Группа Cisco Talos выявила в утилите для оптимизации системы CCleaner вредоносный код. Специалисты Cisco Talos обнаружили, что бесплатные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191 содержат «вредоносное дополнение, характерное для Domain Generation Algorithm, а также встроенную функциональность Command and Control» (вирус Floxif).
Вирус в CCleaner
Cisco Talos полагает, что злоумышленник каким-то образом скомпрометировал системы разработки или сборки, использовал цифровой сертификат для подписи вредоносной версии CCleaner 5.33 и подменил ею подлинный вариант; не исключена и помощь со стороны инсайдера.
На зараженной машине вирус собирает информацию о системе, запущенных процессах, МАС-адресах сетевых устройств, ID комплектующих, и передает ее на удаленный сервер; он также способен загрузить и запустить дополнительные файлы.
Avast считает, что зараженные Floxif версии CCleaner успели распространиться на 2,27 млн компьютеров (около 3% пользователей утилиты), однако вышедшие обновления нейтрализовали вредоносное ПО, и ни один зараженный хост второй фазе атаки так и не подвергся.
Вице-президент Пол Юнг [Paul Yung] в своем блоге утверждает, что еще 12 сентября компания идентифицировала атаку и приняла соответствующие меры до получения уведомления от Cisco Talos. Атака была ограничена версиями CCleaner и CCleaner Cloud для 32-битных систем, а большинство современных PC всё же работают на 64-битной версии Windows.
Как проверить компьютер на заражение Floxif
Для проверки своей системы пользователю необходимо найти в реестре ветку:
HKEY_LOCAL_MACHINE\ SOFTWARE\Piriform\AgomoНаличие в ней элементов MUID и TCID является признаком заражения Floxif.
Avast рекомендует пользователям загрузить CCleaner версии 5.34 и выполнить антивирусную проверку компьютера.
A Cisco Talos рекомендует использовать резервную копию для восстановления PC до состояния на 15 августа, когда была выпущена взломанная версия, или же переустановить всю систему. И это еще один повод перейти на GNU/Linux!