szukaj

18.09.2017 | 21:04

avatar

Adam Haertle

Tajemniczy incydent z CCleanerem, Avastem i nieznanymi ofiarami w tle

Bardzo popularny program CCleaner przez prawie miesiąc infekował komputery milionów swoich użytkowników. Mimo wnikliwego śledztwa do tej pory nie ustalono, kto faktycznie był celem perfekcyjnych włamywaczy.

Infekcja plików CCleanera to jeden z największych i najbardziej tajemniczych z incydentów komputerowych w historii. Zarówno nieznany przebieg incydentu, czas jego trwania jak i nieustalony do tej pory cel ataku zostawiają bardzo wiele pytań bez odpowiedzi.

Przypadkowe odkrycie

Na ślady incydentu trafili badacze z zespołu Talos firmy Cisco. W trakcie testowania nowej technologii wykrywania eksploitów zauważyli, że ich narzędzie identyfikuje nieznany wcześniej atak. Ustalili, że nośnikiem zagrożenia jest bardzo popularny program CCleaner w wersji 5.33. Program był pobrany z oficjalnego serwera producenta i na dokładkę podpisany prawidłowym certyfikatem – to wszystko wskazywało na spory problem leżący po stronie autorów oprogramowania. Niestety dalsza analiza potwierdziła najgorsze podejrzenia – program został zainfekowany złośliwym oprogramowaniem.

Rozpoznanie i…?

Badacze z Talosa bardzo dokładnie opisali funkcje złośliwego kodu – jednak nie wiadomo, jaki był jego faktyczny cel. Aspekty techniczne procesu instalacji możecie przeczytać w artykule Talosa, my chcemy skupić się jedynie na stronie funkcjonalnej. Złośliwy kod sprawdza, czy został uruchomiony z prawami administracyjnymi – jeśli ich brakuje, to kończy działanie. Jeśli ma odpowiednie uprawnienia, zbiera informacje o komputerze takie jak:

  • Identyfikator instalacji
  • Wersja systemu operacyjnego
  • Nazwa komputera
  • Adres IP
  • Zainstalowane aplikacje
  • Uruchomione procesy

i wysyła je na swój serwer C&C pod adresem 216.126.225.148 (od paru dni wyłączony). Zapisuje także w rejestrze parametr, który powoduje, że przez następne dwa dni nie będzie infekować tego samego komputera. Tu zaczyna się prawdziwa zagadka.

Talos wspomina, że po wysłaniu danych do serwera złośliwy kod dostaje w odpowiedzi kolejne polecenia – jednak nie wspomina ani słowem o ich zawartości i więcej już nie porusza tego tematu. Pozwolimy sobie zatem pospekulować. Skoro złośliwy kod jedynie przeprowadza identyfikację zainfekowanego komputera i wysyła zebrane informacje na serwer przestępców, by stamtąd otrzymać dalsze polecenia, nasze doświadczenie podpowiada, że różne komputery mogą otrzymać różne polecenia. Nic nie stoi na przeszkodzie, by przestępcy ignorowali większość zainfekowanych komputerów a specjalne instrukcje wysyłali tylko tym, na których działa konkretny proces, program, lub które legitymują się konkretnym adresem IP. Niestety albo Talos nie wie, co wysyłali przestępcy, albo świadomie nie rozwija tego tematu.

Od kiedy do kiedy

Daty w tym incydencie również są dość ciekawe. Talos informuje, że zainfekowana wersja dostępna była od 15 sierpnia, a nowa, wyczyszczona wersja programu pojawiła się 12 września. Te daty powierdza Pirifom, producent CCleanera. Tu jednak zaczyna się zagadka. Otóż Piriform informuje, że aktualizacja z 12 września do wersji 5.34 była zwyczajną, zaplanowaną operacją (regularly scheduled update). Dodaje także, że Avast, który kupił Piriforma 19 lipca, odkrył infekcję 12 września. Z kolei Talos odkrył ją 13 września. Wygląda zatem na to, że infekcję trwającą od 15 sierpnia nagle, w odstępie jednego dnia, zidentyfikowały dwie niezależne firmy, a dodatkowo data odkrycia problemu zbiegła się z zupełnie zwyczajnie zaplanowaną aktualizacją. Coś tu wygląda podejrzanie. O ile odkrycie zagrożenia mogło mieć związek np. ze zmianą w metodzie ataku przestępców, o tyle w zbieg okoliczności z aktualizacją trudno uwierzyć.

Ile ofiar

Talos cytuje statystyki Piriforma mówiące o 2 miliardach pobrań i 5 milionach instalacji tygodniowo. Mniej marketingowe wartości znajdziemy w komunikacie Avasta o zakupie Piriforma, gdzie mowa o 130 milionach użytkowników. Talos nie określa obserwowanej skali infekcji (nawet rysunek, z którego można by ją wywnioskować, ma obciętą oś skali), jednak komunikat Piriforma mówi o zainfekowanych 2,27 miliona użytkowników. Skala robi wrażenie.

Fatalna reakcja Avasta

Avast, jako właściciel Piriforma (co prawda od lipca, ale obejmuje to już okres incydentu) w swoich komunikatach w sprawie incydentu się niestety nie popisał. Dyrektor techniczny Ondrej Vlcek w wypowiedzi dla serwisu BleepingComputer powiedział, że wystarczy usunięcie złośliwego pliku binarnego CCleanera by usunąć zagrożenie oraz że użytkownicy są bezpieczni ponieważ firma zdążyła zapobiec dalszemu rozwojowi incydentu. Albo pan Vlcek wie dokładnie co zdarzyło się na każdym z 2,27 miliona zainfekowanych komputerów, albo niestety uprawia propagandę zamiast rzetelnej polityki informacyjnej.

Sępy krążą

Dzisiaj wieczorem otrzymaliśmy komunikat prasowy jednej z firm antywirusowych, których nazwy z litości nie wymienimy. Zrzut ekranu z zaznaczonymi kuriozalnymi fragmentami poniżej.

Po pierwsze nie było żadnego wirusa – a przynajmniej my informacji o nim nie znaleźliśmy. Po drugie zainfekowany program nie był sprzedawany – zainfekowana była przede wszystkim wersja darmowa. Po trzecie przypadki analogicznych incydentów ktoś zapomniał przetłumaczyć z angielskiego (pewnie chodzi o incydenty z Transmission oraz Linux Mint) a po czwarte żaden program antywirusowy nie wykrywał opisywanego zagrożenia do dzisiejszego poranka (w tym także ten reklamowany powyższym „artykułem”).

Jak sprawdzić czy komputer był zainfekowany

Niestety Talos nie opisał żadnego prostego mechanizmu identyfikacji czy komputer był zarażony złośliwym oprogramowaniem. Pewną wskazówką może być obecność w rejestrze kluczy

HKLM\SOFTWARE\Piriform\Agomo:TCID
HKLM\SOFTWARE\Piriform\Agomo:MUID
HKLM\SOFTWARE\Piriform\Agomo:NID

Nazwa Agomo to produkt, który Piriform przejął kilka lat temu, ale jeśli instalacja CCleanera była tylko na jednym komputerze (Agomo to wersja chmurowa) to raczej tych kluczy na komputerze nie powinno być – tworzył je dopiero zainfekowany instalator. Na szczęście w nieszczęściu darmowa wersja CCleanera nie aktualizowała się samodzielnie – jest zatem szansa, że macie wersję starszą lub nowszą niż ta ze złośliwym dodatkiem. W razie wątpliwości jedyne co możemy polecać to pełna reinstalacja systemu operacyjnego lub przynajmniej przywrócenie do punktu sprzed 15 sierpnia 2017.

Dwa złośliwe pliki CCleanera znajdziecie tu i tu. Jakim cudem przez prawie miesiąc pozostały niewykryte – czekamy na wyjaśnienie tego fenomenu. Włamywaczom, którzy przejęli kontrolę nad procesem tworzenia aplikacji w Piriformie, trzeba pogratulować osiągnięcia. Tyle nabroić i przez prawie miesiąc ukrywać efekty to spore osiągnięcie.

Powrót

Komentarze

  • avatar
    2017.09.18 21:43 Dioskur

    Mam pytanie: czy złośliwy kod był w instalatorze, czy w pliku wykonywalnym CCleanera? Ja używam wyłącznie wersji portable programów Piriformu. Poza tym, podobno zgniłek był tyko w wersji 32-bit lub też infekował tylko systemy 32-bit – czy to prawda?

    Odpowiedz
    • avatar
      2017.09.18 23:41 hmmm

      Przy instalacji CC instalowala sie wersja 32bit i 64bit. Obie sa w tym samym katalogu. NOD mi wirusa znajduje tylko w wersji 32bit. Skrot na pulpicie mialem do wersji 64bit, ale czy przy samej instalacji CC sie to nie uruchomilo to diabli wiedza.

      Odpowiedz
  • avatar
    2017.09.18 21:44 tomi

    Proszę, błagam: podajcie namiar na tego AV!!
    Nie ma litości :D

    Odpowiedz
  • avatar
    2017.09.18 21:46 Korsarz

    A wersja Androidowa też była z „niespodzianką”?

    Odpowiedz
  • avatar
    2017.09.18 21:49 papago

    smieszna akcja, pokazuje dobitnie jakosc oprogramowania firmy na A
    also obserwuje, jestem ciekawy co pepiki beda mialy na swoje wytlumaczenie

    Odpowiedz
    • avatar
      2017.09.18 22:22 Duży Pies

      Nigdy nie rozumiałem zachwytu w naszym kraju nad tym AV. Bo jest to jeden ze słabszych AV.

      Odpowiedz
      • avatar
        2017.09.18 23:15 papago

        jak nie najslabszy.
        a zauwazylem, ze wsrod mniej zaznajomionych z komputerami osob antywir na a jest de facto synonimem jakiegokolwiek oprogramowania zabezpieczajacego

        Odpowiedz
    • avatar
      2017.09.19 18:28 John Sharkrat

      O ile wiem wasze super antywirusy też go nie wykrywały, więc w tym przypadku są tyle samo warte czyli nic.
      Najlepszym antywirusem jest twój mózg.
      http://s.quickmeme.com/img/d8/d8ae9015aab98dcd022cf2568f8ba507e0a4beaaeed93da3d81eac0c37549803.jpg

      Odpowiedz
      • avatar
        2017.10.20 09:25 joł

        jakieś źródło można?

        Odpowiedz
  • avatar
    2017.09.18 21:55 Abi

    Jakieś służby za tym stoją. Podrobić instalator i jeszcze złamać oryginalny certyfikat. To bardzo trudne dla zwykłych hakerów.

    Odpowiedz
    • avatar
      2017.09.18 22:36 Duży Pies

      Jaki miałyby w tym cel, te służby? Możesz uzasadnić?
      .
      Służby działają bardziej subtelnie. Nie dorzucają do instalatora malware’u na rympał, który przy tak masowej infekcji zostanie szybko zauważony.
      .
      Jak dla mnie, to robota – wyrafinowana, nie powiem – cyberprzestępców.
      .
      Instalator był zainfekowany malwarem (prawdopodobnie RATem). Warto poczekać na dalsze analizy a nie snuć idiotyczne teorie spiskowe.

      Odpowiedz
  • avatar
    2017.09.18 22:09 Novos7

    Ufff… Na szczęście jakiś czas temu odinstalowałem cCleanera.

    Odpowiedz
    • avatar
      2017.09.19 08:39 Bronisław

      No a ja właśnie miesiąc temu zainstalowałem, tą wersję 5.33.
      Teraz lecę EEK i F-secure całe dyski zewnętrzne, a po południu reinstalka systemu.
      Nie mam takich wpisów w rejestrze ale …. Jednak wolę być pewien, niż się tylko domyślać.

      Teraz pytanie czy Zmieniać hasła do KeePassa i DesLocka czy nie? A może wygenerować nowe klucze?
      PGP używam sporadycznie więc raczej nie został skompromitowany.

      Odpowiedz
    • avatar
      2017.09.19 18:29 John Sharkrat

      A co u ma szczęście do gadania? Wystarczyło nie pracować na koncie admina.

      Odpowiedz
  • avatar
    2017.09.18 23:44 Kraszan

    Biorąc pod uwagę historię wpadek Avasta i CCleanera zastanawiam się co (poza ślepym fanatyzmem) kieruje „informatykami” polecającymi te programy zwykłym użyszkodnikom – chęć zysku po tym jak coś wysypie się potencjalnemu klientowi? Debilizm? Nie wiem.

    Odpowiedz
    • avatar
      2017.09.19 02:11 maslan

      Powiem co:
      jest za darmo i każdy janusz „bo muszem miec antyvirusa za darmo pomóż mam horom curke” sobie poradzi z instalatorem tego, wiec ma się go z głowy

      Odpowiedz
    • avatar
      2017.09.19 07:28 Radek

      Możesz rozwinąć dlaczego uważasz, że jestem „informatykiem” debilem instalując w niektórych miejscach Avasta?

      Radek

      Odpowiedz
      • avatar
        2017.09.19 14:31 Kraszan

        Szanowny Kolego
        już napisałem, lista wpadek obu programów jest bardzo długa. Po stronie Ccleanera to opisywany w artykule przypadek lub usuwanie profilu silverlight(całe szczęście coraz mniej popularnego), po stronie AVASTA choćby usuwanie stosu TCP/IP w win XP.
        Serwisuję tygodniowo pewną liczbę komputerów standardowych użytkowników i wyszła mi z tego taka lista „dobrych” programów AV instalowanych przez „informatyków”:
        Kolejność przypadkowa:
        AVG, McAfee, AVAST, Panda, NIS.
        Prawie każdy z komputerów z tym AV trafił do mnie zarażony wirusem lub niezdolny do normalnej pracy. Zdarzało się, że usuwałem taki AV, porządkowałem OS, i po kilku miesiącach znowu musiałem to robić, bo jakiś „informatyk” podpowiedział, żeby zainstalować coś z TOP 5.
        Dziwnym trafem rzadko mam do czynienia z problemami na komputerach z Kaspersky, F-Secure czy Bitdefenderem.
        Dziwne, że nie wywołał Cię do tablicy zarzut chęci zysku, a właśnie debilizmu.
        Tak czy inaczej, nie jest moją intencją przekonywanie Cię, że
        AVAST nie jest dobrym wyborem, wyraziłem tylko swoją opinię.
        Serdecznie pozdrawiam

        Odpowiedz
        • avatar
          2017.09.19 16:30 Radek

          Czyli jak ktoś ma inne doświadczenia z programami to jest debilem i „informatykiem”. Ok, wszystko jasne.

          Odpowiedz
        • avatar
          2017.09.19 16:54 Paweł

          Wytłumaczenie jest proste – ludzie używający Kasperskiego czy F-Secure są dużo bardziej świadomymi użytkownikami komputera/internetu, wiedzą gdzie nie klikać i czego nie instalować, stąd mniej zarażeń na takich sprzętach.

          Odpowiedz
          • avatar
            2017.09.20 00:00 Krzysztof Kozłowski

            Ej ale Ty tak na poważnie?
            Bardziej świadomi :D:D:D

          • avatar
            2017.09.21 06:50 dawciobiel

            Proszę tylko niezapominać jak to zadaje się trzyliterowe służby z za wielkiej wody odradzają instalacji Kaspersky’ego ze względu na fakt, że ponoć „współpracą” z tą firmą interesują się trzyliterowe służby rosyjskie.

            Co do Avasta – potwierdzam – nie jest to na pewno program AV z górnej półki. Nie należy jednak zapominać, że jest to program darmowy, a także, że mimo posiadania najlepszego programu AV i tak da się zainfekować komputer.

            Zresztą swego czasu robiłem test z pośród programów AV z top5. Ani jeden nie przeszedł bezbłędnie. U mnie najlepiej wypadał BitDefender.

        • avatar
          2017.09.20 00:22 Krzysztof Kozłowski

          @Kraszan troszkę płyniesz.
          AVASTA nie trawię. Ale AVG dość długo był naprawdę dobrym prostym i skutecznym programem. (oczywiście w wersji av bo IS to porażka była) Owszem zaliczył kilka wtop które sadzały system ale doprowadzenie do stanu działania nie stanowiło problem.
          Teraz AVG to w sumie avast.
          Z resztą Twoich typów się zgodzę też ich nie lubię

          Jednak Kaspersky ma za sobą spektakularne fckupy. Potrafił firmy wyłączać na wiele godzin kasując zdrowe pliki systemowe. :D
          Puszczał wirusiki aż miło…
          No i jego odwieczny problem z pochodzeniem nie pomaga.

          F-Secure Cóż mają fajne produkty ale ich IS to porażka. Na wielu płaszczyznach. I z lubością potrafi wywalać sieć.
          A i skuteczność jednak jest dyskusyjna. Puszcza sporo śmiecia.
          Więc jak widzisz mamy różne doświadczenia :D Choć nie bardzo.

          Pozostaje jeszcze odpowiedź czemu avast jest masowo instalowany.
          Bo jest za darmo i w zasadzie nie ma alternatywy a jest w czołówce rankingów sponsorowanych. Domorośli informatycy czytają gazetki i sie z nich uczą. Potem wszędzie ładują to cudo.
          A dodatkowo jest grupa klientów którzy nie kupią AV. Coś im trzeba zainstalować. Większość mistrzów tanich napraw nie ma cas na naukę szukanie i analizowanie. Idą po najmniejszej Lini oporu.

          A tak na marginesie to ciekawy wydaje się lekki i skuteczny choć upierdliwy jak stare gacie jest SecureAPlus.
          niestety wymaga wiedzy co do nas gada co u wielu ludzi jest dyskwalifikującą cechą dla programu :D

          Odpowiedz
          • avatar
            2017.09.20 21:51 A.

            „Ale AVG dość długo był naprawdę dobrym prostym i skutecznym programem” = LOL.

          • avatar
            2017.09.20 23:24 Industrialis

            *po linii najmniejszego oporu

    • avatar
      2017.09.19 15:32 "informatyk"

      „Ślepym fanatyzmem” jest myślenie, że jak zapłacisz za program „miliony monet” to zabezpieczy cię przed każdym tojanem, spywarem, wirusem grypy i niechcianą ciążą. Opanujcie się trochę z osądzaniem innych wg własnej miary. 80% problemów z „zamulonym”, niestabilnie działającym sprzętem i ogólnie lamentami typu: „panie! godzinę mi się internet i programy ładują” wynika właśnie z instalowania „super drogich antywirusów” na maszynach, które nie są w stanie ich obsłużyć, nie pożerając 90% ramu i obciążając procesor w 90-100% przy każdym, automatycznym uruchomieniu się funkcji skanującej. Avast jest „najlżejszym” programem antywirusowym na rynku, który nie pożera zasobów komputera, nawet przy 512 mb ramu i najgorszym, „netbookowym” atomie na pokładzie. Mam zdecydowanie mniej problemów z komputerami, na których Klienci mają zwykłego avasta i wcale nie chodzi tu o „horom curke”. Dla babci z dziadkiem, którzy potrzebują komputer żeby przeczytać o szkodniku nasturcji albo wygooglować hasło do krzyżówki, avast jest aż za dobrym programem i wystarczyłby tu zwykły defender windowsa. Natomiast wy i tak zdarlibyście od nich 2 stówki, żeby im wcisnąć Nortona, który tak zamuli komputer, że do wieczora się nie uruchomi albo nie daj Bóg McAfee, które trudniej usunąć niż wrzoda z dupy. Poza tym znam przypadki, kiedy to właśnie avast znalazł realne infekcje a płatny program nie. Najwięcej mają do gadania ci, którzy robią podejrzane rzeczy w sieci i płaczą, że avast jest beznadziejny :) Jeśli nie hakujesz, namiętnie nie oglądasz pornoli, nie piracisz na torrentach, czyli jesteś „przeciętnym Klientem serwisu” to nie dawaj się wydymać na zakupie antywirusa bo ten darmowy w zupełności ci wystarczy. Amen

      Odpowiedz
      • avatar
        2017.09.19 20:50 Radek

        Amen.
        Niczego więcej nie trzeba dodawać.

        Odpowiedz
      • avatar
        2017.09.20 08:54 Duży Pies

        Avast nie jest najlżejszym z AV. Mniej zasobów zabiera tandem ClamWinAV z doinstalowanym Sentinelem, który sprawia że ClamWinAV zaczyna działać jako skaner rezydentny. Silnik Clama jest niezły i jest często używany na serwerach Linuxowych.
        .
        Dla geeków: lata temu powstał nawet ClamFS – Linuxowy system plików z AV warstwą Clama: http://clamfs.sourceforge.net/
        .
        Niedocenionym AV (i całym pakietem zabezpieczającym) jest darmowy Comodo. Nie obciąża systemu, ma duże możliwości (piaskownica, HIPS, rozbudowany Firewall) i dość dobrze reaguje na złośliwy kod.
        .
        Licytowanie się który z darmowych AV jest najlepszy nie ma sensu. Bo bezpieczeństwo systemu informatycznego jest złożonym problemem, który tylko częściowo załatwia AV.
        Ale jeśli już musimy tak rozmawiać, to Avast i AVG są bardzo słabymi AV. O wiele lepiej jest zainstalować ClamWinAV + Sentinel, Comodo, Avirę albo BitDefendera.
        .
        A jak kogoś stać na kupno, to polecam Kasperskiego (mimo pracy w przeszłości w rosyjskich służbach założyciela firmy) lub ESETa. Najdrożej jest pierwszy raz, kolejne odnowienia subskrypcji są zawsze tańsze. No i opłaca się kupować na kilka stanowisk, wtedy ceny są naprawdę niewielkie.

        Odpowiedz
      • avatar
        2017.09.21 06:55 dawciobiel

        dokładnie tak!

        Odpowiedz
    • avatar
      2017.09.19 15:39 informatyk

      „Ślepym fanatyzmem” jest myślenie, że jak zapłacisz za program „miliony monet” to zabezpieczy cię przed każdym tojanem, spywarem, wirusem grypy i niechcianą ciążą. Opanujcie się trochę z osądzaniem innych wg własnej miary. 80% problemów z „zamulonym”, niestabilnie działającym sprzętem i ogólnie lamentami typu: „panie! godzinę mi się internet i programy ładują” wynika właśnie z instalowania „super drogich antywirusów” na maszynach, które nie są w stanie ich obsłużyć, nie pożerając 90% ramu i obciążając procesor w 90-100% przy każdym, automatycznym uruchomieniu się funkcji skanującej. Avast jest „najlżejszym” programem antywirusowym na rynku, który nie pożera zasobów komputera, nawet przy 512 mb ramu i najgorszym, „netbookowym” atomie na pokładzie. Mam zdecydowanie mniej problemów z komputerami, na których Klienci mają zwykłego avasta i wcale nie chodzi tu o „horom curke”. Dla babci z dziadkiem, którzy potrzebują komputer żeby przeczytać o szkodniku nasturcji albo wygooglować hasło do krzyżówki, avast jest aż za dobrym programem i wystarczyłby tu zwykły defender windowsa. Natomiast wy i tak zdarlibyście od nich 2 stówki, żeby im wcisnąć Nortona albo Kaspersky’ego, który tak zamuli komputer, że do wieczora się nie uruchomi albo nie daj Bóg McAfee, które trudniej usunąć niż wrzoda z dupy. Poza tym znam przypadki, kiedy to właśnie avast znalazł realne infekcje a płatny program nie. Najwięcej mają do gadania ci, którzy robią podejrzane rzeczy w sieci i płaczą, że avast jest beznadziejny :) Jeśli nie hakujesz, namiętnie nie oglądasz pornoli, nie piracisz na torrentach, czyli jesteś „przeciętnym Klientem serwisu” to nie dawaj się wydymać na zakupie antywirusa bo ten darmowy w zupełności ci wystarczy. Amen

      Odpowiedz
  • avatar
    2017.09.19 04:36 T-vax

    Czy to prawda że cała sprawa dotyczy tylko wersji dla Windowsa, a wersje dla macOSa i Lin

    Odpowiedz
  • avatar
    2017.09.19 04:37 T

    Czy to prawda, że chodzi tylko o wersję dla Windowsa,a wersje dla macOSa i Linuxa nie były zarażone?

    Odpowiedz
  • avatar
    2017.09.19 07:56 Mim

    „a po czwarte żaden program antywirusowy nie wykrywał opisywanego zagrożenia do dzisiejszego poranka (w tym także ten reklamowany powyższym „artykułem”).”

    W tym akurat możecie nie mieć racji, bo jeśli opieraliście się na wynikach VirusTotal, to musicie wiedzieć, że Google posiada silniki antywirusowe firm, które mogą się różnić od tych na komputerach użytkowników. W ogóle sprawdzania czegokolwiek jako „pewniaka” opierając się na wynikach skanowania VT jest nieprofesjonalne.

    Odpowiedz
    • avatar
      2017.09.19 11:07 Adam

      Nie, opieraliśmy się na logice – gdyby ktokolwiek odkrył złośliwość pliku CCleanera to bez wątpienia by o tym poinformował (ogromna baza instalacji u każdego producenta AV). Skoro nikt nie odkrył, to znaczy że nikt nie wiedział.

      Odpowiedz
  • avatar
    2017.09.19 08:38 xxxx

    Niezwiązane z artykułem, ale zróbcie coś z tym że tytuły artykułów na wersji mobilnej mają każdy wyraz Pisany Wielką Literą, bo aż smutno się na to patrzy

    Odpowiedz
  • avatar
    2017.09.19 09:15 TaKeN

    Ciekawe według piriform problem dotyczył wersji 32bit tylko:
    https://forum.piriform.com/index.php?showtopic=48869

    Pozdr

    Odpowiedz
  • avatar
    2017.09.19 09:49 M. Odpowiedz
    • avatar
      2017.09.20 21:59 A.

      Rozbawilo mnie to. Po pierwsze Avast nie znajdzie wirusa nawet jak mu go wskazac palcem. Po drugie nie po to probowali przepchnac dodatkowy kod, aby go pozniej zablokowac. Do glowy im nie przyszlo, ze ludzie takie rzeczy weryfikuja i ze sprawa sie sypnie tak szybko. Naprawde wierzyce, ze gdzies po drodze krasnoludki popiely cos do instalera i jeszcze podpisaley cerytfikatem? Jak dzieci…

      Odpowiedz
  • avatar
    2017.09.19 10:16 ktos

    Tak to jest jak się używa zamkniętego oprogramowania.Jako program antywirusowy polecam Clamwim a jako czyszczący Bleachbit

    Odpowiedz
  • avatar
    2017.09.19 13:01 vanitas

    Co do dat:
    Według version history CCleaner jest aktualizowany regularnie 3 wtorek każdego miesiąca (12.09; 15.08; 11.07; 13.06 i 16.05. Wyjątek 23.05 – pewnie nie była sheduled). Tym samym to, że była to regularna aktualizacja – jest prawdopodobne.

    Co do wykrycia -firmy mogły zrobić zwykłego diff-a (avast) czy porównanie zachowania (TALOS) przy okazji aktualizacji…

    Odpowiedz
  • avatar
    2017.09.19 17:41 Wonsz

    Trochę to wygląda na inside job.

    Odpowiedz
    • avatar
      2017.09.21 06:56 dawciobiel

      Nawet nie tylko trochę.

      Odpowiedz
  • avatar
    2017.09.19 17:44 Maciej

    Tenże incydent skłania mnie do przesiadki na system operacyjny w stylu „security by compartmentalization”, chociaż tak swoją drogą może nawet zwykły GNU/linux by wystarczył :)

    Odpowiedz
    • avatar
      2017.09.21 03:44 marianZ

      Wystarczy. Kupisz te 16 rdzeni a tu piękna luka ring -1 (-2?) w Intel ME. Coś pre-coppermine (minimalna inteligencja w krzemie, bez zaawansowanych systemów w chipsecie i BIOS 4.51PG którego źródła wyciekły w 2004) i Linux to jest rozwiązanie najbezpieczniejsze

      Odpowiedz
  • avatar
    2017.09.20 09:15 Jacek

    Najnowsza wersja 534 też jest blokowana przed pobraniem przez fortinxxx jako zawierająca wirusa

    Odpowiedz
  • avatar
    2017.09.20 13:41 Frodo

    CCleaner co? Nie sądziłem, że ktoś rozsądny to jeszcze używa. Ostatnio pamiętam jak mój ojciec to zainstalował bo coś złapał i zadowolony, że naprawił problem. Zainstalowałem Malwarebytes i znalazło 20 chwastów, wcześniej część próbowałem ręcznie ubijać i nie dałem rady.

    Odpowiedz
    • avatar
      2017.09.20 19:01 Krzysztof Kozłowski

      @Frodo używają go na przykład ludzie którzy wiedzą do czego służy…
      Z całym szacunkiem ale jeśli Twój ojciec sądził że cc usunie wirusy to znaczy że nie powinien się za to brać….
      A Malwarebytes wcale nie jest jak wielu uważa metodą 100% skuteczną.

      Odpowiedz
    • avatar
      2017.09.20 21:55 A.

      Uzywaja, uzywaja. Ten szajs jest za darmo, wiec dla „specjalistow” jest to swietny, wartosciowy program. Takich frajerow jest na ten moment okolo 20% wszystkich internautow. A to dane a) tylko o PC b) tylko programow tego szamba AVG. Gdy dodac do tego, ze AVG wrecz oficjalne przyznalo sie do zbierania wszelkich danych na komputerach userow oraz pelna wspolprace z rzadami USA i Chin mamy komplet. Ale to lemingow nie odstrasza bo… jest za darmo!

      Odpowiedz
  • avatar
    2017.09.21 07:24 Katownik

    Jak dla mnie to jakiś mały prztyczek w nos dla nowych właścicieli od programistów pifrona. Kupuję nas AV to ciekawe czy znajdą nasz twór. Raczej zamierzone i nieszkodliwe działanie. Tylko teraz „sępy” przekrecaja informacje i zaraz wyjdzie, że to nowy ransomware. 2 mln użytkowników xD Znam osoby, które używają Ccleanera bo jest prosty w obsłudze i po polsku (trzeba pamiętać , że nie każdy musi się znać na bezpieczenstwie by używać komputera) Prawda jest taka, że jak sobie samemu nie posprzatasz to masz burdel. W dzisiejszych czasach ciężko zaufać jakiemu kolwiek softowi. Czasem szybciej się dowiaduje o nowych z zagrozeniach z z3s niż virustoolsow xd

    Odpowiedz
    • avatar
      2017.09.21 07:41 Adam

      A czytałeś najnowszy artykuł?

      Odpowiedz
  • avatar
    2017.09.21 11:14 markac

    „Jakim cudem przez prawie miesiąc pozostały niewykryte – czekamy na wyjaśnienie tego fenomenu.”.
    To proste… Płacisz za Code Signing Certificate i Antywirus milczy :D Nie sprawdzałem… Ale wszystko sprowadza się do $$$. Bez tego antywirus krzyczy, oj krzyczy…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Tajemniczy incydent z CCleanerem, Avastem i nieznanymi ofiarami w tle

Komentarze