» »

CCleaner mesec dni stregel malware

CCleaner mesec dni stregel malware

Slo-Tech - Priljubljeni program za čiščenje nepotrebne nesnage na disku CCleaner je skoraj mesec dni uporabnikom mimogrede namestil tudi znani malware Floxif. Od 15. avgusta do 12. septembra je bila aktualna verzija programa, ki je imela vgrajen Floxif. Ta v prvi fazi zbira podatke o okuženem sistemu in jih pošilja krmilno-nadzornim strežnikom, v drugi fazi pa pa lahko na računalnik prenese dodatno zlonamerno kodo in jo izvaja. V CCleanerju se je dogajala samo prva faza. Da je Floxif tekel, je moral biti CCleaner pognan z administratorskimi privilegiji, pa še to na 32-bitni verziji Windows (in ne 64-bitni).

Čeprav okuženi CCleaner objektivno ni povzročal velike škode, je pereče vprašanje, kako se je to lahko zgodilo. Ko so raziskovalci Cisco Talos odkrili prvi primer CCleanerja, ki je komuniciral s sumljivimi domenami, so najprej menili, da gre za okuženo različico, ki je prispela iz sumljivih virov. Toda kasneje so ugotovili, da gre za verzijo, ki prihaja z uradne spletne strani. Kot kaže, so napadalci nekako uspeli pridobiti dostop do distribucijske verige. Ni še znano, ali je šlo za vdor ali delo kakšnega zaposlenega. Proizvajalec je hud spodrsljaj že priznal (okužena je verzija 5.33.6162) in sporočil, da je zunaj že popravljena verzija. Incident preiskuje tudi policija.

69 komentarjev

«
1
2

Spc ::

Če downloadam najnovejšo verzijo iz njihovih strežnikov, mi ESET takoj javi da ima installer vgrajenega trojanca in ga takoj zbriše še preden ga sploh zdownloada.
Zgleda, da se še niso čisto rešili.
 

Mr.B ::

Po moje ti zamenjaj av, ali pa preveri kako ti av dela? Lahko pa testiras in dl-jas z drugeaga pc-ja preimenuj fail, ka skopiraj na svoj pv pa porocaj, kaj se zgodi...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

stjan ::

Včeraj mi je malwarebites našel ta floxif. Ko sem pognal cccleaner je takoj našel posodobitev, po kateri ni več floxifa. Vsaj upam..

lonewolf_ ::

Malwarebytes bi verjetno našel tale malware, ali?
R7 5700G + NH-U12P SE2 | Ballistix 2x8Gb 3000MHz
Mortar Titanium | P1 500GB | Exos 3TB | SSD MX500 1TB
beQuiet 700W Gold | Fractal Design Define S

stjan ::

Malwarebites sem inštaliral prejšnji teden, tako da je tista zastonj polna verzija, pa je šele včeraj našel Trojanca, prej je bilo kao vse ok.

Zgodovina sprememb…

  • spremenil: stjan ()

Spc ::

stjan je izjavil:

pa je šele včeraj našel Trojanca

ESET File Security in ESET endpoint security isto.
 

Unknown_001 ::

Kar se mene tiče so izgubili svoj renome. Ccleaner je bil kul dokler je bil to program ki si ga pognal in naredil kar je blo za narest enkrat na leto. Danes ti pa tečnari s popup okni kaj vse je za zbrisat, stalno forsira trail pro verzije, ... and now this.
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

feryz ::

CCleaner JE malware. Od nekdaj je bil.

AgiZ ::

feryz je izjavil:

CCleaner JE malware. Od nekdaj je bil.

Provociras brez osnove.
Uporaben programcek, samo izklopit moraš da ti v ozadju čaka, pa je zelo priročen. Ta spodrsljaj pa si res ne bi smeli privoščiti, res.

WamPIRe- ::

Saj pa free verzija, ki je verjetno v večini v uporabi, ni na njihovih strežnikih ali se motim?
Download from:
Filehippo.com
Piriform.com

feryz ::

Ne, ne provociram. Kaj točno je program naredil?
Kdor ne zna tistih par stvari, je škoda da tudi to download-a in poganja.

Unknown_001 ::

AgiZ je izjavil:

feryz je izjavil:

CCleaner JE malware. Od nekdaj je bil.

Provociras brez osnove.
Uporaben programcek, samo izklopit moraš da ti v ozadju čaka, pa je zelo priročen. Ta spodrsljaj pa si res ne bi smeli privoščiti, res.


To se za sploh ne bi smelo zgoditi. To ni zdaj da boš rekel ups sorry bomo popravili. Kot sem rekel, na tak način bodo izgubili renome. Veste koliko škode naredi tak ups in verižna reakcija odziva uporavnikov.
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

Zgodovina sprememb…

mitja_i ::

Crap...

Izi ::

Pa z Googlovim Chrome tudi neverjetno teži CCleaner že par let. Moraš biti zelo pazljiv in kar nekajkrat odstraniti kljukice, da si ponesreči ne namestiš tisto Googlovo vohunsko sranje, ki mu nekateri pravijo brskalnik.

Skyman ::

Sem oba imel na disku tako 5.33 ter 5.34 s tem da mi je program malwarebytes javil pri 5.33 vgrajen Floxif.5.34 je pa "čista" pa oba sem imel instaliranga ampak ko je prsela nova verzija vn (5.34) sem nadgradil

Zgodovina sprememb…

  • spremenil: Skyman ()

AgiZ ::

feryz je izjavil:

Ne, ne provociram. Kaj točno je program naredil?
Kdor ne zna tistih par stvari, je škoda da tudi to download-a in poganja.

To lahko urediš na roko, ampak porabiš kar nekaj časa in raziskovanja. Zakaj bi se mučil, če lahko tak program to uredi v parih sekundah.

feryz je izjavil:

CCleaner JE malware. Od nekdaj je bil.

Obrazloži to trditev. Kot rečeno, provociraš brez osnove

Unknown_001 je izjavil:

To se za sploh ne bi smelo zgoditi. To ni zdaj da boš rekel ups sorry bomo popravili. Kot sem rekel, na tak način bodo izgubili renome. Veste koliko škode naredi tak ups in verižna reakcija odziva uporavnikov.

Se popolnoma strinjam.

oxyuranus ::

Imel, ni mogel nikamor, na firewallu blokiran network vsem programom, ki nimajo za svojo funkcionalnost kaj klicati network. Cleaner je eden od njih.

Linuxasi, ZATO je application firewall nujen del vsakega operacijskega sistema.

Ozric ::

Bleachbit :D

abyssus ::

Tudi jaz sem bil dolgo uporabnik, vendar pa bo zgleda potrebno šaltat drugam. Pravkar testiram Wise Disk Cleaner 9, ki ima še neke dodatne opcije. Mislim, da kar dobra menjava.

opeter ::

BleachBit je čisto okej za občasno pucanje. Na Macu pa OnyX.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

ikeman ::

Problem med tipkovnico in zaslonom še vedno ostane :)

opeter ::

ikeman je izjavil:

Problem med tipkovnico in zaslonom še vedno ostane :)


To je neizbežno.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

BlackMaX ::

oxyuranus je izjavil:

Imel, ni mogel nikamor, na firewallu blokiran network vsem programom, ki nimajo za svojo funkcionalnost kaj klicati network. Cleaner je eden od njih.

Linuxasi, ZATO je application firewall nujen del vsakega operacijskega sistema.


Kako naj pogledam, preverim kateri programi kličejo "network"?

MrStein ::

In kako je to šlo mimo vseh AV ki vsakič toliko nagrad na av-comparatives dobijo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

abyssus ::

Je verjetno Avast poskrbel za to, da se ni zaznalo. :D

Sam imam sicer samo Win Defender, tako da verjetno še dolgo ne bi zaznalo.

Manu ::

Me pa zanima rezultat preiskave ... kako je prišlo do tega? Kdo in zakaj je to naredil?
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

Zgodovina sprememb…

  • spremenil: Manu ()

slitkx ::

PrivaZer.

filip007 ::

Uporabljam Wise Disk Cleaner, tam verjetno ni smeti.
Prenosnik, konzola, TV, PC upokojen.

Matev ::

a pa ccCleaner najde tudi bitcoin minerske aplikacije ?

BorutK-73 ::

Čudno da se to zgodi sedaj ko jih je prevzel Avast.
Jaz takšne programčke nadgrajujem enkrat letno, trenutno imam 5.26 verzijo.

Zgodovina sprememb…

Truga ::

MrStein je izjavil:

In kako je to šlo mimo vseh AV ki vsakič toliko nagrad na av-comparatives dobijo?

AVji v letu 2017 so slaba komedija. Uninstaliraj in se ne dotikaj vec. Ce *moras* na vsak nacin imet AV, nucaj tistega ki pride z OS, ker ima najmanj lukenj ki ti slabsajo varnost masine mnogo bolj kot ga lahko izboljsajo.

Spc ::

Truga je izjavil:

Ce *moras* na vsak nacin imet AV, nucaj tistega ki pride z OS.

Windows Defender prepozna 88% majn stvari kot pa nek enterprise class anti virus.
 

Truga ::

Noben od njih ne prepozna virusa ki ga bos danes dobil po mailu, ker so vsi antivirusi signature based, kar je v letu 2017 totalno zgreseno, ker se virusi sproti mutirajo, da se izognejo te detekciji.

Antivirus se ma danes zato, da lahko reces butastim klientom z butastimi zahtevami da imas antivirus. Ce hoces biti varen predvsem redno posodabljaj software.

eVro ::

Spc je izjavil:

Truga je izjavil:

Ce *moras* na vsak nacin imet AV, nucaj tistega ki pride z OS.

Windows Defender prepozna 88% majn stvari kot pa nek enterprise class anti virus.


...ti verjetno pravi banner, ki ti ga malware riše čez S-T, ker uporabljaš "enterprise" - ne, pardon - "Enterprise-class" robo.

Se popolnoma strinjam z @Truga. Če je AV res nujen (za dobro počutje neukega uporabnika), ta dobi Windows Defender/Microsoft Security Essentials.

Invictus ::

Uporabljam Windows Defender praktično od začetkov Windows 7, pa nikoli dobil nobenega virusa.

Odfukal sem ostale AV, ker po nepotrebnem žrejo CPU čas.

Tako ali tako pa je na vrhu vsakih 6 mesečnih testov drug AV.

Za domačo uporabo je čisto kul...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

MrStein ::

V bistvu je več teh AV-jev hitrejših in manj obremenjuje PC kot Microsoftov.
Vsaj testi tak kažejo.

Spc je izjavil:

Truga je izjavil:

Ce *moras* na vsak nacin imet AV, nucaj tistega ki pride z OS.

Windows Defender prepozna 88% majn stvari kot pa nek enterprise class anti virus.

Je kateri od teh enterprise class AV zaznal in blokiral malware iz novice?

Vsaj en od vas še ima kopijo okuženega EXE. Lahko bi vsal link na VirusTotal objavil.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Truga ::

Prvi AV ki je zaznal ta virus, je bil ironicno ClamAV :P

Zgodovina sprememb…

  • spremenilo: Truga ()

Kurzweil ::

Ko je začel kakati Firefox sem pred leti presedlal na Chrome
Ko je uTorrent začel kakati (rudarjenje) sem presedlal na qBitTorrent
Ko je postal Ad block+ požrešen sem presedlal na uBlock Origin
...
Sedaj ko je problem z CCleanerjem, sem presedlal na Wise Disk Cleaner. Slednji počne vse kar zmore CCleaner, s tem da je za razliko od CCleanerja zmožen še brisati balast v obliki datotek, ki jih za seboj pusti Windows Update, razne loge, help datoteke, odvečne jezikovne pakete,... preprosto bi temu rekel običajen dan v IT svetu. Če je potrebno menjaš software, ki je bolj zanesljiv, manj požrešen in šele nato cenejši.

slitkx ::

Chrome še bolj serje, a prikrito.

Truga ::

V novicah, ki niso presenetile nikogar, je bil v ccleaner malwaru drugi payload: https://blog.avast.com/progress-on-ccle...

First of all, analysis of the data from the CnC server has proven that this was an APT (Advanced Persistent Threat) programmed to deliver the 2nd stage payload to select users. Specifically, the server logs indicated 20 machines in a total of 8 organizations to which the 2nd stage payload was sent, but given that the logs were only collected for little over three days, the actual number of computers that received the 2nd stage payload was likely at least in the order of hundreds. This is a change from our previous statement, in which we said that to the best of our knowledge, the 2nd stage payload never delivered.


spisek tarc:

SeMiNeSanja ::

Kdaj se je prvotno začela tale šlamparija?
Sem malo preveril moje loge in vidim, da mi je 18.9. ob 18h že blokiralo prenos ccsetup534.exe.
Mi pa tudi danes blokira prenos ccupdate535.exe ?!? Kaj zadeva še vedno ni zaupanja vredna?

V obeh slučajih se je prenašalo z download.piriform.com

b3D_950 ::

soseda uporablja cillit bang, pa ni nč virusov.
Zdaj ko je mir, jemo samo krompir.

SeMiNeSanja ::

b3D_950 je izjavil:

soseda uporablja cillit bang, pa ni nč virusov.

Kako pa to, da si tako dobro obveščen o stanju mikrobiološke flore in favne pri sosedi?

Dr_M ::

Soseda se ziher pohvali.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Skyman ::

SeMiNeSanja je izjavil:

Kdaj se je prvotno začela tale šlamparija?
Sem malo preveril moje loge in vidim, da mi je 18.9. ob 18h že blokiralo prenos ccsetup534.exe.
Mi pa tudi danes blokira prenos ccupdate535.exe ?!? Kaj zadeva še vedno ni zaupanja vredna?

V obeh slučajih se je prenašalo z download.piriform.com


Imam 5.34 verzijo nalozeno,ko grem v CCleaner mi pise da je nova verzija ter ce jo prenese.Je pa res da sm takoj vse pobrisal in spucal z programom,ko je prisla novica,ter sveze nalozil 5.34v

MrStein ::

Zanimivo, na virustotal ni reporta za ccsetup533.exe,
je pa za večino drugih, recimo za 532, 534 in 535 je.

Zarota much?

Vir: iskano na https://www.virustotal.com/#/home/search po http://download.piriform.com/ccsetup533... (in druge številke)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

https://www.virustotal.com/#/file/e7107...

To je test ccsetup533.zip datoteke. Pol jih detektira, ampak kot CCLeaner.nekaj, torej očitno prav kot "okužena verzija CCleaner", z drugimi besedami, vnesli so celi CCleaner v bazo.

Zanimivo, hvaljeni Comodo ne zazna nič.

Tu pa je prav za ccsetup533.exe : https://www.virustotal.com/#/file/1a4a5...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

Predvidevam, da ni vse v številki.
Lahko obstajajo različni Build-i iste verzije, ki so problematični in drugi, ki to niso.
Če hash ne ustreza temu, ki ga navaja Virustotal, potem je tudi možno, da Comodo pravilno deluje, ko ne zganja panike.

MrStein ::

Hočeš reči 3/4 vseh AV zganja lažni alarm na tem fajlu?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

CCleaner brez soglasja zbiral podatke o uporabnikih

Oddelek: Novice / Zasebnost
319430 (5065) mtosev
»

CCleaner mesec dni stregel malware (strani: 1 2 )

Oddelek: Novice / Varnost
6916225 (11312) Truga
»

Več podrobnosti o napadu s CCleanerjem

Oddelek: Novice / Varnost
125285 (3500) crniangeo
»

ne more mzbrisat fajla (končnica .exe..)

Oddelek: Pomoč in nasveti
11985 (840) Alen T 1978
»

Nod32 ali Microsoft security essentials

Oddelek: Programska oprema
102015 (1811) SkyEye90

Več podobnih tem