CCleaner变成有害程序?足瘫痪计算机

CCleaner相信不少人都非常喜欢用这款软件来清理计算机内的纪录,但在日前官方网站所提供的下载文件里,混入有害程序的 CCleaner,被 Cisco 旗下的保安部门 Talos 查证了该等有害程序的实际攻击对象。目前 CCleaner 已经推出最新版本,用户只要铲除原程序,再安装新版便可解决问题。但专家建议 Intel、Sony、Samsung、Microsoft 等大机构的计算机,需要重新格式化硬盘,并重新安装 OS 操作系统。

002-106

今次由 Cisco 旗下的保安部门 Talos 解构被植入 CCleaner 的有害程序。Talos 指出,这些有害程序的攻击对象,是特定的大企业,属于目标攻击型的有害程序。他们建议安装了 32bit 版 CCleaner v5.33.6162 以及 CCleaner Cloud v1.07.3191 的大企业用户,将系统硬盘格式化,然后再重新安装 OS 系统软件。

Talos 分析了这个有害程序连接的 C2 服务器所残留的数据,服务器会根据所属计算机的网域,进一步发布第二轮有害程序。受影响机构包括: Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink等等。而且这个列表显示的机构还只是所有目标的一小部份。

00001

有关有害程序的PHP档案分析结果,可看到程序会为用户分流:由有害程序网站继续进程,或者转接到 Priform(CCleaner开发者)的服务器。

01 (5)

而黑客的PHP程序会根据 IP 地址、MAC地址、主机名、域名的组合来选定攻击对象,继而发布第二轮有害程序。

01 (6)

Talos 引述 Kaspersky 卡巴斯基研究者的报告,根据程序代码的编写方式,指出这次有害程序的制作者极有机会是黑客组织「Group 72」(下图左手边是CCleaner被植入的程序,右手边是另一个 Group 72 的有害程序)。

01 (7)

Talos 得到了黑客曾发布第二轮黑客程序的对象。为了保护该公司私隐,Talos 遮盖了他们的名字。但从列表中得知,黑客已经向超过 20 家企业发布过第二轮有害程序。根据他们的分析,黑客会利用有害程序对有关计算机进行攻击,或许会令这些机构的计算机瘫痪。建议受影响的计算机应尽快删除有关程序,并重新安装系统软件。

01 (8)