BRISAFRESCA Posted September 18, 2017 Report Share Posted September 18, 2017 (edited) Es muy serio que esto haya pasado, es una de las herramientas mas utilizadas por los usuarios en general, parece que al instalar una de estas dos versiones metían un malware, afecta a las versiones del título, mas info aqui: https://www.ghacks.net/2017/09/18/ccleaner-compromised-better-check-your-pc/ http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users Edited September 18, 2017 by BRISAFRESCA Quote Link to comment Share on other sites More sharing options...
Pon Posted September 19, 2017 Report Share Posted September 19, 2017 (edited) Alucinante que alguien desde dentro se haya atrevido a hacer eso...!!!! Edited September 19, 2017 by Pon Quote Link to comment Share on other sites More sharing options...
BRISAFRESCA Posted September 19, 2017 Author Report Share Posted September 19, 2017 @Pon Que haya sido desde dentro aun no se sabe, pero ha salido una nueva info que indica que el hackeo ocurrió antes de que Avast comprara Piriform. Saludos Brisafresca Quote July 3 - Evidence suggests hackers breached Piriform's IT systems.July 18 - Avast decides to buy Piriform, the company behind CCleaner.August 15 - Piriform, now part of Avast, releases CCleaner 5.33. The 32-bit version (CCleaner 5.33.6162) included the Floxif trojan.August 20 and 21 - MorphiSec's security product detects first instances of malicious activity (malware was collecting user credentials and sending it to a remote server), but MorphiSec does not notify Avast.August 24 - Piriform releases CCleaner Cloud v1.07.3191 that also includes the Floxif trojan.September 11 - MorphiSec customers share detection logs detailing CCleaner-related malicious activity with the company's engineers.September 12 - MorphiSec notifies Avast and Cisco of the suspicious CCleaner activity. Avast starts its own investigation and also notifies US law enforcement. Cisco also starts its own investigation.September 14 - Cisco notifies Avast of its own findings.September ?? - Cisco had registered, in the meantime, all the domains that the malware would have used in the future to determine and calculate the C&C server IP address.September 15 - Following a collaboration between Avast and law enforcement, the malware's C&C server was taken down.September 15 - Avast releases CCleaner 5.34 and CCleaner Cloud 1.07.3214 that remove the Floxif malware.September 18 - CCleaner incident becomes public following Cisco and MorphiSec reports. https://www.bleepingcomputer.com/news/security/avast-clarifies-details-surrounding-ccleaner-malware-incident/ Quote Link to comment Share on other sites More sharing options...
Pepe. Posted September 19, 2017 Report Share Posted September 19, 2017 (edited) Me lo ha detectado y eliminado el Malwarebyte. El Ccleaner es muy bueno, espero que no pase más. Edited September 19, 2017 by Pepe. Quote Link to comment Share on other sites More sharing options...
BRISAFRESCA Posted September 21, 2017 Author Report Share Posted September 21, 2017 (edited) Pues esto no acaba aqui, han descubierto que el ataque era mas sofisticado, parece que la primera amenaza era de pega, el instalador trae una segunda amenaza otro trojano, por lo que dicen, al instalar hay una libreria que detecta si tu sistema operativo es de 32 o 64 bits pues en ese instante se instala el troyano, asi que cuidadin, ya no es suficiente el instalar la nueva version si alguien se infectó. Para comprobar si alguien está infectado con la segunda amenaza hay que mirar de nuevo el registro de windows ''regedit'': Quote Identifying Stage 2 Payloads The following information helps identify if a stage 2 payload has been planted on the system. Registry Keys: HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP https://www.ghacks.net/2017/09/21/ccleaner-malware-second-payload-discovered/ @Pepe. Revisa porque aun no has escapado. Revisa los dos apartados del registro de windows para cerciorarte no estás infectado, la info la tienes en este tema. Saludos Brisafresca Edited September 21, 2017 by BRISAFRESCA Quote Link to comment Share on other sites More sharing options...
Ce_zeta Posted September 21, 2017 Report Share Posted September 21, 2017 uff me libre, versión 5.31.6105 Quote Link to comment Share on other sites More sharing options...
Pepe. Posted September 21, 2017 Report Share Posted September 21, 2017 El hace 4 horas, BRISAFRESCA dijo: Pues esto no acaba aqui, han descubierto que el ataque era mas sofisticado, parece que la primera amenaza era de pega, el instalador trae una segunda amenaza otro trojano, por lo que dicen, al instalar hay una libreria que detecta si tu sistema operativo es de 32 o 64 bits pues en ese instante se instala el troyano, asi que cuidadin, ya no es suficiente el instalar la nueva version si alguien se infectó. Para comprobar si alguien está infectado con la segunda amenaza hay que mirar de nuevo el registro de windows ''regedit'': https://www.ghacks.net/2017/09/21/ccleaner-malware-second-payload-discovered/ @Pepe. Revisa porque aun no has escapado. Revisa los dos apartados del registro de windows para cerciorarte no estás infectado, la info la tienes en este tema. Saludos Brisafresca Que significan los números rojos ?? Como puedo saber que no está infectado ? Lo eliminé con Malwarebyte y lo desinstalé. Después baje la última versión y la instalé. El enlace está en inglés y no lo entiendo. Quote Link to comment Share on other sites More sharing options...
Pepe. Posted September 21, 2017 Report Share Posted September 21, 2017 He estado investigando y me sale ésto : Quote Link to comment Share on other sites More sharing options...
BRISAFRESCA Posted September 21, 2017 Author Report Share Posted September 21, 2017 (edited) @Ce_zeta Yo también por los pelos me salvé 7 hours ago, Pepe. said: Que significan los números rojos ?? Como puedo saber que no está infectado ? Lo eliminé con Malwarebyte y lo desinstalé. Después baje la última versión y la instalé. El enlace está en inglés y no lo entiendo. Pero usa Google traductor hombre de Dios Los números rojos son subcarpetas de la carpeta ''WbemPerf'' que muestras arriba en la captura, si no las tienes en el registro de windows, ''regedit'' no has sido infectado con la segunda amenaza que traía el ccleaner, o eso es lo que dicen los de Piriform, a ver si nos saltan con una nueva sorpresa..... Además de esa comprobación en el mismo lugar, regedit, comprueba: Quote The malicious payload creates the Registry key HKey_Local_Machine\SOFTWARE\Piriform\Agomo: and used it to store various information. Si dentro de la carpeta piriform no tienes la carpeta ''Agomo'' no tienes de que preocuparte. Haz hecho bien en utilizar Malwarebytes, ¿que version tienes? ¿la gratuita o la de pago? Yo os recomiendo que carguéis el windows en modo seguro con conexion a internet y hacerle un análisis completo al sistema con el antivirus que tengáis, ( si no tenéis utilizar versiones de prueba que funcional al 100% durante un preriodo de tiempo concreto, 1 mes normalmente,, ESET, NORTON, kaspersky, o sus versiones online), y otras herramientas que se pueden encontarr en la red como: (Antes de entrar en modo seguro actualizar las bases de datos de las herramientas) AdwCleaner https://toolslib.net/downloads/viewdownload/1-adwcleaner/ RKill https://www.bleepingcomputer.com/download/rkill/ Malwarebytes <--------- la version de pago protege mas que un simple antivirus. https://es.malwarebytes.com/ SUPERAntiSpyware http://www.superantispyware.com/ Herramienta de eliminación de software malintencionado de Windows https://support.microsoft.com/es-es/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo Edited September 21, 2017 by BRISAFRESCA Quote Link to comment Share on other sites More sharing options...
Pepe. Posted September 21, 2017 Report Share Posted September 21, 2017 El hace 8 minutos, BRISAFRESCA dijo: @Ce_zeta Yo también por los pelos me salvé Pero usa Google traductor hombre de Dios Los números rojos son subcarpetas de la carpeta ''WbemPerf'' que muestras arriba en la captura, si no las tienes en el registro de windows, ''regedit'' no has sido infectado con la segunda amenaza que traía el ccleaner, o eso es lo que dicen los de Piriform, a ver si nos saltan con una nueva sorpresa..... Además de esa comprobación en el mismo lugar, regedit, comprueba: Si dentro de la carpeta piriform no tienes la carpeta ''Agomo'' no tienes de que preocuparte. Haz hecho bien en utilizar Malwarebytes, ¿que version tienes? ¿la gratuita o la de pago? Yo os recomiendo que carguéis el windows en modo seguro con conexion a internet y hacerle un análisis completo al sistema con el antivirus que tengáis, ( si no tenéis utilizar versiones de prueba que funcional al 100% durante un preriodo de tiempo concreto, 1 mes normalmente,, ESET, NORTON, kaspersky, o sus versiones online), y otras herramientas que se pueden encontarr en la red como: (Antes de entrar en modo seguro actualizar las bases de datos de las herramientas) AdwCleaner https://toolslib.net/downloads/viewdownload/1-adwcleaner/ RKill https://www.bleepingcomputer.com/download/rkill/ Malwarebytes <--------- la version de pago protege mas que un simple antivirus. https://es.malwarebytes.com/ SUPERAntiSpyware http://www.superantispyware.com/ Herramienta de eliminación de software malintencionado de Windows https://support.microsoft.com/es-es/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo Nada, bajaros la versión gratuita de Malwarebyte y analizar el PC. Os lo dejará limpio como una patena. Quote Link to comment Share on other sites More sharing options...
BRISAFRESCA Posted September 21, 2017 Author Report Share Posted September 21, 2017 @Pepe. Pero cuidado que pasado el tiempo de prueba actua como un antimalware simple. En el foro de malwarebytes hay versiones beta gratuitas standalone del Anti ramsonware y anti exploit, ambos incluidos en la versiós de pago de malwarebytes https://forums.malwarebytes.com/forum/70-beta-testing-program/ Quote Link to comment Share on other sites More sharing options...
Pepe. Posted September 21, 2017 Report Share Posted September 21, 2017 El hace 44 minutos, BRISAFRESCA dijo: @Pepe. Pero cuidado que pasado el tiempo de prueba actua como un antimalware simple. En el foro de malwarebytes hay versiones beta gratuitas standalone del Anti ramsonware y anti exploit, ambos incluidos en la versiós de pago de malwarebytes https://forums.malwarebytes.com/forum/70-beta-testing-program/ Yo tengo la versión free hace mucho tiempo y no caduca. Quote Link to comment Share on other sites More sharing options...
BRISAFRESCA Posted September 21, 2017 Author Report Share Posted September 21, 2017 (edited) @Pepe. No caduca el programa, caducan sus capas de protección, al pasar los 15 dias de prueba solo te quedas con la antimalware y antirookit, muchos ofrecen lo mismo, por eso es recomendable usar la version de pago o como alternativa gratuita las betas del antiramsonware y antiexploit standalone que vienen incluidas en el malwarebytes de pago. Saludos Brisafresca EDITO: las versiones standalone no son compatibles con el malwarebytes 3 ya instalado en el PC, o se tiene uno o el otro. Edited September 21, 2017 by BRISAFRESCA Quote Link to comment Share on other sites More sharing options...
Pepe. Posted September 21, 2017 Report Share Posted September 21, 2017 Antirasonware gratis : https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/ Quote Link to comment Share on other sites More sharing options...
BRISAFRESCA Posted September 22, 2017 Author Report Share Posted September 22, 2017 Ese mismo, la version standalone del anti ramsonware Por otro lado un comunicado de AVAST: https://blog.avast.com/es/actualizacion-sobre-el-incidente-de-seguridad-de-ccleaner-5.33.6162 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.