CCleaner, phần mềm tối ưu hệ thống đã được hãng cung cấp công cụ bảo mật khổng lồ Avast mua lại vào tháng 7/2017, đã bị hacker tấn công vài tuần qua kiểm soát máy chủ và chèn một backdoor vào gói cài đặt thực thi chương trính gốc của phiên bản CCleaner v 5.33.6162 để âm thầm tải xuống máy tính và Smart phone của người dùng các phần mềm độc hại bao gồm malware, ransomware, spyware hoặc keylogger. Công ty bảo mật Anh quốc và các nhà nghiên cứu độc lập cho hay hiện giờ các thiết bị của hơn 2,27 triệu người dùng đã bị nhiễm mã độc và 5.000 người dùng đã cài đặt Cloudleaner Cloud bị xâm nhập. Được biết công ty Piriform đã tuyên bố rằng cho đến thời điểm tháng 11 năm 2016 đã có hơn 2 tỷ lượt tải xuống, với khoảng 5 triệu cài đặt mỗi tuần và 130 triệu người đã sử dụng CCleaner !

CCleaner là một ứng dụng cho phép người dùng thực hiện bảo trì định kỳ trên hệ thống của họ. Nó bao gồm các chức năng như dọn dẹp các tệp tạm thời, làm sạch bộ nhớ và cookies quảng cáo cho trình duyệt web, phân tích hệ thống để xác định cách hiệu suất có thể được tối ưu hóa và cung cấp một cách sắp xếp hợp lý hơn để quản lý ứng dụng được cài đặt v.v...

Hơn 5.000 thiết bị điện thoại bị nhiễm mã độc​

Đây thật sự là một hiểm họa nghiêm trọng và mức độ có thể sánh với vụ Petya và NotPetya ransomware vừa qua. Các cuộc điều tra phát hiện ra máy chủ tải về của CCleaner đã bị nhúng công cụ backdoor với mã điều khiển quản trị từ xa vào CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191 đã được phát hành vào ngày 15 tháng 8, trong nhiều tuần sau đó, phần mềm độc hại đã lan rộng bên trong phần mềm bảo mật hợp pháp giả mạo.

Theo cơ quan nghiên cứu bảo mật Talos của Cisco (CSCO.O), người dùng có thể nhận thấy không có gì sai trên hệ thống của họ, vì toàn bộ chuỗi mã độc hại đã được chạy dưới giấy chứng nhận kỹ thuật số đích thực của CCleaner. Bản chất của mã tấn công cho thấy hacker đã giành được quyền truy cập vào một máy chủ được sử dụng để tạo ra CCleaner. Nhà nghiên cứu Talos Craig Williams cho biết vấn đề này đã được phát hiện ở giai đoạn đầu, khi tin tặc dường như thu thập thông tin từ máy tính bị nhiễm, thay vì buộc họ phải cài đặt các chương trình mới. Đây là một cuộc tấn công tinh vi vì nó đã xâm nhập vào một nhà cung cấp với danh tiếng tốt và đáng tin cậy theo cách tương tự như cuộc tấn công "NotPetya" của June vào các công ty Ucraina đã tải về phần mềm kế toán bị nhiễm mã độc.

Khoảng 2,27 triệu máy tính bị nhiễm bệnh​

Avast, công ty mẹ mới của hãng Piriform nói đã phát hiện ra các vụ tấn công vào ngày 12 tháng 9, ngay lâp tức phát hành phiên bản sạch CCleaner 5.34.6207 và cập nhật tự động phiên bản CCleaner Cloud mới. Piriform cho biết họ đã làm việc với cơ quan thực thi pháp luật Hoa Kỳ để đóng cửa một máy chủ đặt tại đây với lưu lượng truy cập bất hợp pháp đã được xác định. Họ cho biết máy chủ đã bị đóng cửa vào ngày 15 tháng 9 "trước khi bất kỳ thiệt hại biết đến được thực hiện". Nhưng thật nực cười Avast không nhận ra có mã độc trong bản setup 5.33.6162 được test bởi VirusTotal ngày 18/9/2017 !

Kết quả phân tích của VirusTotal do người dùng cung cấp

Quy trình hoạt động của Malware​

Hiện tại chưa rõ ai đứng đằng sau cuộc tấn công này nhưng dựa trên thành công của nó, thật dễ đoán rằng cuộc tấn công rất phức tạp tinh vi và kẻ tấn công biết rõ họ đang làm gì. Có thể các kẻ tấn công đã nhận được lỗ hổng zero-day trong máy chủ tải xuống của CCleaner cho phép họ thực hiện chiến dịch mà không bị nghi ngờ gì.
Nếu bạn đang sử dụng CCleaner tôi khuyên bạn nên nhanh chóng gỡ bỏ phiên bản cũ và cập nhật phần mềm CCleaner lên phiên bản 5.34 trở lên và scan toàn bộ hệ thống với các công cụ diệt malware, đây là phiên bản CCleaner mới nhất có sẵn để tải xuống Tại đây

Tham khảo Reuters, HackRead & Cisco's Talos Blog​

​

 

[nghikhongra]

Mình đã update thử và đã nhận được cảnh báo . Một công ty lớn như Avast mà lại không phát hiện ra có mã độc trong sản phẩm của chính mình . :think:

 

[KiM__]

Chỉ có phiên bản 32bit có malware, còn app 64bit an toàn. Báo cáo phân tích VirusTotal hôm nay bản setup 5.34... ESET vẫn gắn cờ

 

[gunshot9x]

Kết quả quét VirusTotal

CCleaner 5.33:

https://www.virustotal.com/#/url/e81dbf64c5c99a2ebea5219977e0c6563ea794284b8c12cb53aab64482e4aa90/detection

CCleaner 5.34:

https://www.virustotal.com/#/url/ec17cbff86d60824feb236b2611f36c75dc635d5ab846ce50d749d2c5d714784/detection

 

[bevy]

Chỉ có bản 5.33 bị thôi đúng k ạ ?

 

[gunshot9x]

piriform chưa đưa ra kết luận gì vì sao file ccleaner.exe bị patch (chèn mã độc vào file thực thi chương trình gốc) mà khách hàng bị nhiễm

we don’t want to speculate how the unauthorized code appeared in the CCleaner software

CCleaner.exe (app 32-bit) chạy trên Windows 32-bit và Windows 64-bit đều có khả năng bị nhiễm

Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.

Muốn xác định thì up file CCleaner.exe lên VirusTotal quét file đang chạy

Tin gốc đọc ở đây, tránh tam sao thất bản

https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

 

[VSupport]

Miễn phí cũng có cái giá của nó. Mọi người chỉ nên cài những phần mềm cần thiết thôi

 

[KiM__]

PAUL YUNG
VP, Products

Dear CCleaner customers, users and supporters,

Chúng tôi muốn xin lỗi vì sự cố an ninh mà chúng tôi đã gần đây được tìm thấy trong phiên bản CCleaner 5.33.6162 CCleaner Cloud phiên bản 1.07.3191. Một hoạt động đáng ngờ đã được xác định vào ngày 12 tháng 9 năm 2017, nơi chúng tôi phát hiện địa chỉ IP không xác định nhận dữ liệu từ phần mềm được tìm thấy trong phiên bản 5.33.6162 của CCleaner và CCleaner Cloud phiên bản 1.07.3191 trên các hệ thống Windows 32-bit. Dựa trên phân tích sâu hơn, chúng tôi thấy rằng phiên bản 5.33.6162 của CCleaner và phiên bản 1.07.3191 của CCleaner Cloud bị sửa đổi bất hợp pháp trước khi nó được phát hành ra công chúng và chúng tôi bắt đầu quá trình điều tra. Chúng tôi cũng liên lạc ngay với các đơn vị thực thi pháp luật và làm việc với họ để giải quyết vấn đề. Trước khi đi sâu vào các chi tiết về kỹ thuật, hãy để tôi nói rằng mối đe dọa đã được giải quyết theo nghĩa máy chủ lừa đảo, các máy chủ tiềm năng khác nằm ngoài sự kiểm soát của kẻ tấn công và chúng tôi đang chuyển tất cả các CCleaner v5.33.6162 hiện có, đến người dùng phiên bản mới nhất. Người dùng CCleaner Cloud phiên bản 1.07.3191 đã nhận được cập nhật tự động. Nói cách khác, theo sự hiểu biết tốt nhất của chúng tôi, chúng tôi đã có thể giải toả mối đe dọa trước khi nó có thể gây hại ....

..............

 

[Em yêu Vforum]

Miễn phí cũng có cái giá của nó. Mọi người chỉ nên cài những phần mềm cần thiết thôi

Chỉ cần cài win và trình duyệt để lướt Vforum là đủ rồi anh nhể

 

[KiM__]

Test mới nhất VirusTotal CCleaner v5.33.6162, đã có mặt Avast

virustotal.com/#/file/1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff/detection

 

[Lai Nguyen]

ghê nhể. avast không phát hiện được a. nên cài bản ccleaner nào các bác?

 

[KiM__]

ghê nhể. avast không phát hiện được a. nên cài bản ccleaner nào các bác?

Phiên bản mới nhất là 5.35 nhưng bạn nên xem qua bài này rồi quyết định nhé, vì không biết Avast đã fix lổ hổng bảo mật hay chưa.
Vậy khuyên bạn tốt nhất là nên chờ một thời gian xem sao đã

Link: https://vfo.vn/t/showthread.php?116...-CCleaner-lan-thu-2-va-dac-biet-nguy-hiem-hon

 

[gunshot9x]

Kẻ ngoài dễ phòng, chứ người nhà khó chống. Microsoft thì rất ghét CCleaner. CCleaner khá được người dùng ưa chuộng. Avast mới thu mua CCleaner, mà lại xảy ra chuyện này trùng hợp nhỉ, trước có thấy CCleaner bị nhòm ngó gì đâu. Đầy phần mềm free ngon hơn phần mềm bản quyền, đầy ông lớn đi lấy cắp code của các phần mềm mã nguồn, mở tích hợp vào sản phẩm của mình. Nói chung, phần mềm nào càng phổ biến thì sẽ là mục tiêu hàng đầu nhắm đến

Tải bản đã bị nhiễm về quét thì sao lại không có, trong khi chưa phát hiện nguồn lây lan thì CCleaner cung cấp mã hash, mỗi bản tải xuống cho người dùng đối chiếu là xong

https://www.virustotal.com/#/url/d17372ea1f8205acbdf48c7d64cc2a4cce18e977790215e3a08d2a0dac059f13/detection

https://www.virustotal.com/#/file/85d5309373cd1713eeb2416b4767c653e96a9e9cef3689dbb8f548cd23494319/detection

 

[0406]

mình thì không dùng mấy tháng nay rồi
---
nếu muốn dọn rác hay gỡ phần mềm gì đó thì nên gỡ bằng trình mặc định của Win thôi vừa đủ

 

[Sửu Nguyễn]

Cái này chỉ bản 5.33 dính thôi
Bản mới nhất không sao rồi

 

[KiM__]

Trong tuyên bố ngày 18/9, Avast - Piriform nói phiên bản cập nhật CCleaner v5.34 là sạch, là an toàn . Test VirusTotal tỷ lệ là 1/61, thế rồi ngày 22/9 khi Cisco's Talos Group công bố trong CCleaner v5.34 vẫn còn secondary payload - (GeeSetup_x86.dll, một mô-đun backdoor rất nhẹ) nằm vùng trong hệ thống , chực chờ triển khai payload giai đoạn 2 thì tất thảy 45/64 engine trên VirusTotal đồng loạt gắn cờ ...!
Và gỡ bỏ CCleaner vẫn chưa đủ sạch, trong khóa registry vẫn còn (Agomo + WbemPerf) ... nó là backdoor !

- HKLM\SOFTWARE\Piriform\Agomo
- HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\WbemPerf

 

[VSupport]

Kinh vãi

 

[gunshot9x]

Trong tuyên bố ngày 18/9, Avast - Piriform nói phiên bản cập nhật CCleaner v5.34 là sạch, là an toàn . Test VirusTotal tỷ lệ là 1/61, thế rồi ngày 22/9 khi Cisco's Talos Group công bố trong CCleaner v5.34 vẫn còn secondary payload - (GeeSetup_x86.dll, một mô-đun backdoor rất nhẹ) nằm vùng trong hệ thống , chực chờ triển khai payload giai đoạn 2 thì tất thảy 45/64 engine trên VirusTotal đồng loạt gắn cờ ...!
Và gỡ bỏ CCleaner vẫn chưa đủ sạch, trong khóa registry vẫn còn (Agomo + WbemPerf) ... nó là backdoor !

- HKLM\SOFTWARE\Piriform\Agomo
- HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\WbemPerf

File GeeSetup_x86.dll không liên quan đến các file của chương trình CCleaner, vấn đề vì sao máy lại được cài đặt file này do file setup của CCleaner - Installer (Standard installer), CCleaner - Slim (Installer, no toolbar) có chứa các liên kết ra bên ngoài, khi có kết nối mạng, khi người dùng không để ý cài đặt CCleaner theo thói quen, cứ Next > Next sẽ dẫn tới hậu quả mà ai cũng biết, chứ không phải do bản thân file chương trình CCleaner. Còn muốn sạch thì nên chọn bản CCleaner - Portable (Zip file, no installer) sẽ hạn chế các thứ không mong muốn đi kèm nếu không biết cách cài đặt và nhớ luôn tắt chức năng cập nhật tự động của CCleaner đi

https://www.piriform.com/ccleaner/builds

P/S: nguồn file phải chính xác, tránh các kiểu chuyển hướng dns làm sai lệch thông tin máy chủ chứa file của CCleaner

 

[KiM__]

Trình cài đặt giai đoạn 2 là GeeSetup_x86.dll. Nó kiểm tra các phiên bản của hệ điều hành và "cấy" một phiên bản 32-bit hoặc 64-bit của trojan trên hệ thống dựa trên biểu mẩu. Trojan 32-bit là TSMSISrv.dll, Trojan 64-bit là EFACli64.dll.

Xác định giai đoạn 2:

Thông tin sau đây sẽ giúp xác định nếu một payload giai đoạn 2 đã được gieo cấy trên hệ thống.

Registry Keys:

• HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 001
• HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 002
• HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 003
• HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 004
• HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ HBP

Các tập tin:

• GeeSetup_x86.dll : (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83)
• EFACli64.dll : (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da4 60055733bb6f4f)
• TSMSISrv.dll : (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5e acf3f55cf34902)
• DLL trong Registry : f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8c a811f763e1292a
• Payload giai đoạn 2 : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83

https://vfo.vn/t/showthread.php?116...-CCleaner-lan-thu-2-va-dac-biet-nguy-hiem-hon

================================​

Bác tham khảo rõ hơn ở Cisco's Talos Bolg:

http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

 

[minhxanhdo]

Chống thì chống vậy chứ bọn nó hack thì vẫn cứ hack đấy thôi. Thanh niên bị hack fb chia sẻ