CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

In questa sezione del forum si parla di sicurezza, soluzioni antivirus, firewall, problematiche relative a malware in generale

Moderatore: Staff forum IlSoftware.it

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 19 set 2017 10:19

Mi domando come sia possibile che, su un forum con 25mila utenti registrati, e migliaia di utenti che utilizzano CCLEANER quotidianamente, non ci sia un solo utente che abbia riscontrato il problema.

Maggiori dettagli sulla questione, IN QUESTO POST (che avevo aperto per una ragione completamente diversa).

:arrow: ARTICOLO pubblicato da Michele sul sito.
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 19 set 2017 11:53

Resoconto AVAST, a circa 24 ore dall'incidente:

July 3 - Evidence suggests hackers breached Piriform's IT systems.
July 18 - Avast decides to buy Piriform, the company behind CCleaner.
August 15 - Piriform, now part of Avast, releases CCleaner 5.33. The 32-bit version (CCleaner 5.33.6162) included the Floxif trojan.
August 20 and 21 - MorphiSec's security product detects first instances of malicious activity (malware was collecting user credentials and sending it to a remote server), but MorphiSec does not notify Avast.
August 24 - Piriform releases CCleaner Cloud v1.07.3191 that also includes the Floxif trojan.
September 11 - MorphiSec customers share detection logs detailing CCleaner-related malicious activity with the company's engineers.
September 12 - MorphiSec notifies Avast and Cisco of the suspicious CCleaner activity. Avast starts its own investigation and also notifies US law enforcement. Cisco also starts its own investigation.
September 14 - Cisco notifies Avast of its own findings.
September ?? - Cisco had registered, in the meantime, all the domains that the malware would have used in the future to determine and calculate the C&C server IP address.
September 15 - Following a collaboration between Avast and law enforcement, the malware's C&C server was taken down.
September 15 - Avast releases CCleaner 5.34 and CCleaner Cloud 1.07.3214 that remove the Floxif malware.
September 18 - CCleaner incident becomes public following Cisco and MorphiSec reports.


:arrow: @campuscodi (bleepingcomputer.com): VEDI QUI
:arrow: Avast Blog: VEDI QUI
:arrow: breve riassunto, Blog Malwarebytes: VEDI QUI
:arrow: situazione attuale (33/64), Virustotal: VEDI QUI
:arrow: CCleaner Malware Incident - What You Need to Know and How to Remove, una sorta di FAQ, by @campuscodi: VEDI QUI
Ultima modifica di [Claudio] il 19 set 2017 12:13, modificato 1 volta in totale.
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Avatar utente
mary7
Junior Software
Junior Software
Messaggi: 124
Iscritto il: 25 apr 2016 11:49

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda mary7 » 19 set 2017 12:07

è grave che Morphisec abbia rilevato il malware il 20-21 agosto e non abbia subito informato Avast della cosa, anci gli ha fatto anche rilasciare la versione cloud anch essa infetta in data 24

Spero davvero che chi è stato infettato non corra nessun rischio eliminado le chiavi e aggiornando e che i sistemi 64bit siano davvero puliti

Certo che andare a fare ripristino o addirittura reinstallare windows solo quelli di cisco lo hanno detto perchè leggendo sui vari forum di Kaspersky, Malwearebytes e altri dicono che non è necessario

una cosa ancora non mi è chiara, ho usato ilo kaspersky application advisor per analizzare l installer della versione 5.34 e mi da certificato non valido (lo stesso che aveva la versione 5.33) mentre l applicazione ha il certificato valido

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 19 set 2017 12:45

mary7 ha scritto:è grave che Morphisec abbia rilevato il malware il 20-21 agosto e non abbia subito informato Avast della cosa ....

Le cose sono andate cosi: MORPHISEC CYBER SECURITY BLOG

Come già detto:

1) la formattazione non è necessaria (vedi punto 2 oppure, punto 3);

2) questione ripristino: se disponibile un punto di ripristino di sistema in data antecedente all'installazione della versione 5.33.6162 (15 ago 2017), utilizzatelo
se disponibile un backup di sistema precedente al 15 ago 2017, idem .... e, per come la vedo io, ancora meglio;

3) Malwarebytes rimuove il malware; chi non si sente sicuro, può (dopo la rimozione del malware e successivo riavvio) anche rimuovere manualmente le due chiavi di registro: HKEY_LOCAL_MACHINE \ SOFTWARE \ Piriform \ Agomo

Immagine

4) aggiornare CCleaner ( scaricandolo dal sito di Piriform - QUI PER IL DOWNLOAD ) è, ovviamente, essenziale.
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Avatar utente
mary7
Junior Software
Junior Software
Messaggi: 124
Iscritto il: 25 apr 2016 11:49

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda mary7 » 19 set 2017 13:48

Io il ripristino l ho fatto sul portatile perché avevo un punto antecedente (con versione 5.32), sul desktop non posso farlo perché non ho punti antecedenti comunque per chi non è stato infettato (avendo versione 64bit e non avendo le due chiavi di registro lasciate dal trojan) non è necessario, giusto?

Avatar utente
sondlive07
Beginner Software
Beginner Software
Messaggi: 38
Iscritto il: 02 nov 2014 14:37
Località: casa mia

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda sondlive07 » 19 set 2017 13:59

ho visto tre pc con ccleaner installato.

Due versioni free è una pro, tutti e tre pc Windows 10 a 32 bit

Solo uno (versione free) era stato colpito dal malware.

Ho reperito online ( fatto un piccolo test) installer della versione incriminata, sia pro che free; della versione pro nessuna è risultata compromessa...non così per la versione free
A volte vorrei entrare nella tua testa per provare la sensazione di vuoto assoluto.
(Groucho Marx)

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 19 set 2017 14:06

mary7 ha scritto:....... comunque per chi non è stato infettato (avendo versione 64bit e non avendo le due chiavi di registro lasciate dal trojan) non è necessario, giusto?

No ... non è necessario ( lo abbiamo già detto più volte :roll: ...... su, Mary, mettiti tranquilla :approvato: )

sondlive07 ha scritto:Solo uno (versione free) era stato colpito dal malware.

Questo computer è nella tua disponibilità? se si, ci sarebbe una cosa che mi interessa verificare (e vedere, con uno screenshot).
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Avatar utente
mary7
Junior Software
Junior Software
Messaggi: 124
Iscritto il: 25 apr 2016 11:49

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda mary7 » 19 set 2017 14:09

Grazie Claudio :approvato:

Avatar utente
sondlive07
Beginner Software
Beginner Software
Messaggi: 38
Iscritto il: 02 nov 2014 14:37
Località: casa mia

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda sondlive07 » 19 set 2017 14:22

[Claudio] ha scritto:
sondlive07 ha scritto:Solo uno (versione free) era stato colpito dal malware.

Questo computer è nella tua disponibilità? se si, ci sarebbe una cosa che mi interessa verificare (e vedere, con uno screenshot).


Io nel mio pc non uso più ccleaner da quando monto windows 10.

I tre pc di cui parlavo sono di uno studio commerciale e al momento non sono nella mia disponibilità

I test che ho fatto nel mio pc gli ho fatti in virtuale solo per vedere se anche la versione pro era stata compromessa oppure no senza ulteriormente approfondire, cancellando alla fine gli eseguibili di ccleaner testati
A volte vorrei entrare nella tua testa per provare la sensazione di vuoto assoluto.
(Groucho Marx)

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 19 set 2017 14:49

sondlive07 ha scritto:I test che ho fatto nel mio pc gli ho fatti in virtuale solo per vedere se anche la versione pro era stata compromessa .....

Non c'è differenza tra Free e Pro: su sistemi 32Bit sono (meglio, erano, compresa la versione Cloud 1.0), entrambe compromesse.

Concorrono altre condizioni:

The malware then checks to determine the privileges assigned to the user running on the system. If the current user running the malicious process is not an administrator the malware will terminate execution.


If the user executing the malware does have administrative privileges on the infected system, SeDebugPrivilege is enabled for the process. The malware then reads the value of 'InstallID' which is stored in the following registry location:
HKLM\SOFTWARE\Piriform\Agomo:MUID
If this value does not exist, the malware creates it using '((rand()*rand() ^ GetTickCount())'.
Once the aforementioned activities have been performed, the malware then begins profiling the system and gathering system information


sondlive07 ha scritto:I tre pc di cui parlavo ...... non sono nella mia disponibilità

Amen, vediamo se trovo un altro utente.
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Sampei Nihira
Ospite

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda Sampei Nihira » 19 set 2017 17:00

***
Ultima modifica di Sampei Nihira il 19 set 2017 18:04, modificato 3 volte in totale.

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 19 set 2017 17:40

Sampei Nihira ha scritto:Io personalmente la vedo un pò diversa da quanto riportato nell'articolo.

Quale degli oltre 20 articoli linkati nelle ultime 24 ore? (escluso quello che ha fatto partire la "baraonda" sul forum e che hai linkato per primo tu, tutto ciò che è stato pubblicato dopo sui diversi siti che si occupano anche di sicurezza, giunge alla stessa conclusione).

La presenza della chiave è certamente indice di infezione.

E chi ha detto il contrario?

Chi è infetto è meglio che esegua un backup antecedente oppure una nuova installazione.

Suggerimento quanto meno "esagerato" quello della nuova installazione (ma forse, in questo specifico caso, ritieni che l'intera comunità Infofosec sia improvvisamente rincoglionita).

Ed ho letto distrattamente anche la chiave o si procede alla rimozione manuale.

Dove lo hai letto? non mi risulta che qualcuno (neppure esponenti della comunità Infosec), abbia pubblicato una procedura per la rimozione manuale del malware.

Senza dimenticare che se invece il sw di rimozione non ha eliminato completamente la backdoor,perchè magari ha tralasciato una silente,che sò che si attiva (si ripresenta nel OS) dopo un certo tempo programmato dal suo autore ...


Following that, the offending CnC server was taken down on September 15, 9:50 AM PT, following Avast collaboration with law enforcement. During that time, the Cisco Talos team, who has been working on this issue in parallel, registered the secondary DGA domains before we had the chance to. With these two actions, the server was taken down and the threat was effectively eliminated as the attacker lost the ability to deliver the payload.


Sono ipotesi che saranno avallate oppure confutate certamente nei giorni a venire quando il problema sarà stato studiato maggiormente.

Appunto .... quindi, almeno per ora, restando nel campo delle ipotesi, non vedo una valida ragione per suggerire soluzioni drastiche come la formattazione.

P.S.: scusa se non risponderò ai tuoi eventuali prossimi reply ..... nelle prossime ore, sarò un pochino impegnato.
Ultima modifica di [Claudio] il 19 set 2017 18:15, modificato 1 volta in totale.
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser

Sampei Nihira
Ospite

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda Sampei Nihira » 19 set 2017 18:05

Fate come vi pare !!

Avatar utente
Chulo
Active member
Active member
Messaggi: 3796
Iscritto il: 02 ott 2006 18:57
Località: Trieste

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda Chulo » 19 set 2017 23:31

[Claudio] ha scritto:Mi domando come sia possibile che, su un forum con 25mila utenti registrati, e migliaia di utenti che utilizzano CCLEANER quotidianamente, non ci sia un solo utente che abbia riscontrato il problema

Vabbè dai sai bene che 25mila è il dato di registrazioni complessive da quando esiste questo forum (16? 17? anni). E' altresì palese che frequentazione e concetto di forum, siano crollate con l'avvento dei social (e credo abbiano ormai poco appeal soprattutto nei giovani - errore macroscopico a mio giudizio ma questa è tutta un'altra storia). In lettura credo che gli utenti comunque non manchino (sto esprimendo solo una mia sensazione), ma da lì a passare poi in scrittura c'è un abisso, un buco nero.
Uno poi lo avevi trovato almeno :wink: .
Grazie per l'ordinata ricostruzione della vicenda tramite link etc (e accidenti a me che mi sono messo a leggerla tutta)

Eh bei tempi quelli dei worm... :mrgreen:
Stando al suo comportamento, "potrebbe" anche sembrare uno di quei malware di "ricognizione, apri pista", tanto utili per fare statistica, catalogo di info, per prendere bene la mira...lanciando magari in un successivo momento un altro tipo di infezione più "cattiva"...
"Potrebbe", come invece i risvolti potrebbero essere altri, l'unica certezza mi pare che sia quella che nell'era della cyberwar, ormai vale tutto.
Il mattino ha l'oro in bocca!
Màs ayuda la mañana, que prima y hermana!

Avatar utente
[Claudio]
Advanced Software
Advanced Software
Messaggi: 2459
Iscritto il: 12 giu 2009 10:09
Località: 45° 44' 54'' N; 7° 21' 22'' E

Re: CCLEANER v5.33.6162 (15 ago 2017) contiene malware.

Messaggioda [Claudio] » 20 set 2017 08:08

Chulo ha scritto:Stando al suo comportamento, "potrebbe" anche sembrare uno di quei malware di "ricognizione, apri pista" ...... lanciando magari in un successivo momento un altro tipo di infezione più "cattiva" ....

Questa è l'opinione generale che circola nell'ambiente Infosec, Lele.
Nei prossimi giorni vedremo se ci saranno delle novità, fermo restando che, allo stato attuale, la situazione sembra si sia "normalizzata".

Grazie per l'ordinata ricostruzione della vicenda tramite link.

Ho solo cercato di seguire la questione e di fornire più informazioni possibili, Lele (poi, ognuno vede e valuta le cose come meglio ritiene opportuno).

Le cose migliorano anche sotto l'aspetto del rilevamento e rimozione del malware, da parte dei software di sicurezza:
situazione attuale aggiornata, da VirusTotal

Da evidenziare che, Windows Defender (chi lo esegue sul proprio computer, verifichi l'aggiornamento delle definizioni), rileva (almeno secondo Microsoft) (Backdoor:Win32/Floxif.gen!A) e rimuove la backdoor:

Immagine
PC Desktop: Windows 10 Enterprise N 2016 LTSB Notebook: Windows 10 Pro
HitmanPro.Alert 3.6 HitmanPro Malwarebytes Antimalware ProtonVPN Chrome & Tor Browser