พบ CCleaner Malware เพย์โหลดที่สอง

• หมวดหมู่: ความปลอดภัย

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

รายงานใหม่โดย Talos Group ของ Cisco แสดงให้เห็น ว่าการแฮ็ก CCleaner มีความซับซ้อนมากกว่าที่คิดไว้ในตอนแรก นักวิจัยพบหลักฐานของน้ำหนักบรรทุกที่สองในระหว่างการวิเคราะห์มัลแวร์ซึ่งกำหนดเป้าหมายไปยังกลุ่มที่เฉพาะเจาะจงตามโดเมน

วันที่ 18 กันยายน 2560 รายงาน Piriform ว่าโครงสร้างพื้นฐานของ บริษัท แจกจ่าย CCleaner ซอฟต์แวร์ทำความสะอาดไฟล์เวอร์ชันที่เป็นอันตรายเป็นเวลาประมาณหนึ่งเดือน

โครงสร้างพื้นฐานของ บริษัท ถูกบุกรุกและผู้ใช้ที่ดาวน์โหลด CCleaner เวอร์ชัน 5.33 จากเว็บไซต์หรือใช้การอัปเดตอัตโนมัติเพื่อติดตั้งได้รับเวอร์ชันที่ติดไวรัสในระบบ

เราได้พูดถึงวิธีการในการระบุว่ามีการติดตั้งเวอร์ชันที่ติดไวรัสในระบบหรือไม่ อาจเป็นตัวบ่งชี้ที่ดีที่สุดนอกเหนือจากการตรวจสอบเวอร์ชันของ CCleaner คือการตรวจสอบการมีอยู่ของคีย์รีจิสทรีภายใต้ HKLM SOFTWARE Piriform Agomo

Piriform ระบุได้อย่างรวดเร็วว่าผู้ใช้สามารถแก้ไขปัญหาได้โดยการอัปเดตเป็นไฟล์ CCleaner เวอร์ชันที่ไม่มีมัลแวร์ .

รายงานฉบับใหม่ชี้ให้เห็นว่าอาจไม่เพียงพอ

Talos Group พบหลักฐานว่าการโจมตีมีความซับซ้อนมากขึ้นเนื่องจากมีการกำหนดเป้าหมายไปยังรายการโดเมนเฉพาะที่มีน้ำหนักบรรทุกที่สอง

• singtel.corp.root
• htcgroup.corp
• Samsung-breda
• ซัมซุง
• samsung.sepm
• samsung.sk
• jp.sony.com
• am.sony.com
• gg.gauselmann.com
• vmware.com
• ger.corp.intel.com
• amr.corp.intel.com
• ntdev.corp.microsoft.com
• cisco.com
• uk.pri.o2.com
• vf-es.internal.vodafone.com
• Linksys
• apo.epson.net
• msi.com.tw
• infoview2u.dvrdns.org
• dfw01.corp.akamai.com
• hq.gmail.com
• dlink.com
• test.com

นักวิจัยแนะนำว่าผู้โจมตีเกิดขึ้นหลังจากทรัพย์สินทางปัญญาตามรายชื่อโดเมนที่เป็นของ บริษัท เทคโนโลยีชั้นสูง

ที่น่าสนใจคืออาร์เรย์ที่ระบุมีโดเมนของ Cisco (cisco.com) พร้อมกับ บริษัท เทคโนโลยีรายละเอียดสูงอื่น ๆ สิ่งนี้จะแนะนำนักแสดงที่มุ่งเน้นมากหลังจากทรัพย์สินทางปัญญาที่มีค่า

Talos Group แนะนำให้กู้คืนระบบคอมพิวเตอร์โดยใช้ข้อมูลสำรองที่สร้างขึ้นก่อนการติดไวรัส หลักฐานใหม่ช่วยตอกย้ำเรื่องนี้และนักวิจัยแนะนำอย่างยิ่งว่าอาจไม่เพียงพอที่จะอัปเดต CCleaner เพื่อกำจัดมัลแวร์

การค้นพบเหล่านี้ยังสนับสนุนและเสริมสร้างคำแนะนำก่อนหน้านี้ของเราว่าผู้ที่ได้รับผลกระทบจากการโจมตีของซัพพลายเชนนี้ไม่ควรเพียงแค่ลบ CCleaner เวอร์ชันที่ได้รับผลกระทบหรืออัปเดตเป็นเวอร์ชันล่าสุดเท่านั้น แต่ควรกู้คืนจากระบบสำรองข้อมูลหรือ reimage เพื่อให้แน่ใจว่าได้ลบออกทั้งหมดไม่เพียง CCleaner เวอร์ชัน backdoored แต่ยังรวมถึงมัลแวร์อื่น ๆ ที่อาจอาศัยอยู่ในระบบ

ตัวติดตั้งขั้นที่ 2 คือ GeeSetup_x86.dll ตรวจสอบเวอร์ชันของระบบปฏิบัติการและวางโทรจันเวอร์ชัน 32 บิตหรือ 64 บิตบนระบบตามการตรวจสอบ

โทรจัน 32 บิตคือ TSMSISrv.dll โทรจัน 64 บิตคือ EFACli64.dll

การระบุน้ำหนักบรรทุกขั้นที่ 2

ข้อมูลต่อไปนี้ช่วยระบุว่ามีการวางเพย์โหลดขั้นที่ 2 บนระบบหรือไม่

คีย์รีจิสทรี:

• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 001
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 002
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 003
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf 004
• HKLM Software Microsoft Windows NT CurrentVersion WbemPerf HBP

ไฟล์:

• GeeSetup_x86.dll (แฮช: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83)
• EFACli64.dll (แฮช: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f)
• TSMSISrv.dll (แฮช: 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
• DLL ใน Registry: f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
• ขั้นตอนที่ 2 น้ำหนักบรรทุก: dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83