Malware CCleaner

[Ranpyon]

Due sabati fa ho installato la versione 5.33 di CCleaner, dopodichè non ho più acceso il pc per due settimane. Oggi l'ho riacceso, l'antivirus (Kaspersky Internet Security) si è aggiornato e mi ha segnalato l'installer di CCleaner infetto. Così l'ho rimosso. Mi sono poi informata, ed ho scoperto di tutto il casino attorno alla versione 5.33 del programma. Quindi l'ho disinstallato, ho passato tutto il pc sia con l'antivirus, sia con Malwarebytes, e ho anche cercato le varie chiavi di registro e possibili files annessi segnalati. Non ho trovato assolutamente nulla. Eppure dovrei trovarmi nel registro almeno qualche chiave che attesti l'attuale o la passata infezione... Possibile che non abbia nulla? Posso stare tranquilla o è il caso che prenda altre misure (tipo ripristinare con una immagine del disco - seppur risalente a molto tempo fa-)? Ho Windows 7 a 64 bit.

[Dan1979]

Ciao
tutti quelli che hanno scaricato ccleaner dal 15 agosto al 12 settembre sono potenzialmente a rischio...
l'hacker ha aggiunto un malware alle versioni a 32 bit di CCleaner 5.33.6162 e CCleaner Cloud 1.07.3191.
Quindi in teoria chi usa ccleaner a 64 bit dovrebbe essere ok ...
Per sicurezza controllare sempre perche win7 64BIT puo avviare anche ccleaner 32bit...
Quindi controllare nel registro di sistema (fare attenzione il registro di sistema è parte delicata):
Aprire il registro scrivendo regedit sulla barra di ricerca e premere invio
Navigare il registro fino alla chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
questa chiave dovrebbe essere stata creata chi ha scaricato la versione di ccleaner contraffatta...
In questa chiave ci saranno due valori di dati denominati MUID e TCID, utilizzati dall'infezione Floxif installata.
Se cè questa chiave con quei dati sei stato infetto dal malware altrimenti no...
Cosa fa il malware di Floxif?
Il malware denominato Floxif raccoglie i dati provenienti da computer infetti come il nome del computer, l'elenco dei programmi installati, l'elenco dei processi in esecuzione, gli indirizzi MAC per le prime tre interfacce di rete e gli ID univoco per identificare ciascuna partedel computer.
Il malware potrebbe anche scaricare e eseguire altri malware, ma Avast(il proprietario di ccleaner) ha detto che non ha trovato prove che gli aggressori abbiano mai usato questa funzione.
Come faccio a rimuovere il malware Floxif o CCleaner?
Il malware è stato incorporato nell'eseguibile CCleaner stesso. L'aggiornamento di CCleaner a v5.34 rimuove il vecchio file eseguibile e il malware. CCleaner non dispone di un sistema di aggiornamento automatico, quindi gli utenti devono scaricare e installare manualmente CCleaner 5.34.
Avast ha detto che ha già rilasciato un aggiornamento agli utenti CCleaner Cloud, e dovrebbero andare bene. La versione pulita è CCleaner Cloud 1.07.3214.
Il malware viene eseguito solo se l'utente usava un account amministratore. Se si utilizza un account con privilegi piu bassi e ha installato CCleaner 5.33, non è influenzato. Se si esegue Windows 7 Home Premium, l account principale è molto probabilmente un account amministrativo e si suppone che si è infetti se si ha installato questa versione di CCleaner corrotta.
Tuttavia, si consiglia di aggiornare alla versione 5.34.
Dopo aver reinstallato ccleaner verificare la chiave se piu presente.....

Ciao

[Ranpyon]

Grazie per la risposta, tuttavia la stessa non mi è di nessun aiuto in quanto avevo già letto il testo in essa contenuta, e il mio quesito viene proprio da lì, perché sono certa di aver installato la versione bucata, e quindi dovrei aver nel registro qualche chiave (oltre alla segnalata Agomo, che comunque non ho), eppure non ho nulla.
Ripeto che dopo aver disinstallato CCleaner ho passato il sistema con antivirus, Malwarebytes e non ho avuto alcun riscontro.
Sia chiaro, non è che voglio trovare qualcosa per forza, anzi, è solo che mi puzza il non aver nulla. Forse c'è qualcosa di nascosto? Ho letto in giro che i sistemi a 64 bit sono immuni, e il mio è appunto a 64 bit. Quindi può essere che l'installer ha il malware, ma in fase di installazione è stata installata la versione del programma a 64 bit e quindi non mi sono presa nulla in realtà?
Preciso che adesso non ho più installata alcuna versione di CCleaner (nemmeno quella nuova "pulita").
Qualcun altro sa dirmi qualcosa in merito?

[stoka]

Quote:

Originariamente inviato da Ranpyon

...cut... Ho letto in giro che i sistemi a 64 bit sono immuni, e il mio è appunto a 64 bit. Quindi può essere che l'installer ha il malware, ma in fase di installazione è stata installata la versione del programma a 64 bit e quindi non mi sono presa nulla in realtà? ...cut...

ti sei già risposta da sola.
per farla breve (e anche nel mio sistema è così):
CCleaner nei sistemi a 64 bit, installa entrambe le versioni (32 bit e 64 bit), ma il collegamento sul deskop (quindi l'eseguibile che è utilizzato di default) avvia la versione a 64 bit.
Nelle versioni incriminate (modificate malevolmente), l'eseguibile per i sistemi operativi a 32 bit (Windows x86) causa il proliferare dell'infezione.
Stop.
Disinstalla precedenti versioni, pulisci e aggiorna dalla versione 5.35 in poi.

[arcofreccia]

Per stare proprio tranquilli servirebbe una formattazione secondo voi?

Oppure è una scelta alquanto estrema?

Lo chiedo visto che potrebbe esserci il rischio che qualche file sospetto non lo rilevi neanche l'antivirus?

[stoka]

hai trovato traccia nel tuo sistema operativo delle chiavi incriminate ?
che versione usi ? x86 o x64 ?

[arcofreccia]

Quote:

Originariamente inviato da stoka

hai trovato traccia nel tuo sistema operativo delle chiavi incriminate ?
che versione usi ? x86 o x64 ?

x64

[Ranpyon]

Quote:

Originariamente inviato da stoka

ti sei già risposta da sola.
per farla breve (e anche nel mio sistema è così):
CCleaner nei sistemi a 64 bit, installa entrambe le versioni (32 bit e 64 bit), ma il collegamento sul deskop (quindi l'eseguibile che è utilizzato di default) avvia la versione a 64 bit.
Nelle versioni incriminate (modificate malevolmente), l'eseguibile per i sistemi operativi a 32 bit (Windows x86) causa il proliferare dell'infezione.
Stop.
Disinstalla precedenti versioni, pulisci e aggiorna dalla versione 5.35 in poi.

Grazie mille!!

[stoka]

Quote:

Originariamente inviato da arcofreccia

x64

come sopra...non vi è fondamenta alle tue perplessità.

Oh, comunque, se ti fà sentire più sicuro, un formattone non si nega mai !!!

Se ti fai un'immagine del sistema pulito, inclusi gli aggiornamenti e i vari software che usi, la cosa ti riesce più veloce e meno stressante per le volte successive in cui hai questi dubbi amletici.

[Dan1979]

Se fa un immagine di sistema adesso, se fosse infetto una volta reinstallato il sistema operativo dall immagine installera a sua volta i virus che l immagine contiene....
Quindi se vuole formattare stavolta dovra farlo senza immagine...(a meno che non ne ha una precedente e pulita)...
Ma secondo me come dice stoka ,nel tuo caso se non hai le chiavi incriminate del virus..è una forzatura il format..anche pervhe secondo avast non ci sono prove che l malware floxit aveva cominciato a diffondere virus....poi se sei piu tranquillo con un format e vuoi cogliere l occasione ok....

[Dan1979]

Per quelli che hanno seguito il post e non solo...
Recenti notizie e ricerce da parte di Talos ,rivelano che non è piu sufficente aggiornare la versione di ccleaner perche questa infezione ha piu stadi, e che il miglior rimedio è formattare l' hard disk...
Vedere questo documento per migliori spiegazioni http://www.dday.it/redazione/24295/c...rmattare-il-pc

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Dan1979

Per quelli che hanno seguito il post e non solo...
Recenti notizie e ricerce da parte di Talos ,rivelano che non è piu sufficente aggiornare la versione di ccleaner perche questa infezione ha piu stadi, e che il miglior rimedio è formattare l' hard disk...
Vedere questo documento per migliori spiegazioni http://www.dday.it/redazione/24295/c...rmattare-il-pc

Stai contribuendo, magari inconsapevolmente, a distribuire isteria collettiva a palate. Non c'è niente di più pericoloso e deleterio dell'isteria collettiva!

Si deve preoccupare solo chi ha usato la versione a 32 bit di CCleaner, chi ha Windows a 64 bit normalmente non ha avuto nessun motivo per lanciare CCleaner a 32 bit, per cui non deve preoccuparsi di formattare o fare alcunché.

RIPETO, si deve preoccupare solo chi ha uno Windows a 32 bit o ha avuto l'insana idea di cercare ed avviare manualmente la versione a 32 bit di CCLeaner. Chi ha Windows 64 bit ed ha avviato CCleaner dal menu start o dal collegamento che l'installer di CCleaner mette sul desktop ha sempre adoperato la versione a 64 bit, nessunissimo problema per loro.

[Dan1979]

Mi scuso se ho causato questo genere di problema ma mi pare essere stato abbastanza chiaro sia con link (se leggi l articolo... per PC con architettura a 32 bit)...e nel mio primo post (l'hacker ha aggiunto un malware alle versioni a 32 bit di CCleaner e anche Quindi in teoria chi usa ccleaner a 64 bit dovrebbe essere ok )
Giusto si deve preoccupare solo chi ha sistemi a 32bit....
poi ho scritto (Vedere questo documento per migliori spiegazioni )...da li se uno vuole informarsi cè tutto...
Sai come è, fino a tre giorni fa bastave reinstallare ccleaner ed eri ok ,adesso viene fuori una trafila infinita di cose...

[Dan1979]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Stai contribuendo, magari inconsapevolmente, a distribuire isteria collettiva a palate. Non c'è niente di più pericoloso e deleterio dell'isteria collettiva!

Si deve preoccupare solo chi ha usato la versione a 32 bit di CCleaner, chi ha Windows a 64 bit normalmente non ha avuto nessun motivo per lanciare CCleaner a 32 bit, per cui non deve preoccuparsi di formattare o fare alcunché.

RIPETO, si deve preoccupare solo chi ha uno Windows a 32 bit o ha avuto l'insana idea di cercare ed avviare manualmente la versione a 32 bit di CCLeaner. Chi ha Windows 64 bit ed ha avviato CCleaner dal menu start o dal collegamento che l'installer di CCleaner mette sul desktop ha sempre adoperato la versione a 64 bit, nessunissimo problema per loro.

Giustissimo tutto quello che hai detto ma la soluzione quale è....

[Orsettinapc]

Quote:

Originariamente inviato da arcofreccia

Per stare proprio tranquilli servirebbe una formattazione secondo voi?

Oppure è una scelta alquanto estrema?

Scelta per nulla estrema :



https://www.tomshw.it/attacco-cclean...ttare-pc-88551

Ma passare a Linux no ?

[stoka]

Quote:

Originariamente inviato da Orsettinapc

Ma passare a Linux no ?

perché vuoi attirarti le ire della forza oscura ?
ti piace creare zizzania.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Dan1979

Giustissimo tutto quello che hai detto ma la soluzione quale è....

Se si ha una installazione di Windows 64 bit e non si è avviata mai la versione a 32 bit di CCleaner, nulla. Bisogna fare nulla.

Se si ha una installazione a 32 bit di Windows dipende dal contesto in cui si trova ad operare la macchina e dalla sensibilità di ognuno di noi per queste cose.

Se la macchina è in un contesto "critical mission", si formatta e reinstalla da zero, oppure si ripristina un backup delle partizioni di sistema effettuato prima dell'installazione di quella versione di CCleaner, se lo si possiede.

Se la macchina è in un normale contesto a medio-basso rischio, tipo PC di casa per intenderci, si passa alla sensibilità di ognuno. Se si è sensibili a questi temi si formatta e reinstalla da zero, e non si sbaglia. Se non si è paranoici, si fanno le consuete scansioni antimalware, magari un po' più approfondite del solito, e se alla fine non si riscontra nulla di preoccupante e non ci sono altri segnali che possano dar da pensare ad un sistema infetto, si continua con l'attuale installazione magari stando in campana e più attenti del solito ad eventuali fenomeni "dubbi".


Il tutto ovviamente IMHO.