[Info] CCleaner : une backdoor dissimulée pendant un mois !

[chantal11]

Bonjour,

CCleaner : une backdoor dissimulée pendant un mois !

Alerte pour le très populaire CCleaner dont la version 5.33 a été compromise par du code malveillant inséré dans un fichier d'installation légitime. Une alerte rouge pour les utilisateurs Windows 32 bits.

Dans une version légitime de CCleaner et distribuée par les serveurs de Piriform, des cybercriminels sont parvenus à installer une backdoor. CCleaner est un outil très populaire (130 millions d'utilisateurs revendiqués) de nettoyage et d'optimisation de Windows édité par Piriform qui a été racheté par Avast en juillet dernier.

L'alerte concerne la version 5.33 de CCleaner (5.33.6162), ainsi que CCleaner Cloud en version 1.07.3191 qui ont subi une modification illicite avant leur publication auprès du grand public. La version 5.33 a été proposée entre la mi-août et le 12 septembre.

Lire la suite sur GNT

L'alerte sur Piriform -> https://www.piriform.com/news/release-a ... dows-users

Mettre à jour impérativement vers la dernière version 5.34
http://www.piriform.com/ccleaner/builds

@+

[mwonex]

Bonjour chantal11;

Merci pour cette alerte, j'ai vérifié, je suis avec la version 5.34. xx, grâce a une vigilance permanente, mais il faut que tout le monde lise ce texte. On peut vite être pris en défaut

Je me demande si la version portable n'est pas plus sure, mais la mienne est installée:

L’installeur de cette version a été compromis, comme le confirme dans un communiqué Piriform la société ayant développé CCleaner. Les détails exacts de l’attaque n’ont pas encore été révélés, mais un long post de Talos, l’équipe de sécurité de Cisco, a alerté le public sur cette attaque qui affecte selon eux pas moins de 2,2 millions d’utilisateurs.

http://www.zdnet.fr/actualites/ccleaner ... xtor=RSS-1

Finalement MBAM a révélé que j'avais été touché, je conseille donc aux utilisateurs de passer leur antivirus et MBAM, quoique Windows defender n'a rien révélé à l'analyse "rapide"
- Signature ci-dessous explicite:

Fichier: 1
Trojan.Nyetya, C:\USERS\MICHEL\DOWNLOADS\CCSETUP533.EXE, En quarantaine, [8819], [436221],1.0.2834

Secteur physique: 0
(Aucun élément malveillant détecté)

https://forums.malwarebytes.com/topic/2 ... jannyetya/
@

[Patriciag]

Bonjour,

J'ai installé CClenaer sur plusieurs PC et je mets régulièrement à jour cette application comme les autres, donc j'ai installé la version 5.33.

En général, ces pc possèdent des systèmes 64 bits et de toute façon, je contrôle régulièrement qu'aucune infection n'affecte le PC et je n'ai rien constaté.
J'ai bien entendu installé la version 5.34 dès sa sortie.
Quand on l'ouvre, Ccleaner informe de l'existence d'une nouvelle version disponible, le cas échéant , ce qui facilite la maintenance.

[mwonex]

Bonjour,

"PatriciaG a dit:
En général, ces pc possèdent des systèmes 64 bits et de toute façon, je contrôle régulièrement qu'aucune infection n'affecte le PC et je n'ai rien constaté.
J'ai bien entendu installé la version 5.34 dès sa sortie.
Quand on l'ouvre, Ccleaner informe de l'existence d'une nouvelle version disponible, le cas échéant , ce qui facilite la maintenance.

Tout ça est juste, il se trouve que ma version installée est bien 64 bits (dans programmes, et non program files (x86).
Il reste que j'ai quand même eu cet avertissement, j'espère sans frais (comme indiqué pour les versions 64 bits?), et que certains peuvent quand même installer la version 32 bits sur un PC 64 bits.
citation de Znet ci-dessus:

l’attaque visait la version 5.33.6162 de CCleaner en 32 bits

La question est suffit-il de supprimer le malware avec MBAM pour éviter une infection ou un vol de données dans l'avenir?

No need to Panic - Having Malwarebytes delete it and/or updating to the latest version of Ccleaner takes care of this all and your system will be clean. 
This is in no way related with Petya though

https://forums.malwarebytes.com/topic/2 ... nt=1164706

(Avast a racheté Piriform) communiqué de MBAM sur la sécurité de CCleaner et commentaires:
https://blog.malwarebytes.com/security- ... l-servers/

Explique de vérifier si le registre comporte cette clé:

Code : Tout sélectionner

HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo

Cette clé n'est créée que par une version infectée. Facile à vérifier dès le début de "Software"

Ouf, j'espère que ce sera utile à ceux qui voudraient tout réinstaller.

A propos, certains sous CCleaner 64 bits ont quand même été infectés, sans doute sans modification de la base de registre?:

I have 64bit too and my 5.33 was detected as a trojan.
Both the exe and the installer. Different kinds.

Plusieurs cas de figure donc
https://blog.malwarebytes.com/security- ... 3523986777
@+

[Patriciag]

Bonjour,

@Mwonex
Merci pour ces informations complémentaires sur l'infection possible de CCleaner 64 bits.

Il est vraiment facile de récupérer des malveillants !
Cela justifie pleinement de faire des scans réguliers avec plusieurs outils, car on n'est pas à l'abri d'une infection malgré une vigilance permanente.

Par ailleurs, d'après Malwarebytes LAB,
le troyen ne s'exécute que sur les systèmes 32 bits même si la clé est aussi crée sur les systèmes 64 bits.

The trojan itself reportedly only ran on Windows 32 bit systems, but the values above were created on 64 bit systems as well.

Source : https://blog.malwarebytes.com/security- ... l-servers/

@+

[chantal11]

Bonjour,

Cela justifie pleinement de faire des scans réguliers avec plusieurs outils, car on n'est pas à l'abri d'une infection malgré une vigilance permanente.

Il ne faut pas tomber dans la paranoïa non plus !
"Plusieurs outils" sont vraiment inutiles, et dangereux pour le système !
Des analyses régulières avec son antivirus complétées par des analyses avec Malwarebytes suffisent amplement.
Les autres outils ne sont pas à utiliser à tout va, ce sont des outils de désinfection à utiliser à bon escient.

@+

[Patriciag]

Bonjour Chantal,

Des analyses régulières avec son antivirus complétées par des analyses avec Malwarebytes suffisent amplement.
Les autres outils ne sont pas à utiliser à tout va, ce sont des outils de désinfection à utiliser à bon escient.

Merci pour ces conseils.
Je fais des scans hebdomadaires avec Windows Defender, MBAM, AdwCleaner et ZHPCleaner.
Ce n'est pas excessif, mais prudent surtout que je n'ai pas MBAM résident.

@+

[chantal11]

Re,

L'utilisation hebdomadaire de ZHPCleaner et AdwCleaner est excessive et inutile.
Cette pratique est à proscrire.
Si ni ton antivirus, ni Malwarebytes ne détecte aucun élément, il est inutile de lancer d'autres analyses.

@+

[Patriciag]

Re,

L'utilisation hebdomadaire de ZHPCleaner et AdwCleaner est excessive et inutile.
Cette pratique est à proscrire.
Si ni ton antivirus, ni Malwarebytes ne détecte aucun élément, il est inutile de lancer d'autres analyses.

D'accord.
Je te remercie pour ces conseils avisés que je vais m'empresser d'appliquer.

@+

[chantal11]

Bonjour,

CCleaner : la compromission prend une tournure inattendue

Derrière la compromission d'une version de CCleaner, il n'y avait pas forcément une quête d'infection massive, mais une tentative de cyberespionnage ciblé.

Suite à un accès malveillant à la chaîne d'approvisionnement, l'exécutable principal de la version 5.33.6162 de CCleaner avait été modifié pour intégrer une backdoor. Seuls des systèmes Windows 32 bits ont été affectés.

Propriétaire depuis peu de Piriform qui édite CCleaner, Avast a estimé à 2,27 millions le nombre d'utilisateurs ayant été concernés.

Les chercheurs en sécurité de l'équipe Talos de Cisco ont analysé le serveur de commande et contrôle impliqué dans la version malveillante de CCleaner, et une base de données MySQL en lien. Ils ont découvert qu'une charge utile secondaire a été envoyée à une vingtaine de machines afin d'obtenir l'accès aux réseaux de plusieurs entreprises.

En se basant sur les noms de domaine visés, les cibles ont été... Cisco, mais également Akamai, D-Link, Epson, Google (Gmail), HTC, Intel, Linksys, Microsoft, MSI, Samsung, Sony ou encore VMware.

Lire la suite sur GNT