Нападението беше описано по този начин от изследователи в Cisco Talos: "легитимната подписана версия на CCleaner 5.33., "също съдържа многофункционален полезен товар за злонамерен софтуер, който се движеше над инсталацията на CCleaner." Компанията-майка на CCleaner, Piriform (която наскоро беше купена от ужасната антивирусна компания Avast), признава проблема скоро след това.
Тъй като CCleaner твърди, че има милиони изтегляния на седмица, това е потенциално сериозен проблем.
Какво прави злонамереният софтуер?
Злонамереният софтуер не е навредил активно на системите, но е криптирал и събирал информация, която би могла да бъде използвана, за да навреди на вашата система в бъдеще. По-специално, според Piriform, той създава уникален идентификатор за компютъра и събира:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Можете да прочетете повече техническа информация за атаката в блога на Cisco Talos и в блога на Piriform.
Беше ли засегната?
За щастие изглежда, че този злонамерен софтуер засяга само определена подгрупа от потребители на CCleaner. По-специално, тя засяга:
- Потребителите, които изпълняват 32-битовата версия на приложението (а не 64-битовата версия)
- Потребителите, изпълняващи версия 5.33.6162 на CCleaner или CCleaner Cloud 1.07.3191, пуснати на 15 август 2017 г.
Тъй като много потребители вероятно използват 64-битовата версия на приложението и CCleaner Free не се актуализират автоматично, това е добра новина за много хора.
(Актуализация: Няколко дни след разпадането на новините беше открито второ полезно натоварване, което засегна 64-битови потребители - но това беше целенасочена атака срещу технологичните компании, така че е малко вероятно повечето потребители да бъдат засегнати.)
Ако сте на 32-битова версия на Windows и мислите, че може да сте изтеглили CCleaner по време на засегнатия период от време, ето как да проверите каква версия имате. Отворете CCleaner и погледнете в горния ляв ъгъл на прозореца - трябва да видите номер на версията под името на програмата.
HKLMSOFTWAREPiriform
и вижте дали има маркиран ключ
Agomo:MUID
Ако този ключ съществува, това означава, че сте имали заразения софтуер във вашата система в даден момент.)
Какво трябва да направя?
Въпреки, че не е открито нищо вредно, Cisco Talos препоръчва да възстановите системата си до държава преди 15 август 2017 г. от резервно копие, ако сте били засегнати. Вероятно трябва да стартирате сканиране на антивирусни и MalwareBytes на системата и архивите си, за да се уверите, че няма инсталиран злонамерен софтуер.
Алтернативно, те казват, че можете да преинсталирате напълно Windows - да, това е малко ядрен вариант, но това е единственият начин да знаете напълно, че вашата система е чиста след подобно събитие.
