A fertőzött CCleaner sztori

A népszerű rendszertunningoló alkalmazást, a CCleanert egy hónapon keresztül rejtett utassal együtt telepítették számítógépükre a felhasználók. A még nem bizonyított gyanú szerint a legnagyobb technológiai cégek elleni ipari kémkedésre akarták használni a fertőzött alkalmazást.

Azok, akik augusztus 15. és szeptember 12. között töltötték le és telepítették gépükre a CCleaner népszerű rendszertunningoló alkalmazást, egy potyautast is telepítettek gépükre. A hivatalos oldalról letölthető telepítőcsomag egy kártevőt (Win32.Backdoor.Forpivast.A)  vitt magával a számítógépre. A CCleaner 5.3-mas verziója érintett az ügyben, azóta már megjelent a 5.3.5-ös változat is, amely nem tartalmazza a kártevőt. A G DATA vírusvédelmi szoftvereit használók számítógépe védett volt a kártevő ellen.

40 kiszemelt számítógép

A potyautasos CCleaner 2,7 millió számítógépet fertőzött meg, ami, ahhoz képest, hogy az alkalmazást közel két milliárdan használják világszerte eddig összesen több mint kétmilliárd alkalommal töltötték le, nem is olyan nagy szám. Azonban a valóban megfertőzött számítógépek száma mindössze 40 körüli, és mind óriási technológiai cégek hálózatából kerülnek ki. A támadókat célzottan a Microsoft, HTC, Vodafone, Fujitsu, Samsung, Sony számítógépes hálózata érdekelte csupán. A fennmaradó többmillió számítógépet csak megvizsgálta az alkalmazás, és elküldte a központba az adatait. A technológiai cégek hálózatába tartozó számítógépekre azonban egy másik csomagot is letöltött. Hogy ez pontosan mit is csinált a számítógépeken, még vizsgálják a szakértők.

A történetben rendkívül aggasztó dolog, hogy a támadóknak sikerült egy hivatalosan aláírt, tanúsítvánnyal ellátott programba csempészniük kártevőiket. Ezeket a tanúsítványokat azért állítják ki, hogy megnyugtassák a felhasználókat, hogy az alkalmazás egy megbízható fejlesztőtől érkezik. Elképzelhető, hogy ebben az esetben valahogy ellopták a tanúsítványt, és a fertőzött alkalmazást aláírták vele. Aki hasonló tanúsítvány birtokában van, egy nagyon széles, gyanútlan közönséget képes elérni – az egyedüli védekezés, ha fejlett és frissített vírusvédelmi szoftver védi gépünket.

Még mindig folyik a nyomozás

Újdonságot jelent a támadás forgatókönyve: a támadók több millió gépre jutottak be, ezekből választották ki azt a 40 darabot, amelyek az IP címük alapján a nagy technológiai cégekhez voltak köthetőek. Csak ezeket fertőzték meg egy második, jóval összetettebb kártevővel. Ez a célzott támadás arra enged következtetni, hogy valószínűleg ipari kémkedésre szerették volna használni (vagy használták is) a kártevőt. A nyomozás az ügyben még nem zárult le.

Forrás: Avast

15 Comments

  1. Mi az a “CCleaner”?? 🙂

  2. Bartók Miklós szerint:

    Nekem más nemzetmözileg elismert vírusirtóm volt, de bebuktam 2 hét mentést mert nem fogott meg egy férget. Azóta van a pc supportosok javaslatára GData és minden oké a gépemen! És ez a poszt nem azért jött létre hogy kedvezményt kapjak, vagy esetleg közöm lenne a cévhez! Üdv miki

  3. Zoltán Gál szerint:

    Jó kis program ez, manuálisan kell beállitani és a vírusírtót pedig használni. Lassan nincs olyan program, amit ne lehetne fertőzni. Ezért kell védelezni.

  4. Kliegl László szerint:

    Had kérdezzem meg, a portable verzióval is voltak gondok?

  5. Győri Zsolt szerint:

    Meg kell venni 15k ért egy smart security-t 1250/hó és nem kell ilyen szarokat fel tenni.

  6. Varga István szerint:

    A CCleaner egy a kevés, normálisan működő takarító közül, ami valóban azt csinálja, ami a neve. Egy korszerű, SSD-s gépen, Windows 10 mellett már nem biztos, hogy van létjogosultsága, de régebbi gépeken bizony van. Persze nem folyamatosan a háttérben futva, csak automatikusan, egyszer futtatva, pl. rendszerindításkor. Na meg persze nem alapbeállításon hagyva…

    …és emlékezzünk pl. a Mac-es Transmission-re, ahol egy ideig fertőzött volt a hivatalos oldalról letölthető program. Előfordulhat akárhol ilyesmi.

  7. Szabó János szerint:

    A tipikus felesleges programok egyike…

  8. Schiff Károly szerint:

    Nekem a Malwarebytes talált 09,19-án egy Trojan. Floxif állományt az 533 as. exe-ben….

  9. Attila Sári szerint:

    Sose volt megbízható szerintem, így ne is csodálkozzon senki.

  10. József Solymosi szerint:

    Így jártam én is..

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük