Napad su opisali istraživači u tvrtki Cisco Talos: "legitimna potpisana verzija CCleanera 5.33., "Također sadrži višestupanjski zlonamjerni softver koji je vozio na vrhu instalacije CCleanera." CCleanerova matična tvrtka Piriform (koju je nedavno kupila strašna antivirusna tvrtka Avast) ubrzo je priznala problem.
Budući da CCleaner tvrdi da ima milijune preuzimanja tjedno, to je potencijalno ozbiljan problem.
Što čini zlonamjerni softver?
Zlonamjerni softver nije aktivno štetio sustavima, ali je šifrirao i prikupljao informacije koje bi mogle koristiti za štetu vašeg sustava u budućnosti. Konkretno, prema Piriformu, stvorio je jedinstveni identifikator za računalo i prikupio:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Možete pročitati više tehničkih informacija o napadu na blog Cisco Talos i na Piriformovom blogu.
Jesam li to učinio?
Srećom, izgleda da je ovaj zlonamjerni softver utjecao samo na određeni podskup korisnika CCleanera. Konkretno, to je utjecalo:
- Korisnici koji izvode 32-bitnu verziju aplikacije (ne 64-bitnu verziju)
- Korisnici koji izvode verziju 5.33.6162 CCleaner ili CCleaner Cloud 1.07.3191, objavljeni 15. kolovoza 2017.
Budući da mnogi korisnici vjerojatno koriste 64-bitnu verziju aplikacije, a CCleaner Free se ne ažurira automatski, to je dobra vijest za puno ljudi.
(ažuriranje: Nekoliko dana nakon prekida ove vijesti otkriveno je drugo opterećenje koje utječe na 64-bitne korisnike - no to je bio ciljani napad na tehnološke tvrtke, pa je vjerojatno da je većina korisnika kućanstva bila pogođena.)
Ako ste na 32-bitnoj verziji sustava Windows i mislite da ste preuzeli CCleaner tijekom pogođenog vremenskog okvira, evo kako provjeriti koju verziju imate. Otvorite CCleaner i pogledajte u gornjem lijevom kutu prozora - trebali biste vidjeti broj verzije ispod naziva programa.
HKLMSOFTWAREPiriform
i pogledajte postoji li ključ s oznakom
Agomo:MUID
Ako taj ključ postoji, to znači da ste imali zaraženi softver na vašem sustavu u jednom trenutku.)
Što da napravim?
Iako nije otkriven ništa štetno, Cisco Talos preporučuje vraćanje sustava u stanje prije 15. kolovoza 2017. iz sigurnosne kopije ako ste pogođeni. Vjerojatno biste trebali pokrenuti antivirusni i MalwareByts skeniranje na vašem sustavu i sigurnosnim kopijama kako bi se osiguralo da nema zlonamjernih programa.
Alternativno, kažu, možete ponovo instalirati Windows u potpunosti - da, to je pomalo nuklearna opcija, ali to je jedini način da u potpunosti znate da je vaš sustav čist nakon takvog događaja.
