuścił ,a wujek avg musi posprzątać i wszystko zostaje w rodzine avast

 

[spamtrash]

dobra to krotkie podsumowanie tematu. Kalendarz zgodnie z oswiadczeniem Avasta:
3 Lipiec - Ktos sie wlamuje do systemu Piriformu
18 Lipiec - Avast kupuje Piriform
15 Sierpien - Piriform, jako juz Avast, publikuje CCleaner 5.33. Wersja 32bit (CCleaner 5.33.6162) ma Floxifa.
21 i 22 sierpien - produkty MorphiSec'a wylapuja objay dzialania szkodnika (zbieranie danych i wysylka do C&C), ale MorphiSec nie informuje Avasta (moze mysleli ze to celowy harvesting danych?)
24 Sierpnia - Piriform publikuje CCleaner Cloud v1.07.3191 a jakze, tez z floxifem.
11 Wrzesien - klienci MorphiSec wystlaja firmie szczegoly dizalania infekcji.
12 Wrzesien - MorphiSec informuje Avasta oraz Cisco odnosnie podejrzanego zachowania CCLeanera. Avast i cisco uruchamiaja wlasne sledztwa i informuja organy prawne w US
14 Wrzesnia - Cisco udostepnia Avastowi wyniki sledztwa
Wrzesien - Cisco zarejestrowalo obecne i potencjalne domeny C&C.
15 Wrzesien - Serwer C&C zostal zamkniety.
15 Wrzesien - Avast publikuje czyste wersje CCleaner i CCleaner Cloud.
18 Wrzesien - upublicznienie incydentu

To ja sie kurna pytam czemu MorphiSec siedzial ciicho przez miesiac????

 

[spamtrash]

I ostatnie update od Cisco. sprawy jednak nie maja sie tak dobrze jak pisali...

Okazuje sie po przeanalizowaniu zawartosci C&C floxifa ze nieprawda jest jakoby posiadal on jedynie zdolnosc do, ale nie ladowal dodatkowego payloadu. Tworca/y Floxifa usuneli z serwera wiekszosc danych tuz przed jego przechwyceniem, byc mozne by zminimalizowac szkody po jego przechwyceniu, ale zachowaly sie dane z okresu 12-16 wrzesnia.
Okazuje sie za co najmniej 20 komputerow dostalo dodatkowy prezent w postaci malego backdoora.
Co prawda prawdopodobnie targetem nie byli uzytkownicy prywatni, a korpo (Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), MS, google, tp.), ale na chwile obecna zalecenie Cisco to przywrocenie systemu sprzed zainstalowania feralnej wersji CCleanera lub czysta reinstalka systemu bo sama aktualizacja CCleanera nie da nic jesli payload juz jest na kompie.

Zrodla: (Raiu to szef Global Research and Analysis Kasperskyego) oraz:

Zaloguj lub Zarejestruj się aby zobaczyć!

P.S. Oczywiscie przed panicznymi dzialaniami warto sprawdzic czy sie zaleglo.. polecam skaner LOKI, ktory darmowy jest a jego baza yara zostala niedawno uaktualniona o dziadziaja

 

[OXYGEN THIEF]

Na liście celów tajemniczych chińskich włamywaczy znalazła się fabryka AGD z Polski

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Zeno]

Nie dziwię się, że Cisco zaleca przywrócenie systemu, bo faktycznie wygląda na to, że celem ataku byli producenci z branży technologicznej, w tym Cisco. Zarażone urządzenia były tylko środkiem do rozprzestrzenianie malware dalej..
więcej:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

no to uzupełnienie... tym razem uważam że Cisco miało rację zalecając przywrócenie systemu bądź format. Ja bym jeszcze zalecił zmianę haseł bankowych, pocztowych i do mediów społecznościowych wszystkim którzy mieli pecha i zainstalowali zarażoną wersję CCleanera.

Powód takich zalecen jest tyleż prozaiczny co niepokojący. Jak uprzejmie donasza Avast JEDYNYM powodem dla którego na swerwerze znaleziono dane tylko za okres 12-15 września był fakt... PRZEPEŁNIENIA serwera danymi i jego reset. Najprawdopodobniej, choć dowodów brak, atakujący przed resetem serwera sobie dane ściągnęli. Innymi słowy: na serwerze C7C pozostały dane z 5 dni, a dane z 28 dni zostały utracone (nie przez atakujących, jak mniemam...).

Oczywiście cały czas w mocy pozostaje twierdzenie że wektor ataku to przede wszystkim firmy, i to głównie z branży IT/Technologia, ale... ale ręki bym sobie nie dał uciąć że chłopaki z Avasta/Cisco nie popełnią kolejnego "ogłoszenia" typu: sorka, pomylilim się, jak parę milionów adresów i haseł zostanie wystawione na sprzedaż.

Nie chce mi się wierzyć że przy 3 milionach pobrań zakażone wersji, z samych firm ściągnięto tyle danych, że zapchały serwer. Dodatkowo, tak naprawdę, to twórcy AV dodali definicje usuwające zakażenie, a nie payload który ściąga, i jakoś nikt nie upublicznia info jaki dokładnie backdoor się zagnieżdża w systemie...

 

[wwd]

Czy jakikolwiek program zabezpieczający wykrył szkodnika w tym programie? Wiadomo coś o tym?