Küberkurjategijad nakatasid CCleaner 5.33 versiooni

Lucia Danes poolt - -

Pahavara teise programmi kattevarju all

CCleaner, laialdaselt tuntud ja armastatud tööriist, mis aitab arvuteid reklaamvarast ja teistest pahavaradest puhastada ning optimeerida tööprotsesse, ei suutnud pääseda küberkurjategijate küüsist. Kõik kasutajad, kes laadisid 15. augusti ja 12. septembri vahemikus 5.33 versiooni, riskisid Floxif pahavaraga nakatumise ohuga.

Kuna tarkvara on eriti populaarne Ameerika Ühendriikides, Venemaal ja Lääne-Euroopas, oli nakatumise oht üle 2 miljonil kasutajal nendes piirkondades. Kuigi probleem puudutab vaid 32-bitiseid süsteeme, on soovitatud kõigil kasutajatel endale laadida kõige värskem versioon.

Mida Floxif viirus teeb?

IT uurijad on avastanud, et Floxif viirus kogub andmeid kasutaja tehniliste asjaolude kohta ja saadab need kaugjuhitavasse Command & Control serverisse. Cisco Talos uurijad, kes avastasid ka nakatunud versiooni, leidsid, et pahavara saadab konkreetselt teateid 216.126.225.148 IP aadressile.

Esialgu ei tekitanud nakatunud versioon kahtlust, sest see kandis kehtivat digiallkirja. Seepärast jõudis pahavara arvutitesse, olles end peitnud väidetavaks 5.33 versiooniks, mis on avaldatud Piriformi poolt (originaalne arendaja, mis on nüüd Avasti omanduses).

Lisaks ootas tarkvarasse paigaldatud nakkus 601 sekundit enne käivitumist. Niimoodi toimiti selleks, et vältida liivakasti sattumist. Huvitaval kombel käivitas Floxif end ainult süsteemis, millel olid administratiivõigused.

Pärast allalaadimist ja uuendamistoimingu käivitamist otsib pahavara üles olemasoleva CBkdr.dll faili ja asendab selle identse ent nakatunud variandiga. Info jälgimisele ja serverisse saatmisele lisaks ei näidanud nakkus välja muid toiminguid.

Küberturbe spetsialistid kõhklevad selle osas, kuidas sai pahavara mööda Avasti pahavaratuvastuse süsteemist. Mõned arvavad, et ründajal võis olla ettevõttes “siseringi inimene”, kellel oli ligipääs tarkvaraarenduse osakonnale.

Kas CCleaneri allalaadimine on nüüd turvaline?

Kuigi endiselt on saadaval 5.33 versiooni installeerimisviisardid, on ka pahavara edukalt blokeeritud. Avast avaldas 5.34 versiooni 13. septembril.

Tavakasutajana võib olla sellise rünnaku ennetamine keeruline, kuna tööriist esitles end legitiimse versioonina, kuid need paar nõuannet võivad olla kasulikud:

  • hoia arvutis mitu erinevat pahavaratuvastajad ja -eemaldajat
  • laadi programme üksnes ametlikelt kodulehtedelt ja laadi uus versioon kohe, kui see on saadaval.
Autori kohta
Lucia Danes
Lucia Danes - Viiruste uurija

Võta ühendust autoriga Lucia Danes
Ettevõtte Esolutions kohta lähemalt

Loe teistes keeltes
Failid
Tarkvara
Võrdle
Viirusetõrjete võrdlus Võrdle viirusetõrjeid