Verkkorikolliset saastuttivat CCleaner 5.33 version

Haittaohjelma, haittaohjelman poistajaksi naamioituneena

CCleaner, joka on tunnettu ja suosittu työkalu tietokoneen puhdistukseen mainosohjelmista ja muista haittaohjelmista sekä kyvystä pitää prosessit optimoituna, ei onnistunut karkaamaan verkkorikollisilta. Kaikki käyttäjät, jotka latasivat 5.33 version Elokuun 15 ja Syyskuun 12 välillä, ovat vaarassa saada Floxif haittaohjelman.

Yli 2 käyttäjää Yhdysvalloissa, Venäjällä ja Länsi-Euroopassa ovat luultavasti saastuneiden joukossa, koska ohjelma on laajalle levinnyt näillä alueilla ja mailla. Vaikka vain 32-bittiset järjestelmät saastuivat, kaikkia käyttäjiä kehotetaan päivittämään ohjelma viimeisimpään versioon.

Mitä Floxif virus tekee?

IT tutkijat ovat saaneet selville, että Floxif virus kerää tietoja uhrien teknisistä tiedoista ja siirtää ne Command and Control palvelimelle. Cisco Talos tutkijat, jotka löysivät saastuneen version, paljastivat myös sen, että haittaohjelma tekee pyynnön määrättyyn 216.126.225.148 IP-osoitteeseen.

Alussa saastunut versio ei kiinnittänyt epäilyksiä, koska se kirjoitettuun virallisella digitaalisella allekirjoituksella. Siksi haittaohjelmaa toimitettiin väitettynä 5.33 versiona, jonka julkaisija oli Piriform (uhan alkuperäinen kehittäjä; sen omistaa nyt Avast).

Tämän lisäksi, ohjelmassa oleva uhka odotti 601 sekuntia ennen käynnistystä. Tämä tehtiin hiekkalaatikolta välttämiseksi. On kiinnostavaa, että Floxif virus käynnisti itsensä vain järjestelmään, jossa oli järjestelmän valvojan oikeudet.

Latauksen ja päivitysprosessin jälkeen, haittaohjelma etsi ja korvasi CBkdr.dll tiedoston identtisellä, mutta saastuneella versiolla. Tietojen seuraamisen ja niiden lähettämisen lisäksi palvelimelle, tartunta ei näytä mitään muuta outoa käytöstä.

Turvallisuusasiantuntijat epäilevät miten haittaohjelma pääsi Avast haittaohjelman tunnistusjärjestelmän ohi. Jotkut spekuloivat, että rikollinen on ollut yhteydessä sisäpiiriläisen kanssa, jolla on pääsy ohjelmistojen kehitykseen.

Onko CCleaner lataaminen nyt turvallista?

Vaikka 5.33 version asennusohjelmat ovat yhä saatavilla, niin haittaohjelma on poistettu onnistuneesti. Avast on julkaissut on 5.34 version Syyskuun 13.

Vaikka tavallisella käyttäjällä ei ollut mitään mahdollisuutta estää tätä tunkeilijaa, koska työkalu teeskenteli olevansa laillinen versio, he voivat pitää seuraavia neuvoja hyödyllisinä:

• pidä koneellasi muutama eri haittaohjelman tunnistaja ja poistaja
• lataa ne viralliselta sivulta ja asenna uusin versio, heti kun se on saatavilla