CCleaner violato: l'hack è ben più grave di quanto previsto

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...sto_71321.html

Ad essere stati presi di mira con l'attacco a CCleaner non solo i computer degli utenti, ma anche grosse firme del settore tecnologico con aggressioni ad-hoc

Click sul link per visualizzare la notizia.

[Maxt75]

Da qui devo dedurre che l'ultima release scaricabile sia pulita no ?

[ImperatoreNeo]

L’ultima release (dovrebbe) essere pulita ma se il tuo sistema é compromesso ormai non cambia che versione metti.
Ccleaner dovrebbe sviluppare (a sue spese e subito!) un tool per rimuovere il malware altrimenti tanta gente li eviterá come la peste (tra chi li usava).

[ulukaii]

Quote:

Originariamente inviato da Maxt75

Da qui devo dedurre che l'ultima release scaricabile sia pulita no ?

Già la 5.34 di settimana scorsa era pulita, ma era ancora firmata con il vecchio certificato (non revocato). La nuova 5.35 ha:

Quote:

- All builds signed with new Digital Signatures

Cosa che avrebbero dovuto fare fin da subito (vale per tutte le versioni, standard, slim e portable).

Per quanto riguarda eventuali infezioni residenti nel sistema (Payload Stage 2), quest'articolo (qui) spiega rapidamente senza creare allarmismi (aka clickbait) cosa cercare per verificare se nel sistema sia stato presente (o sia presente) qualche traccia. Nello specifico verificare se vi siano le chiavi di registro:

Quote:

- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Occhio che la chiave

Quote:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf

è normale che ci sia, la troverete in tutti i sistemi, semplicemente dentro non dovreste avere nulla

In aggiunta è possibile cercare anche questi files:

Quote:

- GeeSetup_x86.dll (Hash: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
- EFACli64.dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
- TSMSISrv.dll (Hash: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
- DLL in Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

PS: qui trovate info più dettagliate sul funzionamento.

[metrino]

@ulukaii : Grazie infinite!

(e per fortuna io non ero infetto, credo di aver saltato quella versione per puro caso)

[fraussantin]

Edit

[metrino]

@fraussantin : scusa, ma l'ha appena scritto ulukaii 3 post fa...

[fraussantin]

Scusa non avevo letto.

Dopo controllo.

[Ale55andr0]

Quote:

Originariamente inviato da ulukaii

Occhio che la chiave

è normale che ci sia, la troverete in tutti i sistemi, semplicemente dentro non dovreste avere nulla

In aggiunta è possibile cercare anche questi files:

PS: qui trovate info più dettagliate sul funzionamento.

sito irraggiungibile

e io avevo la versione 5.33

A ogni modo ho disinstallato CCL e basta, conscio che comunque di per se non è una soluzione. Pensare che l'avevo installato per ripulire eventuali tracce dei driver della precedente vga su suggerimento altrui , quando di solito non uso MAI sto software e ci penso io a mantenere pulito il sistema


Ad ogni modo il mio registro di sistema è così:

https://imgur.com/a/CXCZk

mi pare di capire che sia apposto

[ulukaii]

Sì è ok. Comunque il link io riesco ad aprirlo, ma alla fine contiene sostanzialmente le info che ho postato sopra, basta cercare la presenza di quelle chiavi per vedere se c'è il payload.

Ci sarebbe anche un'altra cosa, che avevo scritto nella precedente news (qui) e cioè, verificare l'eventuale sola installazione del malware e cioè la chiave:

Quote:

- HKLM\Software\Piriform\Agomo\...

Questa chiave non deve esserci se si utilizza Ccleaner. Come ho indicato lì, personalmente avevo una macchina (Win 10 x86) in cui ho trovato tale chiave, ma dove non ho poi trovato alcuna ulteriore traccia residua (neanche del payload).

C'è anche da aggiungere, giusto per far chiarezza, che era compromesso l'exe a 32bit di Ccleaner, indipendentemente dalla versione usata (standard, slim o portable) e non era una cosa che veniva installata in fase d'installazione, ma si attivava proprio con l'uso dell'eseguibile, in pratica avviando il programma (di default mette anche un'azione pianificata all'avvio, quindi riavviando la macchina è come se lo si utilizza). Tuttavia su sistemi x64 non veniva mai usata la versione 32bit (sebbene l'exe sia presente, viene sempre usato quello a 64bit che non era compromesso).

Su altre macchine x64, pur avendo avuto la 5.33, non ho nemmeno individuato tracce della key Agomo, segno che l'exe a 32bit non sia mai stato usato.

[s-y]

non è bellissima sta cosa

[Ale55andr0]

Quote:

Originariamente inviato da ulukaii

C'è anche da aggiungere, giusto per far chiarezza, che era compromesso l'exe a 32bit di Ccleaner, indipendentemente dalla versione usata (standard, slim o portable) e non era una cosa che veniva installata in fase d'installazione, ma si attivava proprio con l'uso dell'eseguibile. Su sistemi x64 non veniva mai usata la versione 32bit (sebbene l'exe sia presente, viene sempre usato quello a 64bit che non era compromesso).

Su altre macchine x64, pur avendo avuto la 5.33, non ho nemmeno individuato tracce della key Agomo, segno che l'exe a 32bit non sia mai stato avviato.

Ah, beh io sto su un sistema a 64bit e all'epoca ho fatto l'installazione automatica, non mi pare di aver cliccato su una versione a 32 o chessò io

a ogni modo riporto come sopra il mio registro


https://imgur.com/a/CXCZk


questa stringa invece non è presente

- HKLM\Software\Piriform\Agomo\...


comunque a prescindere che sia infetto o meno col cazzo che lo reinstallo

[ulukaii]

Quote:

Originariamente inviato da Ale55andr0

Ah, beh io sto su un sistema a 64bit e all'epoca ho fatto l'installazione automatica, non mi pare di aver cliccato su una versione a 32 o chessò io

a ogni modo riporto come sopra il mio registro


https://imgur.com/a/CXCZk

Sì, così è normale. Controlla anche l'eventuale presenza della key Agomo che ho postato sopra. Se la trovi, cancella direttamente l'intera entry Agomo. Ma non dovresti trovare nemmeno quella

[fraussantin]

Quote:

Originariamente inviato da Ale55andr0

Ah,

comunque a prescindere che sia infetto o meno col cazzo che lo reinstallo

Io lo usavo perlopiú per gestire le app che si autoavviano e non hanno l'impostazione per disattivarla.

Esiste qualche altra app o tool sicura per questo uso?

[fraussantin]

Edit

[ulukaii]

Quote:

Originariamente inviato da fraussantin

Però sono stati "onesti" a dargli un nome riconoscibile.

Se non erro i malwere spesso usano nomi di stringhe reali poco modificste.

Se non sbaglio, quella sarebbe una entry normalmente associabile ad una installazione di Ccleaner Cloud (sarebbe parte dell'update agent), quindi no, non sono stati onesti, ma subdoli

[fraussantin]

Quote:

Originariamente inviato da ulukaii

Se non sbaglio, quella sarebbe una entry normalmente associabile ad una installazione di Ccleaner Cloud (sarebbe parte dell'update agent), quindi no, non sono stati onesti, ma subdoli

Si è corretto , dopo il post ho controllato ed è proprio cosí, infatti ho editato.

[Lian_Sps_in_ZuBeI]

in quella cartella non ho nulla...tranne il (predefinito)

[Cooperdale]

Ormai l'informatica è un girone dantesco. Abbiamo creato un mondo che fa quasi più paura di quello fisico.

[ulukaii]

Quote:

Originariamente inviato da Lian_Sps_in_ZuBeI

in quella cartella non ho nulla...tranne il (predefinito)

Tranquillo, il predefinito è ok, lo troveresti anche in una prima installazione di Win