就像裡面有第二層一樣。特別兇猛的火箭的第二級。在本週開始思科 Talos Intelligence 的安全研究人員透露,非常受歡迎的 PC「清理」軟體 CCleaner 自 8 月中旬以來就包含了後門。惡意程式碼似乎是在入侵該軟體發行商 Piriform 的網路後被放置在那裡的。強烈建議更新到看似健康且更新的版本。
今天,這些研究人員正在發布一份新文件,其中包含他們正在進行的調查的成果。令人驚訝的是,CCleaner 中不只一個而是兩個惡意「有效負載」。如果說 Piriform 強烈鼓勵其程式的使用者進行新的更新,那麼 Talos Intelligence 研究人員的建議則比這更進一步。
趕快回去吧
“受此攻擊影響的人不應簡單地刪除受影響的 CCleaner 版本或將其更新到最新版本”,他們解釋道。為了什麼 ?因為經過第一層,然後是第二層,地獄可以繼續下降。事實上,受污染的電腦現在可能被兩種以上的惡意軟體污染。
CCleaner 用戶受到影響“應該從備份或系統映像中恢復,以確保您不僅完全刪除了包含後門的 CCleaner 版本,還完全刪除了系統上可能駐留的任何其他惡意軟體”。
換句話說,訊息很明確,您必須回到 8 月 15 日之前以及安裝損壞的更新之前(v 5.33 及後續版本)。如果我們考慮 Pirifom 提供的數據,CCleaner 每週的安裝量將達到 500 萬次。因此,我們可以估計安裝了大約 3000 萬個損壞的版本。因此必須採取預防措施。
僅從 9 月 12 日到 16 日,主要惡意軟體指揮中心資料庫就顯示有超過 70 萬台受感染的機器登入接受命令。另一方面,只有大約 20 台 PC 會收到第二個惡意軟體,而且還是在此期間。
一些污染跡象
對於你們中最擔心的人來說,可以找到一些線索,讓你們知道你們的機器是否受到污染。首先,第二個有效負載特洛伊木馬新增註冊表項。
- HKLM軟體MicrosoftWindowsNT目前版本WbemPerf 01
- HKLM軟體MicrosoftWindows NT目前版本WbemPerf 02
- HKLM軟體MicrosoftWindows NT目前版本WbemPerf 03
- HKLM軟體MicrosoftWindows NT目前版本WbemPerf 04
- HKLM軟體MicrosoftWindows NT目前版本WbemPerfHBP
此外,您還應該在下面找到特定文件的痕跡。
- GeeSetup_x86.dl
- EFACli64.dll(64位元版本木馬)
- TSMSISrv.dll(32位元版本木馬)
- 註冊表中的DLL:
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a - 第二次收費:
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
如果這些元素出現在您的電腦上,您所要做的就是恢復 8 月 15 日之前建立的作業系統備份或映像。
全新規模
發現的第二項指控還表明,該惡意軟體針對的是非常特定的公司,以便從邏輯上竊取他們的敏感資料。因此我們找到了思科、微軟、三星、HTC 甚至索尼的名字。但 Talos Intelligence 表示,這份清單會隨著時間和該惡意軟體的生命週期而不斷變化,該公司指出,數百台依賴政府網域的機器也成為攻擊目標。
這項新資訊進一步讓安全研究人員感到擔憂,因為它指向一個「可能不知名」的參與者,但擁有大量資源。這是一個由國家或大實業家支持的駭客組織嗎? Talos Intelligence並沒有這麼說。只是在他的通訊中指出,在惡意軟體指揮中心的伺服器上找到的文件之一涉及中華人民共和國的時區。
工程師們立即謹慎地澄清,這不足以將攻擊歸咎於中國駭客。明顯地。
來源 :
Talos 情報博客
🔴為了不錯過01net的任何新聞,請關注我們谷歌新聞等WhatsApp。
