Tin tặc tấn công Piriform CCleaner, hơn 2,27 triệu máy tính bị nhiễm mã độc

L

Lai Nguyen

G

gunshot9x

KiM__:
Trình cài đặt giai đoạn 2 là GeeSetup_x86.dll. Nó kiểm tra các phiên bản của hệ điều hành và "cấy" một phiên bản 32-bit hoặc 64-bit của trojan trên hệ thống dựa trên biểu mẩu. Trojan 32-bit là TSMSISrv.dll, Trojan 64-bit là EFACli64.dll.

Xác định giai đoạn 2:

Thông tin sau đây sẽ giúp xác định nếu một payload giai đoạn 2 đã được gieo cấy trên hệ thống.

Registry Keys:

  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 001
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 002
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 003
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ 004
  • HKLM \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ WbemPerf \\ HBP
Các tập tin:

  • GeeSetup_x86.dll : (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83)
  • EFACli64.dll : (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da4 60055733bb6f4f)
  • TSMSISrv.dll : (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5e acf3f55cf34902)
  • DLL trong Registry : f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8c a811f763e1292a
  • Payload giai đoạn 2 : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e3190 74db1aaccfdc83

Bác tham khảo rõ hơn ở Cisco's Talos Bolg:
Mã: 
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
Nhấn để mở rộng...
Bạn tải bản cài đặt về thì hỏi sao không dính, file setup có code get link offer chèn sẵn trong bộ cài đặt (cái này dùng để đi trào hàng các sản phẩm bên thứ ba, một hình thức kiếm tiền quảng cáo của các phần mềm miễn phí ..., nguy cơ lây nhiễm là từ hệ thống link offer của CCleaner), bản portable chỉ bao gồm file chương trình chính CCleaner (CCleaner.exe: chương trình chính, lang-xxxx.dll: ngôn ngữ, branding.dll, CCleaner.dat: bản quyền), nếu nghi ngờ thì có thể quét trên virustotal file portable trước khi dùng

CCleaner đóng gói file cài đặt bằng NSIS và mã nguồn file cài đặt như hình trên đã đăng
 
KiM__

KiM__

✩✩✩
gunshot9x:
Bạn tải bản cài đặt về thì hỏi sao không dính, file setup có code get link offer chèn sẵn trong bộ cài đặt (cái này dùng để đi trào hàng các sản phẩm bên thứ ba, một hình thức kiếm tiền quảng cáo của các phần mềm miễn phí ..., nguy cơ lây nhiễm là từ hệ thống link offer của CCleaner), bản portable chỉ bao gồm file chương trình chính CCleaner (CCleaner.exe: chương trình chính, lang-xxxx.dll: ngôn ngữ, branding.dll, CCleaner.dat: bản quyền), nếu nghi ngờ thì có thể quét trên virustotal file portable trước khi dùng

CCleaner đóng gói file cài đặt bằng NSIS và mã nguồn file cài đặt như hình trên đã đăng
Nhấn để mở rộng...

Trước giờ mình vẫn sử dụng bản Techician portable, nhưng hầu hết mọi người đều cài đặt bản setup từ trang chủ.
--------------
Rất cám ơn bác đã chia sẽ thông tin hữu ích cho các bạn !
 
L

Lai Nguyen

KiM__:
Trước giờ mình vẫn sử dụng bản Techician portable, nhưng hầu hết mọi người đều cài đặt bản setup từ trang chủ.
--------------
Rất cám ơn bác đã chia sẽ thông tin hữu ích cho các bạn !
Nhấn để mở rộng...
ni mới hiểu sao có bản port, cài setup hay thấy quảng cáo.Em thường nghe port không ổn định cho 64.
Ngoài cleaner không biết on downloader bị không. Còn con nào bị dính bác up lên luôn đi.
 
Đăng nhập bằng tài khoản VFO hoặc Google

Bài viết mới nhất

Thống kê

Chủ đề
102,199
Bài viết
469,804
Thành viên
340,390
Thành viên mới nhất
camdoquocthai

Bài viết được quan tâm nhiều

Top