Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/ccleaner-violato-l-hack-e-ben-piu-grave-di-quanto-previsto_71321.html

Ad essere stati presi di mira con l'attacco a CCleaner non solo i computer degli utenti, ma anche grosse firme del settore tecnologico con aggressioni ad-hoc

Click sul link per visualizzare la notizia.

Da qui devo dedurre che l'ultima release scaricabile sia pulita no ?

L’ultima release (dovrebbe) essere pulita ma se il tuo sistema é compromesso ormai non cambia che versione metti.
Ccleaner dovrebbe sviluppare (a sue spese e subito!) un tool per rimuovere il malware altrimenti tanta gente li eviterá come la peste (tra chi li usava).

Da qui devo dedurre che l'ultima release scaricabile sia pulita no ?
Già la 5.34 di settimana scorsa era pulita, ma era ancora firmata con il vecchio certificato (non revocato). La nuova 5.35 ha:
- All builds signed with new Digital Signatures
Cosa che avrebbero dovuto fare fin da subito (vale per tutte le versioni, standard, slim e portable).

Per quanto riguarda eventuali infezioni residenti nel sistema (Payload Stage 2), quest'articolo (qui (https://www.ghacks.net/2017/09/21/ccleaner-malware-second-payload-discovered/)) spiega rapidamente senza creare allarmismi (aka clickbait) cosa cercare per verificare se nel sistema sia stato presente (o sia presente) qualche traccia. Nello specifico verificare se vi siano le chiavi di registro:
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
Occhio che la chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf
è normale che ci sia, la troverete in tutti i sistemi, semplicemente dentro non dovreste avere nulla ;)

In aggiunta è possibile cercare anche questi files:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
PS: qui (https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident) trovate info più dettagliate sul funzionamento.

@ulukaii : Grazie infinite!

(e per fortuna io non ero infetto, credo di aver saltato quella versione per puro caso)

Edit

@fraussantin : scusa, ma l'ha appena scritto ulukaii 3 post fa...:muro:

Scusa non avevo letto.

Dopo controllo.

Occhio che la chiave

è normale che ci sia, la troverete in tutti i sistemi, semplicemente dentro non dovreste avere nulla ;)

In aggiunta è possibile cercare anche questi files:

PS: qui (https://blog.avast.com/avast-threat-labs-analysis-of-ccleaner-incident) trovate info più dettagliate sul funzionamento.


sito irraggiungibile :stordita:

e io avevo la versione 5.33 :stordita:

A ogni modo ho disinstallato CCL e basta, conscio che comunque di per se non è una soluzione. Pensare che l'avevo installato per ripulire eventuali tracce dei driver della precedente vga su suggerimento altrui :asd:, quando di solito non uso MAI sto software e ci penso io a mantenere pulito il sistema :doh:


Ad ogni modo il mio registro di sistema è così:

https://imgur.com/a/CXCZk

mi pare di capire che sia apposto :stordita:

Sì è ok. Comunque il link io riesco ad aprirlo, ma alla fine contiene sostanzialmente le info che ho postato sopra, basta cercare la presenza di quelle chiavi per vedere se c'è il payload.

Ci sarebbe anche un'altra cosa, che avevo scritto nella precedente news (qui (http://www.hwupgrade.it/forum/showpost.php?p=45030787&postcount=14)) e cioè, verificare l'eventuale sola installazione del malware e cioè la chiave:
- HKLM\Software\Piriform\Agomo\...
Questa chiave non deve esserci se si utilizza Ccleaner. Come ho indicato lì, personalmente avevo una macchina (Win 10 x86) in cui ho trovato tale chiave, ma dove non ho poi trovato alcuna ulteriore traccia residua (neanche del payload).

C'è anche da aggiungere, giusto per far chiarezza, che era compromesso l'exe a 32bit di Ccleaner, indipendentemente dalla versione usata (standard, slim o portable) e non era una cosa che veniva installata in fase d'installazione, ma si attivava proprio con l'uso dell'eseguibile, in pratica avviando il programma (di default mette anche un'azione pianificata all'avvio, quindi riavviando la macchina è come se lo si utilizza). Tuttavia su sistemi x64 non veniva mai usata la versione 32bit (sebbene l'exe sia presente, viene sempre usato quello a 64bit che non era compromesso).

Su altre macchine x64, pur avendo avuto la 5.33, non ho nemmeno individuato tracce della key Agomo, segno che l'exe a 32bit non sia mai stato usato.

non è bellissima sta cosa

C'è anche da aggiungere, giusto per far chiarezza, che era compromesso l'exe a 32bit di Ccleaner, indipendentemente dalla versione usata (standard, slim o portable) e non era una cosa che veniva installata in fase d'installazione, ma si attivava proprio con l'uso dell'eseguibile. Su sistemi x64 non veniva mai usata la versione 32bit (sebbene l'exe sia presente, viene sempre usato quello a 64bit che non era compromesso).

Su altre macchine x64, pur avendo avuto la 5.33, non ho nemmeno individuato tracce della key Agomo, segno che l'exe a 32bit non sia mai stato avviato.

Ah, beh io sto su un sistema a 64bit e all'epoca ho fatto l'installazione automatica, non mi pare di aver cliccato su una versione a 32 o chessò io

a ogni modo riporto come sopra il mio registro


https://imgur.com/a/CXCZk


questa stringa invece non è presente

- HKLM\Software\Piriform\Agomo\...


comunque a prescindere che sia infetto o meno col cazzo che lo reinstallo :rolleyes:

Ah, beh io sto su un sistema a 64bit e all'epoca ho fatto l'installazione automatica, non mi pare di aver cliccato su una versione a 32 o chessò io

a ogni modo riporto come sopra il mio registro


https://imgur.com/a/CXCZk
Sì, così è normale. Controlla anche l'eventuale presenza della key Agomo che ho postato sopra. Se la trovi, cancella direttamente l'intera entry Agomo. Ma non dovresti trovare nemmeno quella ;)

Ah,

comunque a prescindere che sia infetto o meno col cazzo che lo reinstallo :rolleyes:

Io lo usavo perlopiú per gestire le app che si autoavviano e non hanno l'impostazione per disattivarla.

Esiste qualche altra app o tool sicura per questo uso?

Edit

Però sono stati "onesti" a dargli un nome riconoscibile.

Se non erro i malwere spesso usano nomi di stringhe reali poco modificste.
Se non sbaglio, quella sarebbe una entry normalmente associabile ad una installazione di Ccleaner Cloud (sarebbe parte dell'update agent), quindi no, non sono stati onesti, ma subdoli ;)

Se non sbaglio, quella sarebbe una entry normalmente associabile ad una installazione di Ccleaner Cloud (sarebbe parte dell'update agent), quindi no, non sono stati onesti, ma subdoli ;)

Si è corretto , dopo il post ho controllato ed è proprio cosí, infatti ho editato.

in quella cartella non ho nulla...tranne il (predefinito)

Ormai l'informatica è un girone dantesco. Abbiamo creato un mondo che fa quasi più paura di quello fisico.

in quella cartella non ho nulla...tranne il (predefinito)
Tranquillo, il predefinito è ok, lo troveresti anche in una prima installazione di Win ;)

*disinstalla ferocemente la versione 5.32

che alternative ci sono a ccleaner? ogni tanto uso glary utilities ma ccleaner era veramente il meglio per la personalizzazione della pulizia.

La 5.32 non era compromessa ;)

Ma zio can, proprio selezione naturale per i fanatici degli installer a tutti i costi :rolleyes:

https://imgur.com/9Vl9Wg8
ciao, questo è quello che ho trovato io, la chiave indicata non c è.
dovrebbe essere ok?

Io lo usavo perlopiú per gestire le app che si autoavviano e non hanno l'impostazione per disattivarla.

Esiste qualche altra app o tool sicura per questo uso?

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

Ma zio can, proprio selezione naturale per i fanatici degli installer a tutti i costi :rolleyes:
Tutte le versioni di Ccleaner 5.33 erano compromesse, non solo quelle con l'installer (standard/slim), ma anche la portable, perché non veniva iniettato nulla in fase d'installazione, era proprio l'exe di Ccleaner (a 32bit) ad essere stato manomesso ;)

https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

Grazie!

Tutte le versioni di Ccleaner 5.33 erano compromesse, non solo quelle con l'installer (standard/slim), ma anche la portable, perché non veniva iniettato nulla in fase d'installazione, era proprio l'exe di Ccleaner (a 32bit) ad essere stato manomesso ;)
ma il problema riguarda solo la versione a 32bit?

Solo l'exe a 32bit di Cclenaer era compromesso.
Grazie!
Già che sei lì, dai un'occhiata anche a Process Explorer (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer), non è un cleaner, ma è un tool molto utile per monitorare l'uso del sistema (processi, app, dll, risorse, etc) ;)

sito irraggiungibile :stordita:

e io avevo la versione 5.33 :stordita:

A ogni modo ho disinstallato CCL e basta, conscio che comunque di per se non è una soluzione. Pensare che l'avevo installato per ripulire eventuali tracce dei driver della precedente vga su suggerimento altrui :asd:, quando di solito non uso MAI sto software e ci penso io a mantenere pulito il sistema :doh:


Ad ogni modo il mio registro di sistema è così:

https://imgur.com/a/CXCZk

mi pare di capire che sia apposto :stordita:

anche il mio è così, quindi dovrei essere a posto, io ho la 5.35 ma usavo la 5.34 e prima di aggiornare credo la 5.32, spero di aver saltato la 5.33 uso la versione a 64 bit.

questa stringa invece non è presente

- HKLM\Software\Piriform\Agomo\...

Solo l'exe a 32bit di Cclenaer era compromesso.

Già che ci lì, dai un'occhiata anche a Process Explorer (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer), non è un cleaner, ma è un tool molto utile per monitorare l'uso del sistema (processi, app, dll, risorse, etc) ;)
ok grazie ;)

anche il mio è così, quindi dovrei essere a posto, io ho la 5.35 ma usavo la 5.34 e prima di aggiornare credo la 5.32, spero di aver saltato la 5.33 uso la versione a 64 bit.

questa stringa invece non è presente

- HKLM\Software\Piriform\Agomo\...
Esatto, è corretto, non deve esserci quella chiave, quindi dovresti essere a posto ;)

Esatto, è corretto, non deve esserci quella chiave, quindi dovresti essere a posto ;)

Non riesco però a trovare queste voci:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Solo l'exe a 32bit di Cclenaer era compromesso.

Già che sei lì, dai un'occhiata anche a Process Explorer (https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer), non è un cleaner, ma è un tool molto utile per monitorare l'uso del sistema (processi, app, dll, risorse, etc) ;)

curiosità , ma son robe ufficiali microsoft , oppure sono solo riportate li .


edit , non credo visto che son fatte da russi

curiosità , ma son robe ufficiali microsoft , oppure sono solo riportate li .


edit , non credo visto che son fatte da russi

AFAIR, Russinovich e' americano e lavora in Microsoft. Sysinternals e' americana ed e' stata acquisita da Microsoft una decina di anni fa.

Non riesco però a trovare queste voci:
- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Non sono voci, sono file. Basta cercare nel sistema i files GeeSetup_x86.dll, EFACli64.dll, TSMSISrv.dll
Per le tracce nel registro, cerchi i rispettivi hash nel registro (regedit selezioni l'icona PC a radice quindi > modifica > trova).

curiosità , ma son robe ufficiali microsoft , oppure sono solo riportate li .
Microsoft ;)

AFAIR, Russinovich e' americano e lavora in Microsoft. Sysinternals e' americana ed e' stata acquisita da Microsoft una decina di anni fa.



Microsoft ;)

ok scusate..

Non sono voci, sono file. Basta cercare nel sistema i files GeeSetup_x86.dll, EFACli64.dll, TSMSISrv.dll
Per le tracce nel registro, cerchi i rispettivi hash nel registro (regedit selezioni l'icona PC a radice quindi > modifica > trova).


Microsoft ;)

OK, grazie mille.

Grazie ulukaii... L'ho scampata a quanto pare.

Dubito che lo re-installerò in futuro.

Sì, così è normale. Controlla anche l'eventuale presenza della key Agomo che ho postato sopra. Se la trovi, cancella direttamente l'intera entry Agomo. Ma non dovresti trovare nemmeno quella ;)

ok grazie ;)

Io lo usavo perlopiú per gestire le app che si autoavviano e non hanno l'impostazione per disattivarla.

Esiste qualche altra app o tool sicura per questo uso?

hai provato col comando msconfig? dovresti poter deselezinare quelle applicazioni che partono all'avvio di windows

hai provato col comando msconfig? dovresti poter deselezinare quelle applicazioni che partono all'avvio di windows

ma non ci sono tutte .

cmq funziona benissimo il tool postato da Jabberwock. un po meno intuitivo su alcune app ( mostra tutti i singoli processi di ogni app) , ma dopo 5 mn ci si fa subito l'occhio.
ps

volevo far notare come di fatti come questi ne accadano sempre più spesso. ( ricordo di qbittorrent , ma anche altri)
quando si esegue un installer conviene passarlo da virus total e disattivare sempre l'autoupdate.

magari il prossimo potrebbe essere proprio il sw di cui non possiamo farene a di meno.

nell'articolo dovreste ricordare che il tutto coinvolgeva solo le versioni a 32bit di CCleaner e quindi di Windows (in quanto su Win 64bit si installa automaticamente CCleaner 64bit).

è importante perchè tanti utenti soprattutto di questo sito leggono e stanno più tranquilli, dato che ormai immagino siano già diversi anni che non hanno più contatti con sistemi Win a 32bit.

Pensate se sono riusciti ad avere accesso a codici di rilevanza per i sistemi di sicurezza di quelle società...potrebbero pure fruttare delle 0-days facili facili per quanto ne sappiamo :stordita:

ma non ci sono tutte .

cmq funziona benissimo il tool postato da Jabberwock. un po meno intuitivo su alcune app ( mostra tutti i singoli processi di ogni app) , ma dopo 5 mn ci si fa subito l'occhio.
ps

volevo far notare come di fatti come questi ne accadano sempre più spesso. ( ricordo di qbittorrent , ma anche altri)
quando si esegue un installer conviene passarlo da virus total e disattivare sempre l'autoupdate.

magari il prossimo potrebbe essere proprio il sw di cui non possiamo farene a di meno.
Non si trattava dell'installer, ma dell'eseguibile stesso del software. Avevano compromesso l'exe (x32), per questo anche chi aveva la portable non era al sicuro.

E passarlo con un AV non avrebbe risolto nulla (in genere con una suite AV installata è una cosa che avviene in automatico), in quanto era firmato con un certificato valido. Nessuno lo individuava come trojan.

E' questa la grossa differenza dai precedenti attacchi ad altre software house, qui hanno compromesso la filiera di produzione.

nell'articolo dovreste ricordare che il tutto coinvolgeva solo le versioni a 32bit di CCleaner e quindi di Windows (in quanto su Win 64bit si installa automaticamente CCleaner 64bit).

è importante perchè tanti utenti soprattutto di questo sito leggono e stanno più tranquilli, dato che ormai immagino siano già diversi anni che non hanno più contatti con sistemi Win a 32bit.
Fosse solo quello il problema, anche la precedente news era riportata in termini sensazionalistici. Una cosa così può andar bene per un portale che si occupa di altro e tocca questi argomenti solo per conoscenza generale, ma non per chi si dedica all'informatica e alla tecnologia. L'argomento andava affrontato in modo molto più dettagliato.

Riportare le news così, incomplete, imprecise e senza nemmeno indicare come individuare eventuali compromissioni sul sistema (cose riportate alla fonte, ma non poi nell'articolo) serve solo ad attirare click e spaventare l'utente. Ricordo che non si parla di un software usato da 4 gatti, ma di un prodotto noto da anni nel settore, estremamente diffuso, linkato tra i donwload abituali anche di questo portale (basta guardar sotto) e a volte consigliato pure da società AV terze per "pulire" il sistema prima di installare i loro prodotti.

Di contro c'è però da dire che le news sulle offerte dei prodotti sono in genere molto precise e dettagliate ;)

Non si trattava dell'installer, ma dell'eseguibile stesso del software. Avevano compromesso l'exe (x32), per questo anche chi aveva la portable non era al sicuro.

E passarlo con un AV non avrebbe risolto nulla (in genere con una suite AV installata è una cosa che avviene in automatico), in quanto era firmato con un certificato valido. Nessuno lo individuava come trojan.

E' questa la grossa differenza dai precedenti attacchi ad altre software house, qui hanno compromesso la filiera di produzione.

Si senza certificato non penso che windows lo installerebbe neppure. O almeno a me ogni volta che installo un file amatoriale la fa lunga come una suocera.
Però credevo che gli antivirus ( quelli buoni) riconoscessero un exe che installa roba particolare.

E se non erro virus total non usa i database dei vari antivirus ( che si "formano" sui dati rilevati sui pc dove sono installsti?)


se mi dici questo l'unica via di salvezza ( almeno per il pc che uso per banca e ecc) è scaricare l'installer e tenerlo li ad invecchiare qualche settimana in attesa di eventuali news..

Si senza certificato non penso che windows lo installerebbe neppure. O almeno a me ogni volta che installo un file amatoriale la fa lunga come una suocera.
Però credevo che gli antivirus ( quelli buoni) riconoscessero un exe che installa roba particolare.

E se non erro virus total non usa i database dei vari antivirus ( che si "formano" sui dati rilevati sui pc dove sono installsti?)


se mi dici questo l'unica via di salvezza ( almeno per il pc che uso per banca e ecc) è scaricare l'installer e tenerlo li ad invecchiare qualche settimana in attesa di eventuali news..
No, nessun software AV lo identificava, l'exe era firmato e certificato, negli articoli apparsi (su AVAST/Cisco, non qui) era stato spiegato chiaramente il processo.
Anche una semplice scansione dell'exe nello zip della portable non avrebbe individuato nulla, così come ciò che poi l'exe faceva una volta eseguito (quindi quando lavorava) e te lo dico con certezza assoluta, in quanto testato personalmente su vari sistemi prima che saltasse fuori il tutto (Kaspersky 2017-18, Malwarebyte, HitmanPro, Avast e altri, compresa quella fetecchia di Defender). Per dire che neanche KIS configurato in "pignoleria-mode" sniffasse comportamenti anomali, la dice lunga su quanto fosse sofisticata la cosa.

Gli AV hanno iniziato ad identificarlo solo dopo che il caso è stato scoperto, quindi dalla settimana scorsa. Esempio, quando è apparso l'articolo di Cisco, nell'immagine a fondo pagina mostra solo 1 prodotto (il loro ovviamente) che in quel momento lo individuava.

Pensa solo a questo, immagina una compromissione così sofisticata all'interno di un drivers oppure di software ancora più diffuso che si aggiorna automaticamente senza controllo da parte dell'utente (Win 10 :stordita: ) e che quindi una volta inoculato, rimanda a scaricare ulteriori versioni esterne ancor più sofisticate e "raffinate"...

Ma solamente se si avviava una scansione c'era questo rischio? O bastava che era installato?

Ma solamente se si avviava una scansione c'era questo rischio? O bastava che era installato?
Di default Ccleaner all'avvio (già dai tempi di Win 8) imposta, al di là del monitoraggio (Opzioni > Monitoraggio > 1° e 3° check) anche un'opzione idiota per bypassare l'avviso UAC di Windows (Opzioni > Avanzate > Ignora Avviso UAC) in modo da non infastidire l'utente niubbo con avvisi durante l'esecuzione.

Con quest'ultima check attiva, viene impostato un task nelle Utilità di Pianificazione di Windows che in pratica all'avvio del sistema lancia Ccleaner argomentanto (passandogli come parametro $Arg0) per far saltare il messaggio del UAC quando poi l'utente avvia effettivamente l'applicazione.

Quindi anche con l'applicazione presente e mai avviata dall'utente, il sistema in realtà lo fa comunque.

Occorre però ricordare che su sistemi x64 anche se Ccleaner presenta entrabi gli eseguibili (x32 e x64) viene avviata sempre la versione coerente col sistema, quindi la x64 (e l'eseguibile compromesso era la versione x32).

No, nessun software AV lo identificava, l'exe era firmato e certificato, negli articoli apparsi (su AVAST/Cisco, non qui) era stato spiegato chiaramente il processo.
Anche una semplice scansione dell'exe nello zip della portable non avrebbe individuato nulla, così come ciò che poi l'exe faceva una volta eseguito (quindi quando lavorava) e te lo dico con certezza assoluta, in quanto testato personalmente su vari sistemi prima che saltasse fuori il tutto (Kaspersky 2017-18, Malwarebyte, HitmanPro, Avast e altri, compresa quella fetecchia di Defender). Per dire che neanche KIS configurato in "pignoleria-mode" sniffasse comportamenti anomali, la dice lunga su quanto fosse sofisticata la cosa.

Gli AV hanno iniziato ad identificarlo solo dopo che il caso è stato scoperto, quindi dalla settimana scorsa. Esempio, quando è apparso l'articolo di Cisco, nell'immagine a fondo pagina mostra solo 1 prodotto (il loro ovviamente) che in quel momento lo individuava.
questo è un grave problema .adesso immagino che i cracker di tutto il mondo stiano studiando come replicare l' evento.

Pensa solo a questo, immagina una compromissione così sofisticata all'interno di un drivers oppure di software ancora più diffuso che si aggiorna automaticamente senza controllo da parte dell'utente (Win 10 :stordita: ) e che quindi una volta inoculato, rimanda a scaricare ulteriori versioni esterne ancor più sofisticate e "raffinate"...
be ci ho sempre pensato , per questo tengo disattivo l' autoupdate di tutte le app indi , o cmq di piccole sh.

non penso che possano bucare i server di nvidia , creative ecc così in profondità o almeno spero.un conto è prelevare dati come sul psn , un altro è sostituire un installer o peggio un file beta dal pc del developer prima che lo compili ( chissà come han fatto).

solo che ignorantemente speravo che gli antivirus li rilevassero ..

Teoricamente potrebbero, tra euristica avanzata e funzioni pro attive, ma solo se il comportamento rilevato è effettivamente anomalo perché in questo caso si trattava di un'applicazione certificata e il codice inoculato era davvero subdolo.
Mettiamo anche che una semplice azione generasse un warning, come utente lo si sarebbe probabilmente identificato come un falso positivo, anche perché non è un'app che ha fatto pinco pallino, ma roba rilasciata da Piriform/Avast.

Ora vediamo la cosa dalle info di Cisco/Talos/Avast/Piriform sul lavoro fatto in questi giorni per ricostruire il comportamento e le azioni del malware e degli hackers, dietro c'è qualcosa di grosso, non un paio di teeangers in un garage.

Poi ovviamente noi facciamo questi discorsi... poi vai in banca e ti becchi l'addetto che ravana su Win XP e lì ti cadono i c....

Tutte le versioni di Ccleaner 5.33 erano compromesse, non solo quelle con l'installer (standard/slim), ma anche la portable, perché non veniva iniettato nulla in fase d'installazione,
Ah ok, personalmente l'avrei evitata anche avessi usato la versione 32bit visto che sono su account standard e che faccio sempre uno snapshot del reg e sys dirs pre-post avvio dell'eseguibile.

Poi ovviamente noi facciamo questi discorsi... poi vai in banca e ti becchi l'addetto che ravana su Win XP e lì ti cadono i c....

... con le credenziali di accesso salvate sul telefono.

Spero cmq che in banca la sicurezza vada oltre il s.o. usato.


Anche perchè altrimenti avremmo i conti vuoti ( piú del solito XD)!

Nessuno si chiede perché solo la versione a 32 bit? Perché la 64 l'hanno lasciata intonsa?

caspita, l'hanno usato come horse trojan. Da quale versione? Le precedenti è sicuro siano sicure?

caspita, l'hanno usato come horse trojan. Da quale versione? Le precedenti è sicuro siano sicure?
E' tutto documentato sui blog Avast e Talos/Cisco. La versione colpita era la v5.33, in particolare l'exe x32 di Ccleaner ;)

L'articolo è fatto male, ho capito qualcosa solo grazie ai commenti degli utenti.

In pratica solo alcune versioni tra le più recenti contenevano un malware. Io ne ho una vecchia e non ho problemi ad esempio.
Grazie Ulukaii per aver scritto per primo le chiavi da controllare. Lunedì a lavoro mi tocchera fare un controllo, ma credo proprio abbiamo una di queste con malware. :muro:

Sono semplicemente appassionato di informatica e computer. Da alcuni anni ho abbandonato i software di pulizia, perchè provocano dipendenza e provandone diversi si scopre che alla fine della fiera non eliminano tutti i residui. Si ha la sensazione dopo aver eseguito la scansione ed eliminato i file residui, che il computer funzioni meglio, e che se, i nostri dischi rigidi fossero controllati, non verrebbe trovata traccia della nostra attività. Invece nel registro di sistema rimangono le tracce ben più importanti, quelle che gli investigatori cercano se ci viene sequestrato il computer. Per pulire a livello Ccleaner, basta sapere la directory delle cartelle che accumulano quei dati non necessari e sensibili sull' uso che facciamo del PC. Nel registro di sistema si trovano riferimenti a programmi vecchi disinstallati, ai siti visitati, ai download fatti, via browser, con torrent o altro software. Purtroppo l'utente medio non sa come fare, quindi si affida a questi spazzini, che comunque sono passibili di malfunzionamenti, o come in questo caso, infettati da malware.

Sono semplicemente appassionato di informatica e computer. Da alcuni anni ho abbandonato i software di pulizia, perchè provocano dipendenza

Addirittura... mi pare si stia un peletto esagerando sull'argomento :)


Per pulire a livello Ccleaner, basta sapere la directory delle cartelle che accumulano quei dati non necessari e sensibili sull' uso che facciamo del PC.



Ed è proprio qui che sta il vantaggio di questi software, non devi sapere dove stanno le cose ed andare a cancellarle una per una.

Io CCleaner lo uso da una decina di anni, prima di fare il backup della partizione di sistema gli faccio cancellare tutti i file delle cache dei programmi e di tutto quello che non mi serve mettere nei backup. In pochi secondi vanno via mediamente file per circa un gigabyte alla volta, a volte di più se c'è il cestino pieno. Lo uso per ogni utente del PC (tre-quattro), risparmiando quindi diversi gigabyte di inutile fuffa nel backup finale.

Se lo dovessi fare manualmente e per tutti gli utenti ci vorrebbe mezza giornata solo per questo...

Mai avuto mezzo che fosse mezzo problema in oltre dieci anni.

Il punto non è il genere di programma, ma come lo si usa. Cioè come al solito dipende dal solito pezzo di carne, ossa, sangue, pelle ecc. ecc. che sta tra la sedia e il mouse.

L'articolo è fatto male, ho capito qualcosa solo grazie ai commenti degli utenti.

In pratica solo alcune versioni tra le più recenti contenevano un malware. Io ne ho una vecchia e non ho problemi ad esempio.
Grazie Ulukaii per aver scritto per primo le chiavi da controllare. Lunedì a lavoro mi tocchera fare un controllo, ma credo proprio abbiamo una di queste con malware. :muro:
Guarda, ho letto molto sull'argomento in questi giorni, su molti forum, quindi lasciando perdere gli articoli sensazionalistici o fatti per attirare utenti verso i propri software AV o tools.

L'obiettivo di un attacco così sofisticato era quello di raccogliere informazioni interne su grosse società, in modo da poter in seguito effettuare attacchi mirati, in pratica si dice che sia una sorta ti continuazione di Operation Aurora.

Sul funzionamento del malware in se, occorreva che su un sistema operativo a 32bit venisse lanciato e rimanesse in funzione Ccleaner (versione 32 che era appunto quella compromessa) per 10 minuti e allo stesso tempo avesse accesso alla comunicazione esterna (quindi che un firewall non gli impedisse di ricevere/inviare dati). A quel punto, avveniva la creazione della key Agomo (in pratica backdoor). I software AV o firewall non vedevano questa come anomalia, in quanto l'applicazione era certificata e firmata, poteva quindi accedere a registro e comunicare all'esterno, salvo configurazioni particolari (tipo bloccare tutte le connessioni in uscita anche alle app legittime).

Su sistemi a 64bit, sebbene potesse essere presente (o richiamato all'avvio) l'exe x32 di Ccleaner (esempio gli installer standard/slim lasciano nella cartella anche l'exe x32), questo rimandava alla versione x64, quindi la cosa finiva lì.

Lato pratico, basta controllare se sul sistema c'è la key Agomo (HKLM\Software\Piriform\...), questo però implica solo la prima fase (anche a seconda di cosa ci sia dentro, 1, 2 o 3 voci) e la sua eventuale presenza non significa che sia avvenuta la fase 2 (payload), le cui ulteriori tracce sarebbero le key indicate negli ultimi articoli nei blog Avast/Talos o quello che riassumeva brevemente il tutto su ghacks che avevo postato all'inizio.

Guarda, ho letto molto sull'argomento in questi giorni, su molti forum, quindi lasciando perdere gli articoli sensazionalistici o fatti per attirare utenti verso i propri software AV o tools.

L'obiettivo di un attacco così sofisticato era quello di raccogliere informazioni interne su grosse società, in modo da poter in seguito effettuare attacchi mirati, in pratica si dice che sia una sorta ti continuazione di Operation Aurora.

Sul funzionamento del malware in se, occorreva che su un sistema operativo a 32bit venisse lanciato e rimanesse in funzione Ccleaner (versione 32 che era appunto quella compromessa) per 10 minuti e allo stesso tempo avesse accesso alla comunicazione esterna (quindi che un firewall non gli impedisse di ricevere/inviare dati). A quel punto, avveniva la creazione della key Agomo (in pratica backdoor). I software AV o firewall non vedevano questa come anomalia, in quanto l'applicazione era certificata e firmata, poteva quindi accedere a registro e comunicare all'esterno, salvo configurazioni particolari (tipo bloccare tutte le connessioni in uscita anche alle app legittime).

Su sistemi a 64bit, sebbene potesse essere presente (o richiamato all'avvio) l'exe x32 di Ccleaner (esempio gli installer standard/slim lasciano nella cartella anche l'exe x32), questo rimandava alla versione x64, quindi la cosa finiva lì.

Lato pratico, basta controllare se sul sistema c'è la key Agomo (HKLM\Software\Piriform\...), questo però implica solo la prima fase (anche a seconda di cosa ci sia dentro, 1, 2 o 3 voci) e la sua eventuale presenza non significa che sia avvenuta la fase 2 (payload), le cui ulteriori tracce sarebbero le key indicate negli ultimi articoli nei blog Avast/Talos o quello che riassumeva brevemente il tutto su ghacks che avevo postato all'inizio.

Ho installato l'ultima versione la 5.35 non aggiornamento ma da modalità standard e in effetti essendo win 10 a 64 bit a preso la versione a 64 bit, nella directory del programma è infatti presente anche l'exe a 32bit, ma come hai detto tu, la presenza del exe a 32bit non dovrebbe creare problemi se non avviato, dico bene?

Ho installato l'ultima versione la 5.35 non aggiornamento ma da modalità standard e in effetti essendo win 10 a 64 bit a preso la versione a 64 bit, nella directory del programma è infatti presente anche l'exe a 32bit, ma come hai detto tu, la presenza del exe a 32bit non dovrebbe creare problemi se non avviato, dico bene?
No, anche perché avvierebbe la versione x64. In ogni caso già dalla 5.34 l'exe è non è più infetto, in più la 5.35 ha un nuovo certificato (la 5.34 era firmata ancora con il vecchio, ora revocato).

Volendo puoi pure cancellare a mano l'exe x32, ma prima occorre disabilitare un paio di impostazioni (che volendo andrebbero disabilitate comunque perché inutili). Nelle impostazioni di Ccleaner vai in:
- Opzioni > Avanzate > togli la spunta a Ignora Avviso Controllo Account Utente

Questo rimuove ccleaner dalla pianificazione all'avvio, opzione inutile, serve solo a non far apparire il messaggio di richiesta di Windows quando si lancia Ccleaner.

Altra opzione inutile che è consigliabile levare è quella relativa al monitoraggio:
- Opzioni > Monitoraggio > togli le spunte relative al monitoraggio di sistema (in pratica non lasci nulla di attivo in quella scheda)

No, anche perché avvierebbe la versione x64. In ogni caso già dalla 5.34 l'exe è non è più infetto, in più la 5.35 ha un nuovo certificato (la 5.34 era firmata ancora con il vecchio, ora revocato).

Volendo puoi pure cancellare a mano l'exe x32, ma prima occorre disabilitare un paio di impostazioni (che volendo andrebbero disabilitate comunque perché inutili). Nelle impostazioni di Ccleaner vai in:
- Opzioni > Avanzate > togli la spunta a Ignora Avviso Controllo Account Utente

Questo rimuove ccleaner dalla pianificazione all'avvio, opzione inutile, serve solo a non far apparire il messaggio di richiesta di Windows quando si lancia Ccleaner.

Altra opzione inutile che è consigliabile levare è quella relativa al monitoraggio:
- Opzioni > Monitoraggio > togli le spunte relative al monitoraggio di sistema (in pratica non lasci nulla di attivo in quella scheda)

Fatto, grazie mille, stai davvero aiutando molti utenti che come me usano CCleaner da una vita, adesso mi sento davvero tranquillo. Grazie.

Dovrebbero fare un ccleaner per pulire ccleaner :)

Comunque io ho verificato che tutti i computer Windows sono vulnerabili irrimediabilmente e non c'è ccleaner o antivirus che tenga anzi... soluzioni attualmente non ne trovo se non quella di inibire il traffico internet d'altronde se perfino navigando su hwupgrade esce la pubblicità "sapevi che fossero gay?" È il colmo così come altra immondizia che viene dappertutto su internet.

Dovrebbero fare un ccleaner per pulire ccleaner :)

Comunque io ho verificato che tutti i computer Windows sono vulnerabili irrimediabilmente e non c'è ccleaner o antivirus che tenga anzi... soluzioni attualmente non ne trovo se non quella di inibire il traffico internet d'altronde se perfino navigando su hwupgrade esce la pubblicità "sapevi che fossero gay?" È il colmo così come altra immondizia che viene dappertutto su internet.

Se hai voglia di trollare, niente da ridire. . Per il resto, l'os sicuro non esiste. Non lo è windows, non lo è linux, e meno che mai i sistemi della mela morsicata.

Il sistema piú sicuro (online)è quello sotto una nat che controlla tutto cio' che passa e dove all'utente non è permesso ne installare niente ne inserire periferiche usb.

Ma ovviamente non lo è al 100%.

Io ho parlato di Windows perché è il più ricco os di programmi ccleaner repair antivirus che non risolvono il problema . Il guaio è che sotto Windows basta navigare per trovarsi infettati irrimediabilmente e questo l'ho natato soprattutto in sistemi economici con mcafee installato in versione prova, ccleaner è solo l'ennesimo caso, il problema di Windows non è che è l'os più vulnerabile cosa che è comprensibile data la sua diffusione ma è l'os meno riparabile di tutti ossia una volta infettato è la fine. Alle volte neppure il ripristino risolve la situazione. Il problema rispetto ad altri os è proprio questo. Ossia che in Windows proprio per come è strutturato come sistema non si riesce a sistemare da qui la necessità di blindare tutto rendendo il sistema poco utilizzabile. Mi spiace sentire parlare di troll ma questa è la realtà dei fatti ad oggi sistemi Linux e Apple sono stati sempre riparabili al 100% e senza l'ausilio di software da terze parti con Windows questo non è stato possibile e l'assistenza non è stata di aiuto. È di certo software come ccleaner non aiutano. Se poi volete scontrarvi con l'evidenza.

Io ho parlato di Windows perché è il più ricco os di programmi ccleaner repair antivirus che non risolvono il problema . Il guaio è che sotto Windows basta navigare per trovarsi infettati irrimediabilmente e questo l'ho natato soprattutto in sistemi economici con mcafee installato in versione prova, ccleaner è solo l'ennesimo caso, il problema di Windows non è che è l'os più vulnerabile cosa che è comprensibile data la sua diffusione ma è l'os meno riparabile di tutti ossia una volta infettato è la fine. Alle volte neppure il ripristino risolve la situazione. Il problema rispetto ad altri os è proprio questo. Ossia che in Windows proprio per come è strutturato come sistema non si riesce a sistemare da qui la necessità di blindare tutto rendendo il sistema poco utilizzabile. Mi spiace sentire parlare di troll ma questa è la realtà dei fatti ad oggi sistemi Linux e Apple sono stati sempre riparabili al 100% e senza l'ausilio di software da terze parti con Windows questo non è stato possibile e l'assistenza non è stata di aiuto. È di certo software come ccleaner non aiutano. Se poi volete scontrarvi con l'evidenza.

Quelle poche volte che ho preso un malwere ho sempre risolto ricaricando il punto precedente e poi cancellando chiavi di registro e exe incriminati. Ma non sempre è cosí facile. Certo alle brutte una formattazione quasi sempre risolve.

Se con linux intendi anche android ( è sempre linux vero?) ecco questo è un classico esempio dove le infezioni da malwere non possono essere riparate.

Ottengono accesso da root e si insediano nel sistema, spesso impedendo anche ota successivi.

L'unico sistema è riflashare la factory. Ma non si può fare in quasi nessun telefono senza perdere la garanzia.

Chiusa parentesi, il succo è questo :

Un sistema è piú vunerabile, in proporzione da quanto è APPETIBILE.

Il guaio è che sotto Windows basta navigare per trovarsi infettati irrimediabilmente

In ormai oltre vent'anni che navigo su internet con Windows non ho mai avuto infezioni irrimediabili né rimediabili.

In ogni caso son sempre vent'anni che esistono strumenti per il ripristino del sistema allo stato preinfezione (backup immagini dischi e partizioni), così come esistono sistemi di virtualizzazione (sandboxie) che pongono efficacemente al riparo. È proprio l'idea di dover riparare che al giorno d'oggi è un inutile perditempo, IMHO.


Ma ripeto, siccome non sono superman e siccome non sono neanache eccessivamente fortunato, il fatto che in più di vent'anni di web non mi sono mai trovato il sistema infetto a causa di semplice navigazione, mi portano a pensare che il problema come al solito stia nella sedia.

In ormai oltre vent'anni che navigo su internet con Windows non ho mai avuto infezioni irrimediabili né rimediabili.

In ogni caso son sempre vent'anni che esistono strumenti per il ripristino del sistema allo stato preinfezione (backup immagini dischi e partizioni), così come esistono sistemi di virtualizzazione (sandboxie) che pongono efficacemente al riparo. È proprio l'idea di dover riparare che al giorno d'oggi è un inutile perditempo, IMHO.


Ma ripeto, siccome non sono superman e siccome non sono neanache eccessivamente fortunato, il fatto che in più di vent'anni di web non mi sono mai trovato il sistema infetto a causa di semplice navigazione, mi portano a pensare che il problema come al solito stia nella sedia.

Non si può dare solo la colpa alla sedia. Ci sono situazioni limite dove chiunque, anche un pro può cadere in una trappola messa da un craker. Non ti è mai capitato per semplice :ciapet:
Certo sentir dare la colpa al s.o. Winsows Quando poi è quello che riceve gli aggiornamenti di sicurezza piú costantemente di tutti mi fa sorridere.

Io avendo un PC aziendale bloccato (anche se non ho problemi a sbloccarlo) uso CCL portable ma periodicamente faccio un controllino con Malwarebytes regolarmente installato .
Spero che almeno quest'ultimi della Malwarebytes abbiamo implementato un controllo ed una azione mirata a questo problema.

Non si può dare solo la colpa alla sedia. Ci sono situazioni limite dove chiunque, anche un pro può cadere in una trappola messa da un craker. Non ti è mai capitato per semplice :ciapet:
Certo sentir dare la colpa al s.o. Winsows Quando poi è quello che riceve gli aggiornamenti di sicurezza piú costantemente di tutti mi fa sorridere.

D'accordo su tutto quello che hai detto finora, ma mi sei caduto sugli aggiornamenti. Fino a un mese fa avevo linux a casa(tornato a windows sotto torture e minacce). Gli aggiornamenti dei vari applicativi sono molto frequenti , anche più di uno a settimana, e quelli del kernel pure. In particolare quando si scopre una falla, viene chiusa in pochi giorni e l'aggiornamento viene rilasciato appena completati i test.
MS ha la brutta abitudine di non tappare tutte le falle note di windows, anche per anni.

Non si può dare solo la colpa alla sedia. Ci sono situazioni limite dove chiunque, anche un pro può cadere in una trappola messa da un craker. Non ti è mai capitato per semplice :ciapet:
Certo sentir dare la colpa al s.o. Winsows Quando poi è quello che riceve gli aggiornamenti di sicurezza piú costantemente di tutti mi fa sorridere.

Si parlava di semplice navigazione ricordo, non di attacchi mirati con varie tecniche. Se qualcuno mi desse un link o una serie di link con cui la semplice navigazione vuol dire infettare il sistema operativo sarei ben grato. (anche in privato se lo si ritiene più opportuno)

Ma temo resteranno bit sprecati, sono vent'anni che faccio questa domanda che o è rimasta inevasa, oppure ha prodotto link che non mi hanno mai lontanamente nuociuto. Nel migliore dei casi si trattava di pagine web che invitavano a scaricare malware, col ciuffolo che scarico ed anche quando si scarica poi c'è l'esecuzione che al giorno d'oggi non è automatica normalmente...

Giusto per dire, all'epoca dei primi rootkit, primi anni 2000, una vulnerabiità di Java faceva in modo che visitando alcune pagine web venisse proposto il download di www.google.com che altro non era che un file eseguibile che installava un rootkit, ma appunto Firefox o Mozilla suite segnalavano la richiesta del download, bastava negare cliccando su annulla e tutto finiva lì. Il fatto è che la gente leggendo google.com cliccava su OK in automatico, e si ritorna alla storia del coso che occupa la sedia col cervello poco attivo ... :)

Mi rifaccio a quanto è stato detto nei post precedenti, anch'io ormai sono 20 anni che navigo.
Ho sempre usato Windows nelle varie versioni, ho sempre usato software antivirus e da molti anni ormai ho l'abitudine di creare delle immagini del disco di sistema (uso acronis).
Da tempo uso Comodo internet security, attualmente uso la premium 10, vedo che molto del materiale in particolare software ovviamente in forma del tutto legale spesso mi finisce nel containment di comodo, credo sia un modo per garantire al meglio la sicurezza.
CCleaner lo uso ormai da una vita anche questo e mi trovo bene, certo è che non mi sarei mai aspettato che un software come questo venisse violato, nel dubbio, non ricordo che versione avevo prima o durante il fattaccio (non aggiorno sempre ccleaner) ho cercato quelle famose stringhe nel registro di Windows e visto che pare non essere infetto ho lasciato tutto così.
Se fosse stato infetto avrei tranquillamente pulito l'SSD con secure erase e poi caricato l'immagine del disco di sistema risolvendo comunque il problema, tempo per ripristinare il tutto circa 10/15 minuti.
Certo che se uno non viene informato di un avvenuto attacco risulta difficile stabilire come si deve agire.

Si parlava di semplice navigazione ricordo, non di attacchi mirati con varie tecniche. Se qualcuno mi desse un link o una serie di link con cui la semplice navigazione vuol dire infettare il sistema operativo sarei ben grato. (anche in privato se lo si ritiene più opportuno)

Ma temo resteranno bit sprecati, sono vent'anni che faccio questa domanda che o è rimasta inevasa, oppure ha prodotto link che non mi hanno mai lontanamente nuociuto. Nel migliore dei casi si trattava di pagine web che invitavano a scaricare malware, col ciuffolo che scarico ed anche quando si scarica poi c'è l'esecuzione che al giorno d'oggi non è automatica normalmente...


Gli 0 day non sono comuni e la maggior parte degli exploit pack usa exploit di vulnerabilità già risolte (il problema sta a vedere se tutte le applicazioni sono aggiornate)
E di siti legittimi violati che reindirizzano a uno di questi exploit pack ne è pieno il web

Anni fa pure i banner di questo sito.
Ci sono stati siti di ambasciate, siti religiosi, di celebrità della musica, siti di comuni ed altro.
Sempre ritornando al passato il sito di asus era stato violato con uno 0 day



Giusto per dire, all'epoca dei primi rootkit, primi anni 2000, una vulnerabiità di Java faceva in modo che visitando alcune pagine web venisse proposto il download di www.google.com che altro non era che un file eseguibile che installava un rootkit, ma appunto Firefox o Mozilla suite segnalavano la richiesta del download, bastava negare cliccando su annulla e tutto finiva lì. Il fatto è che la gente leggendo google.com cliccava su OK in automatico, e si ritorna alla storia del coso che occupa la sedia col cervello poco attivo ... :)

Stai parlando di LinkOptimizer e visualizzava la richiesta di download solo se i vari exploit non funzionavano causa sistema aggiornato (la pagina conteneva 20-30 exploit diversi)

Gli 0 day non sono comuni e la maggior parte degli exploit pack usa exploit di vulnerabilità già risolte (il problema sta a vedere se tutte le applicazioni sono aggiornate)
E di siti legittimi violati che reindirizzano a uno di questi exploit pack ne è pieno il web

Certamente, infatti si dice sempre che se si vuol stare moderatamente tranquilli sul web, è condizione imprescindibile tenere il sistema operativo + i programmi che vi hanno in qualche modo attinenza, aggiornati. Se poi si fa una scrematura riuscendo a mettere da parte quelli che sono, per la loro diffusione o per le loro debolezze intrinseche, più presi di mira, è ancora meglio. In soldoni, chi come me non ha mai usato internet Explorer è stato sicuramente meno bersagliato.

Stai parlando di LinkOptimizer e visualizzava la richiesta di download solo se i vari exploit non funzionavano causa sistema aggiornato (la pagina conteneva 20-30 exploit diversi)


Anche conosciuto come Gromozon e in tanti altri modi visto che veniva modificato continuamente nella continua lotta con gli antivirus che via via aggiornavano le definizioni. Ora che ci penso, a proposito di antivirus, ricordo che per un pezzetto di tempo, sempre negli anni attorno al 2005 Avira mi trovò qualche volta, un eseguibile nella cache di Firefox, probabilmente vi veniva scaricato sfruttando qualche bug del browser ma da quello che vidi, non andò mai in esecuzione.

Nuovo articolo pubblicato sul blog di Avast: Additional information regarding the recent CCleaner APT security incident (https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident)

Raccoglie ulteriori informazioni riguardo l'attacco, le compagnie bersaglio, le macchine coinvolte, ipotesi sull'origine e elenco di tutti gli IoC (Indicators of Compromise) quindi files, eseguibili, dll (con rispettivi hashes) che possono indicare se il sistema sia o meno stato compromesso dall'attacco e fino a che livello (nulla, fase 1, fase 2).
The following is an updated list of IOCs.

Files
1st stage
04bed8e35483d50a25ad8cf203e6f157e0f2fe39a762f5fbacd672a3495d6a11 - CCleaner - installer (v5.33.0.6162)
0564718b3778d91efd7a9972e11852e29f88103a10cb8862c285b924bc412013 - CCleaner - installer (v5.33.0.6162)
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff - CCleaner - installer (v5.33.0.6162)
276936c38bd8ae2f26aab14abff115ea04f33f262a04609d77b0874965ef7012 - CCleaner - installer (v5.33.0.6162)
2fe8cfeeb601f779209925f83c6248fb4f3bfb3113ac43a3b2633ec9494dcee0 - CCleaner - installer (v5.33.0.6162)
3c0bc541ec149e29afb24720abc4916906f6a0fa89a83f5cb23aed8f7f1146c3 - CCleaner - installer (v5.33.0.6162)
4f8f49e4fc71142036f5788219595308266f06a6a737ac942048b15d8880364a - CCleaner - installer (v5.33.0.6162)
7bc0eaf33627b1a9e4ff9f6dd1fa9ca655a98363b69441efd3d4ed503317804d - CCleaner - installer (v5.33.0.6162)
a013538e96cd5d71dd5642d7fdce053bb63d3134962e2305f47ce4932a0e54af - CCleaner - installer (v5.33.0.6162)
bd1c9d48c3d8a199a33d0b11795ff7346edf9d0305a666caa5323d7f43bdcfe9 - CCleaner - installer (v5.33.0.6162)
c92acb88d618c55e865ab29caafb991e0a131a676773ef2da71dc03cc6b8953e - CCleaner - installer (v5.33.0.6162)
e338c420d9edc219b45a81fe0ccf077ef8d62a4ba8330a327c183e4069954ce1 - CCleaner - installer (v5.33.0.6162)
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 - CCleaner.exe (32-bit v5.33.0.6162)
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 - CCleaner.exe (32-bit v5.33.0.6162)
a3e619cd619ab8e557c7d1c18fc7ea56ec3dfd13889e3a9919345b78336efdb2 - CCleanerCloud - installer (32-bit v1.7.0.3191)
0d4f12f4790d2dfef2d6f3b3be74062aad3214cb619071306e98a813a334d7b8 - CCleanerCloudAgent.exe (32-bit v1.7.0.3191)
9c205ec7da1ff84d5aa0a96a0a77b092239c2bb94bcb05db41680a9a718a01eb - CCleanerCloudAgentHealtCheck.exe (32-bit v1.7.0.3191)
bea487b2b0370189677850a9d3f41ba308d0dbd2504ced1e8957308c43ae4913 - CCleanerCloudTray.exe (32-bit v1.7.0.3191)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 1st stage payload DLL found in CCleaner
19865df98aba6838dcc192fbb85e5e0d705ade04a371f2ac4853460456a02ee3 - 1st stage payload DLL found in CCleanerCloud

2nd stage
7ac3c87e27b16f85618da876926b3b23151975af569c2c5e4b0ee13619ab2538 - loader of the 2nd stage payload (32-bit)
a414815b5898ee1aa67e5b2487a11c11378948fcd3c099198e0f9c6203120b15 - loader of the 2nd stage payload (64-bit)
3a34207ba2368e41c051a9c075465b1966118058f9b8cdedd80c19ef1b5709fe - 2nd stage payload DLL (GeeSetup_x86.dll)
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 32-bit DLL dropped from the 2nd stage payload
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17 - 64-bit DLL dropped from the 2nd stage payload
A6c36335e764b5aae0e56a79f5d438ca5c42421cae49672b79dbd111f884ecb5 - inner DLL of the 2nd stage payload (32-bit)
B3badc7f2b89fe08fdee9b1ea78b3906c89338ed5f4033f21f7406e60b98709e - inner DLL of the 2nd stage payload (64-bit)

Windows Registry
HKLM\SOFTWARE\Piriform\Agomo\MUID - used by the 1st stage payload
HKLM\SOFTWARE\Piriform\Agomo\NID - used by the 1st stage payload
HKLM\SOFTWARE\Piriform\Agomo\TCID - used by the 1st stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\002 - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\003 - used by the 2nd stage payload
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WbemPerf\004 - used by the 2nd stage payload
Questa è stata l'entità dell'attacco in base alle analisi:
The main findings from the complete database are as follows:
- The total number of connections to the CnC server was 5,686,677.
- The total number of unique PCs (unique MAC addresses) that communicated with the CnC server was 1,646,536.
- The total number of unique PCs that received the 2nd stage payload was 40.
Nella tabella seguente elencano le 40 macchine infette dalla fase 2, suddivise per dominio/compagnia. Si nota che era un attacco con target specifici, quindi le ipotesi avanzate da alcuni sul fatto che potesse essere una continuazione dell'Operazione Aurora trovano conferma. C'è anche un'ulteriore tabella di domini/compagnie di potenziale interesse, ma che risulta non siano state infettate.

mica male

non è così irrealistico considerare il tutto nel clima di 'guerra informatica' in corso da un pò, non bastassero le ipotesi di quelle vere.
tra l'altro in questo caso si diventa 'soldati' senza volerlo, come androidi programmabili

e ancora con l'iot che non ha preso piede...

Il fatto che su altre macchine x64 non ci siano tracce della key Agomo, tradotto in italiano per chi non mastica informatica come me, significa che non c'è traccia del malware? Chiedo venia per l'ignoranza.

Il fatto che su altre macchine x64 non ci siano tracce della key Agomo, tradotto in italiano per chi non mastica informatica come me, significa che non c'è traccia del malware? Chiedo venia per l'ignoranza.
Se non hai la key Agomo vuol dire che non hai mai raggiunto nemmeno la prima fase e anche nella remota ipotesi che quella chiave ci fosse, non implica automaticamente che si sia innescata la seconda (payload) o che il sistema sia stato infettato. Il malware in sé era nell'exe di Ccleaner che creava una backdoor nel sistema, recuperando informazioni in modo da poter portare degli attacchi mirati.

Speriamo che microsoft rilasci presto un fix senza aspettare il prossimo martedí di update.

Speriamo che microsoft rilasci presto un fix senza aspettare il prossimo martedí di update.

Un Fix per cosa :confused: :confused: :confused:

Un Fix per cosa :confused: :confused: :confused:

Un update del famoso strumento di rimozione malwere.
Che ripulisca i pc infetti. Anche a costo di togliere ccclean.

Insomma sai quanti non sapranno della cosa?

Un update del famoso strumento di rimozione malwere.
Che ripulisca i pc infetti. Anche a costo di togliere ccclean.

Insomma sai quanti non sapranno della cosa?
Non serve nessun fix, persino quella chiavica di Defender già dal giorno stesso dell'annuncio riconosce le chiavi in questione mettendole in quarantena, compreso l'eseguibile 5.33 di Ccleaner e se lo fa lui, figuriamoci una suite AV seria. Ed era attraverso l'esecuzione di Ccleaner che si apre la comunicazione verso i server, eventuale malware sarebbe stato installato solo se la macchina avesse passato la fase 2 e gli hackers avessero veicolato attacchi mirati a tale sistema (le famose 40 macchine dell'analisi che ho postato ieri).

PS: poi con tutta probabilità anche quel coso che mettono insieme agli update mensili (strumento rimozione malware) che sta lì a frullare durante l'installazione degli update, avrà le medesime firme di Defender, quindi alla peggio lo fa lui in fase d'installazione dell'aggiornamento cumulativo anche nel caso l'utente niubbo si sia disabilitato Defender.

Non serve nessun fix, persino quella chiavica di Defender già dal giorno stesso dell'annuncio riconosce le chiavi in questione mettendole in quarantena, compreso l'eseguibile 5.33 di Ccleaner e se lo fa lui, figuriamoci una suite AV seria. Ed era attraverso l'esecuzione di Ccleaner che si apre la comunicazione verso i server, eventuale malware sarebbe stato installato solo se la macchina avesse passato la fase 2 e gli hackers avessero veicolato attacchi mirati a tale sistema (le famose 40 macchine dell'analisi che ho postato ieri).

PS: poi con tutta probabilità anche quel coso che mettono insieme agli update mensili (strumento rimozione malware) che sta lì a frullare durante l'installazione degli update, avrà le medesime firme di Defender, quindi alla peggio lo fa lui in fase d'installazione dell'aggiornamento cumulativo anche nel caso l'utente niubbo si sia disabilitato Defender.

A beh allora si può dire : problema risolto.

Con Ccleaner... sulle nostre macchine spesso siamo costretti a installare software/drivers pattume per varie periferiche o funzioni particolari. Roba che sebbene non sia malware potremmo pure infilarla in quella categoria, visto che si fa i beneamati azzi suoi e può pure capitare che permanga nel sistema anche dopo la rimozione.

Qui la cosa è venuta fuori perché essendo un'utility nota, diffusa e utilizzata da molte compagnie, qualcuno ha notato l'anomalia, se fosse stato associato ipoteticamente ad un drivers o ad un micro-software legato al funzionamento della periferica o a un giochino idiota rilasciato su una qualsiasi piattaforma o al sistema operativo stesso (Windows alla fine si comporta né più né meno come questo malware, raccogliendo info sull'utente e inviandole ai server, per dire)... hai voglia a beccarlo.

Con Ccleaner... sulle nostre macchine spesso siamo costretti a installare software/drivers pattume per varie periferiche o funzioni particolari. Roba che sebbene non sia malware potremmo pure infilarla in quella categoria, visto che si fa i beneamati azzi suoi e può pure capitare che permanga nel sistema anche dopo la rimozione.

Qui la cosa è venuta fuori perché essendo un'utility nota, diffusa e utilizzata da molte compagnie, qualcuno ha notato l'anomalia, se fosse stato associato ipoteticamente ad un drivers o ad un micro-software legato al funzionamento della periferica o a un giochino idiota rilasciato su una qualsiasi piattaforma o al sistema operativo stesso (Windows alla fine si comporta né più né meno come questo malware, raccogliendo info sull'utente e inviandole ai server, per dire)... hai voglia a beccarlo.


Ah beh questo si.

Piú o meno come succede da sempre con android. ( la botnet piú grande al mondo)

Almeno su windows possiamo installare un firewall ( anche scacio come wX firewall control) e sperare di ricevere l'alert.

Ah... e andrei cauto con gli update drivers/software/firmware delle compagnie che hanno avuto attacchi:

https://blog.avast.com/hs-fs/hubfs/Chart3-1.jpg

Ovviamente che abbiano avuto macchine compromesse non implica che tutta la loro infrastruttura di rete lo sia, come indicato anche a conclusione dell'articolo di Avast, ma personalmente aspetterei di conoscere ulteriori sviluppi sull'indagine e l'analisi dei dati.

Nuovo articolo pubblicato sul blog di Avast: Additional information regarding the recent CCleaner APT security incident (https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident)

Raccoglie ulteriori informazioni riguardo l'attacco, le compagnie bersaglio, le macchine coinvolte, ipotesi sull'origine e elenco di tutti gli IoC (Indicators of Compromise) quindi files, eseguibili, dll (con rispettivi hashes) che possono indicare se il sistema sia o meno stato compromesso dall'attacco e fino a che livello (nulla, fase 1, fase 2).

Questa è stata l'entità dell'attacco in base alle analisi:

Nella tabella seguente elencano le 40 macchine infette dalla fase 2, suddivise per dominio/compagnia. Si nota che era un attacco con target specifici, quindi le ipotesi avanzate da alcuni sul fatto che potesse essere una continuazione dell'Operazione Aurora trovano conferma. C'è anche un'ulteriore tabella di domini/compagnie di potenziale interesse, ma che risulta non siano state infettate.

Ciao Ulukaii, intanto grazie per l'impeccabile lavoro svolto...non è da tutti. Ho potuto notare che dove lavoro almeno un pc (win10 32bit) è stato infettato. Dopo aver aggiornato alla 5.35 ho seguito tutte le tue istruzioni da te postate diversi giorni fa ed ho trovato la chiave Agamo dello stage1 (con tre voci-pulito con Malwarebytes), ho cercato i 3 file DLL (che avevi postato) in Esplora risorse e i relativi hashes nel Registro non trovando nulla, le chiavi dello stage2 erano assenti. Volevo fare un controllo approfondito con l'elenco che hai postato ieri dal forum di Avast. Quindi volevo chiederti:

-devo cercare quei file per nome o usando gli hashes?
-vanno cercati nel Registro o in Esplora Risorse? O in tutti e due?
-come mai ci sono diversi hashes per lo stesso installer?

Grazie e scusa il disturbo. ;)

Ti ringrazio, ma io non ho fatto nulla, ho solo rimesso in circolo informazioni che hanno scoperto altri ;)

Per i files è sufficiente fare la ricerca per nome da esplora risorse, nel registro è sufficiente cercare la chiave Agomo (stage 1) o le 4-5 chiavi sotto WbemPerf\ (stage 2). Se proprio vuoi nel registro, come di più, puoi fare una ricerca di quelli elencati sotto 2nd stage in fondo all'articolo (link (https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident)). Mentre gli altri (1st stage) sono tutte le varianti note degli installer di Cleaner (Pro, Standard, Slim, Cloud) e gli exe.

Per il resto, tieni d'occhio il blog Avast e Talos per ulteriori comunicazioni, dato che analizzeranno gli stage addizionali (post-stage 2).

Ti ringrazio, ma io non ho fatto nulla, ho solo rimesso in circolo informazioni che hanno scoperto altri ;)

Per i files è sufficiente fare la ricerca per nome da esplora risorse, nel registro è sufficiente cercare la chiave Agomo (stage 1) o le 4-5 chiavi sotto WbemPerf\ (stage 2). Se proprio vuoi nel registro, come di più, puoi fare una ricerca di quelli elencati sotto 2nd stage in fondo all'articolo (link (https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident)). Mentre gli altri (1st stage) sono tutte le varianti note degli installer di Cleaner (Pro, Standard, Slim, Cloud) e gli exe.

Per il resto, tieni d'occhio il blog Avast e Talos per ulteriori comunicazioni, dato che analizzeranno gli stage addizionali (post-stage 2).

Beh ti pare poco quello che hai fatto? ;)
Cmq come ti dicevo le chiavi dello stage1 c'erano ma le ho rimosse con Malwarebytes, quelle dello stage2 non c'erano proprio.
Nel registro ho cercato tutti gli hash del 2nd stage in fondo all'articolo (come da te consigliato) e non ha trovato nulla.
Ho fatto anche scansioni complete con Kis, Malwarebytes e ESET Online non trovando nulla.
A questo punto posso stare tranquillo secondo te o è sempre meglio una formattazione?
Grazie. ;)

Direi che se il sistema fosse stato infettato, avresti trovato altra roba, soprattutto dalle analisi successive che hai fatto con i software di scansione, cosa che non è appunto avvenuta.
La formattazione la consigliavano solo quelli di Talos nel primo articolo che han postato. Poi, a quanto ho letto in seguito su altri forum, parrebbe che abbiano pure cancellato, tra i commenti degli utenti all'articolo, quelli che indicavano quanto fosse un po' azzardato e allarmista come consiglio, soprattutto perché non erano ancora state divulgate informazioni sufficienti a capire cosa avveniva effettivamente sul sistema e come fosse strutturato l'attacco.

QUI (https://piriform.zendesk.com/hc/en-us/articles/115001699371) trovi la faq ufficiale aggiornata, e anche lì si parla di come la formattazione non sia necessaria.

Direi che se il sistema fosse stato infettato, avresti trovato altra roba, soprattutto dalle analisi successive che hai fatto con i software di scansione, cosa che non è appunto avvenuta.
La formattazione la consigliavano solo quelli di Talos nel primo articolo che han postato. Poi, a quanto ho letto in seguito su altri forum, parrebbe che abbiano pure cancellato, tra i commenti degli utenti all'articolo, quelli che indicavano quanto fosse un po' azzardato e allarmista come consiglio, soprattutto perché non erano ancora state divulgate informazioni sufficienti a capire cosa avveniva effettivamente sul sistema e come fosse strutturato l'attacco.

QUI (https://piriform.zendesk.com/hc/en-us/articles/115001699371) trovi la faq ufficiale aggiornata, e anche lì si parla di come la formattazione non sia necessaria.

Scusa ma mi ero dimenticato di risponderti (periodaccio). Grazie ancora per le dritte. Per caso sono uscite novità al riguardo?

Scusa ma mi ero dimenticato di risponderti (periodaccio). Grazie ancora per le dritte. Per caso sono uscite novità al riguardo?
No, l'ultima news postata nel blog è quella del 25 settembre (qui (https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident)) ;)

No, l'ultima news postata nel blog è quella del 25 settembre (qui (https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident)) ;)

Perfetto, meglio così. Alla prox ;)

Qualcuno sà se ci sono ancora problemi ? Si può tornare ad aggiornare la versione o ci son ancora rischi di infezioni ?

Qualcuno sà se ci sono ancora problemi ? Si può tornare ad aggiornare la versione o ci son ancora rischi di infezioni ?

Uh santo cielo, ancora fermo sei? Aggiorna, aggiorna pure. Era solo una release quella infetta e colpiva solo nella versione a 32 bit. Per cui se hai Windows 64 bit e non hai mai avviato di proposito la 32 bit di quella release Ccleaner, non sei mai stato a rischio.