Hyökkäys on kuvattu näin Cisco Talosin tutkijoiden keskuudessa: "CCleaner 5.33: n laillinen allekirjoitettu versio.. Lisäksi CLEANERin asennuksessa oli monivaiheinen haittaohjelmien hyötykuorma. "CCleanerin emoyhtiö Piriform (joka on hiljattain ostanut kauhea virustentorjuntayhtiö Avast) tunnusti ongelman pian sen jälkeen.
Koska CCleaner väittää olevan miljoonia latauksia viikossa, se on mahdollisesti vakava ongelma.
Mitä haittaohjelmat tekevät?
Haittaohjelma ei haitannut aktiivisesti järjestelmää, mutta se salaa ja kerää tietoja, joita voit käyttää vahingoittamaan järjestelmääsi tulevaisuudessa. Erityisesti Piriformin mukaan se loi tietokoneelle yksilöllisen tunnisteen ja keräsi sen:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Voit lukea lisää teknisiä tietoja hyökkäyksestä Cisco Talosin blogissa ja Piriformin blogissa.
Olinko vaikuttamassa?
Onneksi näyttää siltä, että haittaohjelmat koskivat vain tiettyä CCleaner-käyttäjää. Erityisesti se vaikutti seuraaviin seikkoihin:
- Sovelluksen 32-bittisen version (ei 64-bittisen version)
- Käyttäjät, jotka käyttävät CCleaner tai CCleaner Cloud 1.07.3191 -versiota 5.33.6162, julkaistu 15. elokuuta 2017
Koska monet käyttäjät todennäköisesti käyttävät sovelluksen 64-bittistä versiota, ja CCleaner Free ei päivity automaattisesti, tämä on hyvä uutinen monille ihmisille.
(Päivittää: Muutaman päivän kuluttua tämän uutisen rikkoutuessa löydettiin toinen hyötykuoli, joka vaikutti 64-bittisiin käyttäjiin - mutta se oli kohdennettu hyökkäys teknologiayrityksiä vastaan, joten on epätodennäköistä, että useimmat kotikäyttäjät kärsivät.)
Jos olet 32-bittisessä Windows-versiossa ja ajattele, että olet mahdollisesti ladannut CCleaner-sovelluksen kyseisellä aikataululla, voit tarkistaa, mitä versiota sinulla on. Avaa CCleaner ja katsele ikkunan vasemmassa yläkulmassa - näkyviin tulee ohjelmanumeron mukainen versionumero.
HKLMSOFTWAREPiriform
ja tarkista, onko avaimella merkitty
Agomo:MUID
. Jos kyseinen avain on olemassa, se tarkoittaa, että sinä sait tartunnan saaneen ohjelmiston järjestelmään kerrallaan.)
Mitä minun pitäisi tehdä?
Vaikka mikään välittömästi haitallinen ei löydy, Cisco Talos suosittelee järjestelmän palauttamista tilaan ennen elokuun 15 päivää 2017 varmuuskopiosta, jos sinulla on vaikutusta. Sinun pitäisi todennäköisesti suorittaa virustorjunta- ja MalwareBytes-skannaus järjestelmässäsi ja varmuuskopiotoistasi, jotta varmistetaan, että haittaohjelmia ei ole asennettu.
Vaihtoehtoisesti he sanovat, että voit asentaa Windowsin kokonaan uudelleen - kyllä, se on hieman ydinvaihtoehto, mutta se on ainoa tapa täysin tietää, että järjestelmäsi on puhdas tällaisen tapahtuman jälkeen.