CCleaner

Продукт

Разработчики:	Piriform
Дата последнего релиза:	2019/05/22

Содержание

2019: CCleaner v5.57 с функцией «Простая очистка»
2017
- Опубликован список компаний, пострадавших от взлома CCleaner
- Заражение вирусом
Примечания

CCleaner — условно-бесплатная утилита, предназначенная для очистки и оптимизации операционных систем. Программа разработана британской компанией Piriform (впоследствии была приобретения разработчиком антивирусов Avast) и написана на C++.

2019: CCleaner v5.57 с функцией «Простая очистка»

22 мая 2019 года стало известно, что компания Piriform Software добавила функцию «Простая очистка» в свой продукт CCleaner. Простая очистка — это упрощенный набор элементов управления, который помогает настраивать необходимые параметры в процессе очистки.

В дополнение к интуитивно понятному интерфейсу «Простая очистка» сообщает на понятном пользователю языке, какие файлы очищаются. Например, временные Интернет-файлы (Temporary Internet Files) называются файлами, оставшимися после посещения веб-сайтов.

«Простая очистка» будет по умолчанию открываться при первом запуске CCleaner. Оригинальная версия — «Стандартная очистка» — также будет доступна. В ее интерфейс разработчики не стали вносить никаких изменений — те пользователи, которые привыкли работать с ней, смогут без проблем продолжить.

2017

Опубликован список компаний, пострадавших от взлома CCleaner

Как стало известно 26 сентября 2017 года, компания Avast в ходе расследования взлома утилиты CCleaner составила полный список организаций, чьи системы были инфицированы в результате инцидента. Как удалось выяснить исследователям, компьютеры ряда организаций оказались заражены еще одним бэкдором, помимо вредоносного ПО Floxif.^[1]

Avast при содействии правоохранительных органов и хостинг-провайдера ServerCrate удалось взять под контроль резервныйсервер злоумышленников с IP-адресом 216.126.225.163, на который они отправляли копию базы данных об инфицированных компьютерах. Сервер был запущен 12 сентября 2017 года. Как результат, в руках исследователей оказался полный список зараженных компьютеров (за исключением 40-часового периода, когда сервер был отключен). В общей сложности хакерам удалось инфицировать 1 646 536 компьютеров, при этом 40 из них были заражены дополнительным вредоносным ПО.Догнать и перегнать: Российские ВКС прирастают новыми функциями 7.9 т

Согласно полученной информации, наибольшее количество зараженных компьютеров (13) находилось в сети тайваньского интернет-провайдера Chunghwa Telecom, 10 — в японской ИТ-компании NEC, 5 — в сети компании Samsung. В сетях Asus, Fujitsu и Sony было обнаружено по 2 компьютера, зараженных дополнительным вредоносным ПО. В сетях IPAddress.com, O2, Gauselmann, Singtel, Intel и VMWare было обнаружено по 1 инфицированному компьютеру.

При этом не все попытки злоумышленников атаковать компании Google, Microsoft, HTC, Samsung, Intel, Sony, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, D-Link, Oracle (Dyn), Gauselmann и Singtel оказались успешными.

Кроме того, благодаря обнаруженной на резервном сервере информации выяснилось, что до 10 сентября список целевых компаний был несколько другим и включал HTC, Linksys, Epson, Vodafone, Microsoft, D-link, Gmail, Akamai, MSI, Cisco, Cyberdyne, Tactical Technologies Inc. (TTI) и GoDaddy.

Avast также обнаружила свидетельства того, что атаки осуществлялись из Китая. Ранее эксперты "Лаборатории Касперского" и Cisco связали взлом CCleaner с китайской хакерской группировкой Axiom.

Заражение вирусом

18 сентября 2017 года стало известно о заражении вирусом программного обеспечения CCleaner. Пострадавшими оказались около 2,3 млн пользователей.

Согласно заявлению Piriform, хакерам удалось внедрить вредоносный код в версии ССleaner 5.33.6162 и CCleaner Cloud 1.07.3191 для Windows, которые вышли в августе 2017 года и скачаны в количестве 2,27 млн и 5 тыс. копий соответственно. Общая аудитория ССleaner превышает 130 млн пользователей.

Изображение интерфейса CCleaner

Специалисты рассказывают, что изучая официальную версию CCleaner 5.33, они заметили, что приложение связывается с подозрительным доменом. Как оказалось, ответственен за это был вредонос Floxif, работающий лишь на 32-битных системах из-под учетной записи администратора. Малварь собирает все данные о зараженной машине (информацию о системе, запущенных процессах, MAC-адресах сетевых устройств и уникальные ID комплектующих), а затем передает их на удаленный сервер злоумышленников. При этом вредонос способен скачивать и запускать дополнительные бинарники, хотя по данным исследователей, ни один зараженный хост так и не подвергся второй фазе атаки, то есть Floxif не загружал дополнительные пейлоады на зараженные устройства^[2].

Схема работы малвари CCleaner

В результате хакерской атаки были похищены такие пользовательские данные, как имена компьютеров, IP-адреса и список установленных программ. Эта информация отправлялась на расположенный в США сервер злоумышленников.

По данным экспертов Talos, хакеры использовали алгоритм генерации домена (Domain Generation Algorithm, DGA) для создания новых доменов и последующей передачи украденных данных в том случае, если сервер злоумышленников выйдет из строя. Такой подход указывает на профессионально организованную атаку, отмечают специалисты. При этом пользователи не могли заметить стороннего вмешательства, так как у программы был цифровой сертификат доверия.

Исследователь из компании Talos Крейг Уильямс (Craig Williams) сообщил, что об атаке стало известно на ранней стадии, когда хакеры собирали информацию и еще не успели использовать уязвимость для установки нового вредоносного ПО на компьютеры жертв.

В середине сентября 2017 года Piriform выпустила устраняющие уязвимость патчи для взломанных версий (программа CCleaner Cloud обновлялась автоматически), а сервер хакеров был отключен.

Ответственность за взлом на себя никто не взял. Высказывается версия, что вредоносный элемент был внедрен в систему кем-то имеющим непосредственное отношение к разработке CCleaner.^[3]

13 сентября 2017 года была выпущена версия CCleaner 5.34, а также обновление 1.07.3214 для CCleaner Cloud, которые не содержат вредоносного кода. Всем пользователям настоятельно рекомендуется обновиться как можно скорее, так как функции автообновления в CCleaner не предусмотрено.

Представители Avast сообщили, что зараженные Floxif версии CCleaner успели распространиться на 2,27 млн компьютеров (это лишь около 3% пользователей утилиты). Однако в компании полагают, что благодаря вышедшим апдейтам, которые «обезвредили» малварь, пользователи уже в безопасности.

Провериться на заражение можно достаточно просто: нужно найти в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo и проверить, содержатся ли там элементы MUID и TCID. Если да – это признак заражения Floxif.