就像里面有第二层一样。特别凶猛的火箭的第二级。在本周开始思科 Talos Intelligence 的安全研究人员透露,非常流行的 PC“清理”软件 CCleaner 自 8 月中旬以来就包含了后门。恶意代码似乎是在入侵该软件发行商 Piriform 的网络后被放置在那里的。强烈建议更新到看似健康且更新的版本。
今天,这些研究人员正在发布一份新文件,其中包含他们正在进行的调查的成果。令人惊讶的是,CCleaner 中不止一个而是两个恶意“有效负载”。如果说 Piriform 强烈鼓励其程序的用户进行新的更新,那么 Talos Intelligence 研究人员的建议则比这更进一步。
赶紧回去吧
“受此攻击影响的人不应简单地删除受影响的 CCleaner 版本或将其更新到最新版本”,他们解释道。为了什么 ?因为经过第一层,然后是第二层,地狱可以继续下降。事实上,受污染的计算机现在可能被两种以上的恶意软件污染。
CCleaner 用户受到影响“应该从备份或系统映像中恢复,以确保您不仅完全删除了包含后门的 CCleaner 版本,还完全删除了系统上可能驻留的任何其他恶意软件”。
换句话说,消息很明确,您必须回到 8 月 15 日之前以及安装损坏的更新之前(v 5.33 及后续版本)。如果我们考虑 Pirifom 提供的数据,CCleaner 每周的安装量将达到 500 万次。因此,我们可以估计安装了大约 3000 万个损坏的版本。因此必须采取预防措施。
仅从 9 月 12 日到 16 日,主要恶意软件指挥中心数据库就显示有超过 700,000 台受感染的机器登录接受命令。另一方面,只有大约 20 台 PC 会收到第二个恶意软件,而且还是在此期间。
一些污染迹象
对于你们中最担心的人来说,可以找到一些线索,让您知道您的机器是否受到污染。首先,第二个有效负载特洛伊木马添加注册表项。
- HKLM软件MicrosoftWindowsNT当前版本WbemPerf 01
- HKLM软件MicrosoftWindows NT当前版本WbemPerf 02
- HKLM软件MicrosoftWindows NT当前版本WbemPerf 03
- HKLM软件MicrosoftWindows NT当前版本WbemPerf 04
- HKLM软件MicrosoftWindows NT当前版本WbemPerfHBP
此外,您还应该在下面找到特定文件的踪迹。
- GeeSetup_x86.dl
- EFACli64.dll(64位版本木马)
- TSMSISrv.dll(32位版本木马)
- 注册表中的DLL:
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a - 第二次收费:
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
如果这些元素出现在您的计算机上,您所要做的就是恢复 8 月 15 日之前建立的操作系统备份或映像。
全新规模
发现的第二项指控还表明,该恶意软件针对的是非常特定的公司,以便从逻辑上窃取他们的敏感数据。因此我们找到了思科、微软、三星、HTC 甚至索尼的名字。但 Talos Intelligence 表示,这份列表会随着时间和该恶意软件的生命周期而不断变化,该公司指出,数百台依赖政府域名的机器也成为攻击目标。
这一新信息进一步让安全研究人员感到担忧,因为它指向一个“可能不知名”的参与者,但拥有大量资源。这是一个由国家或大实业家支持的黑客组织吗? Talos Intelligence并没有这么说。只是在他的通讯中指出,在恶意软件指挥中心的服务器上找到的文件之一涉及中华人民共和国的时区。
工程师们立即谨慎地澄清,这不足以将这次攻击归咎于中国黑客。明显地。
来源 :
Talos 情报博客
