[QUOTE]
Дмитрий написал:
https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users [/QUOTE]
[B]Что случилось?[/B]
Неизвестная группа угроз скомпрометировала инфраструктуру CCleaner.
Атакующий добавил вредоносное ПО в 32-разрядные версии CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.
Файлы были доступны для скачивания с 15 августа по 12 сентября.
[B]Кто пострадал?[/B]
Все, кто скачал и установил затронутые версии в этот промежуток времени.
Avast оценивает количество пораженных машин на 2,27 миллиона.
[B]Как я могу узнать, заражен ли я?[/B]
Когда была установлена зараженная версия CCleaner, она создала ключ реестра Windows, расположенный в HKEY_LOCAL_MACHINE \ SOFTWARE \ Piriform \ Agomo.
Под этим ключом будут два значения данных с именем MUID и TCID, которые используются установленной инфекцией Floxif.
[IMG WIDTH=1152 HEIGHT=566]https://www.bleepstatic.com/images/news/malware/c/ccleaner-infection/ccleaner-infection.jpg[/IMG]
Редактор реестра можно использовать для перехода к ключу Agomo и посмотреть, существует ли он. Если это так, то вы заражены этим вредоносным ПО.
Пожалуйста, обратите внимание. как показано ниже, обновление до версии 5.34 не приведет к удалению ключа Agomo из реестра Windows. Он заменит только вредоносные исполняемые файлы законными, чтобы вредоносная программа больше не присутствовала.
[B]Что делает вредоносное ПО Floxif?[/B]
Вредоносная программа с именем Floxif - собирает данные с зараженных компьютеров, таких как имя компьютера, список установленных программ, список запущенных процессов, MAC-адреса для первых трех сетевых интерфейсов и уникальные идентификаторы для идентификации каждого компьютера.
Вредоносная программа также может загружать и выполнять другие вредоносные программы, но Avast заявила, что не обнаружила доказательств того, что злоумышленники когда-либо использовали эту функцию.
[B]Как удалить вредоносное ПО Floxif или CCleaner?[/B]
Вредоносная программа была встроена в исполняемый файл CCleaner. Обновление CCleaner до версии 5.3 исключает старый исполняемый файл и вредоносное ПО. CCleaner не имеет системы автоматического обновления, поэтому пользователи должны загружать и устанавливать CCleaner 5.34 вручную.
Avast сказал, что это уже подтолкнуло обновление пользователям CCleaner Cloud, и все должно быть хорошо. Чистая версия - CCleaner Cloud 1.07.3214.
[B]Что-нибудь еще?[/B]
Вредоносная программа была выполнена только в том случае, если пользователь использовал учетную запись администратора. Если вы используете низкоприоритетную учетную запись и установили CCleaner 5.33, вы больше не будете затронуты. Если вы используете Windows 7 Home Premium, ваша основная учетная запись, скорее всего, является учетной записью администратора, и вы должны предположить, что вы заражены, если вы установили эту версию CCleaner.
Тем не менее рекомендуется обновить до версии 5.34.
[B]
Почему антивирусное программное обеспечение пропустило инфекцию?[/B]
Бинарный файл CCleaner, включающий вредоносное ПО, был подписан с использованием действительного цифрового сертификата.
https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/
+
отчет от Cisco's Talos:
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html#more
