Jump to content

CCleaner 5.33.6162 and CCleaner Cloud 1.07.3191 Hackeados


BRISAFRESCA

Recommended Posts

Es muy serio que esto haya pasado, es una de las herramientas mas utilizadas por los usuarios en general, parece que al instalar una de estas dos versiones metían un malware, afecta a las versiones del título, mas info aqui:

 

https://www.ghacks.net/2017/09/18/ccleaner-compromised-better-check-your-pc/

 

http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

Edited by BRISAFRESCA
Link to comment
Share on other sites

@Pon

Que haya sido desde dentro aun no se sabe, pero ha salido una nueva info que indica que el hackeo ocurrió antes de que Avast comprara Piriform.

 

Saludos

 

Brisafresca

 

Quote

July 3 - Evidence suggests hackers breached Piriform's IT systems.
July 18 - Avast decides to buy Piriform, the company behind CCleaner.
August 15 - Piriform, now part of Avast, releases CCleaner 5.33. The 32-bit version (CCleaner 5.33.6162) included the Floxif trojan.
August 20 and 21 - MorphiSec's security product detects first instances of malicious activity (malware was collecting user credentials and sending it to a remote server), but MorphiSec does not notify Avast.
August 24 - Piriform releases CCleaner Cloud v1.07.3191 that also includes the Floxif trojan.
September 11 - MorphiSec customers share detection logs detailing CCleaner-related malicious activity with the company's engineers.
September 12 - MorphiSec notifies Avast and Cisco of the suspicious CCleaner activity. Avast starts its own investigation and also notifies US law enforcement. Cisco also starts its own investigation.
September 14 - Cisco notifies Avast of its own findings.
September ?? - Cisco had registered, in the meantime, all the domains that the malware would have used in the future to determine and calculate the C&C server IP address.
September 15 - Following a collaboration between Avast and law enforcement, the malware's C&C server was taken down.
September 15 - Avast releases CCleaner 5.34 and CCleaner Cloud 1.07.3214 that remove the Floxif malware.
September 18 - CCleaner incident becomes public following Cisco and MorphiSec reports.

 

https://www.bleepingcomputer.com/news/security/avast-clarifies-details-surrounding-ccleaner-malware-incident/

Link to comment
Share on other sites

Pues esto no acaba aqui, han descubierto que el ataque era mas sofisticado, parece que la primera amenaza era de pega, el instalador trae una segunda amenaza otro trojano, por lo que dicen, al instalar hay una libreria que detecta si tu sistema operativo es de 32 o 64 bits pues en ese instante se instala el troyano, asi que cuidadin, ya no es suficiente el instalar la nueva version si alguien se infectó.

 

Para comprobar si alguien está infectado con la segunda amenaza hay que mirar de nuevo el registro de windows ''regedit'':

 

Quote

Identifying Stage 2 Payloads

The following information helps identify if a stage 2 payload has been planted on the system.

Registry Keys:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

 

https://www.ghacks.net/2017/09/21/ccleaner-malware-second-payload-discovered/

 

@Pepe.

 

Revisa porque aun no has escapado. Revisa los dos apartados del registro de windows para cerciorarte no estás infectado, la info la tienes en este tema.

 

Saludos

 

Brisafresca

Edited by BRISAFRESCA
Link to comment
Share on other sites

El hace 4 horas, BRISAFRESCA dijo:

Pues esto no acaba aqui, han descubierto que el ataque era mas sofisticado, parece que la primera amenaza era de pega, el instalador trae una segunda amenaza otro trojano, por lo que dicen, al instalar hay una libreria que detecta si tu sistema operativo es de 32 o 64 bits pues en ese instante se instala el troyano, asi que cuidadin, ya no es suficiente el instalar la nueva version si alguien se infectó.

 

Para comprobar si alguien está infectado con la segunda amenaza hay que mirar de nuevo el registro de windows ''regedit'':

 

 

https://www.ghacks.net/2017/09/21/ccleaner-malware-second-payload-discovered/

 

@Pepe.

 

Revisa porque aun no has escapado. Revisa los dos apartados del registro de windows para cerciorarte no estás infectado, la info la tienes en este tema.

 

Saludos

 

Brisafresca

 

Que significan los números rojos ?? Como puedo saber que no está infectado ?

Lo eliminé con Malwarebyte y lo desinstalé. Después baje la última versión y la instalé. 

El enlace está en inglés y no lo entiendo.

Link to comment
Share on other sites

@Ce_zeta

Yo también por los pelos me salvé :lol:

 

7 hours ago, Pepe. said:

 

Que significan los números rojos ?? Como puedo saber que no está infectado ?

Lo eliminé con Malwarebyte y lo desinstalé. Después baje la última versión y la instalé. 

El enlace está en inglés y no lo entiendo.

 

Pero usa Google traductor hombre de Dios:whistling:

 

Los números rojos son subcarpetas de la carpeta ''WbemPerf'' que muestras arriba en la captura, si no las tienes en el registro de windows, ''regedit'' no has sido infectado con la segunda amenaza que traía el ccleaner, o eso es lo que dicen los de Piriform, a ver si nos saltan con una nueva sorpresa.....

 

Además de esa comprobación en el mismo lugar, regedit, comprueba:

 

Quote

The malicious payload creates the Registry key HKey_Local_Machine\SOFTWARE\Piriform\Agomo: and used it to store various information.

 

Si dentro de la carpeta piriform no tienes la carpeta ''Agomo'' no tienes de que preocuparte.

 

Haz hecho bien en utilizar Malwarebytes, ¿que version tienes? ¿la gratuita o la de pago?

 

Yo os recomiendo que carguéis el windows en modo seguro con conexion a internet y hacerle un análisis completo al sistema con el antivirus que tengáis, ( si no tenéis utilizar versiones de prueba que funcional al 100% durante un preriodo de tiempo concreto, 1 mes normalmente,, ESET, NORTON, kaspersky, o sus versiones online), y otras herramientas que se pueden encontarr en la red como:

 

(Antes de entrar en modo seguro actualizar las bases de datos de las herramientas)

 

AdwCleaner

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

RKill

https://www.bleepingcomputer.com/download/rkill/

 

Malwarebytes <--------- la version de pago protege mas que un simple antivirus.

https://es.malwarebytes.com/

 

SUPERAntiSpyware

http://www.superantispyware.com/

Herramienta de eliminación de software malintencionado de Windows

https://support.microsoft.com/es-es/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo

Edited by BRISAFRESCA
Link to comment
Share on other sites

El hace 8 minutos, BRISAFRESCA dijo:

@Ce_zeta

Yo también por los pelos me salvé :lol:

 

 

Pero usa Google traductor hombre de Dios:whistling:

 

Los números rojos son subcarpetas de la carpeta ''WbemPerf'' que muestras arriba en la captura, si no las tienes en el registro de windows, ''regedit'' no has sido infectado con la segunda amenaza que traía el ccleaner, o eso es lo que dicen los de Piriform, a ver si nos saltan con una nueva sorpresa.....

 

Además de esa comprobación en el mismo lugar, regedit, comprueba:

 

 

Si dentro de la carpeta piriform no tienes la carpeta ''Agomo'' no tienes de que preocuparte.

 

Haz hecho bien en utilizar Malwarebytes, ¿que version tienes? ¿la gratuita o la de pago?

 

Yo os recomiendo que carguéis el windows en modo seguro con conexion a internet y hacerle un análisis completo al sistema con el antivirus que tengáis, ( si no tenéis utilizar versiones de prueba que funcional al 100% durante un preriodo de tiempo concreto, 1 mes normalmente,, ESET, NORTON, kaspersky, o sus versiones online), y otras herramientas que se pueden encontarr en la red como:

 

(Antes de entrar en modo seguro actualizar las bases de datos de las herramientas)

 

AdwCleaner

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

RKill

https://www.bleepingcomputer.com/download/rkill/

 

Malwarebytes <--------- la version de pago protege mas que un simple antivirus.

https://es.malwarebytes.com/

 

SUPERAntiSpyware

http://www.superantispyware.com/

Herramienta de eliminación de software malintencionado de Windows

https://support.microsoft.com/es-es/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo

 

 

Nada, bajaros la versión gratuita de Malwarebyte y analizar el PC. Os lo dejará limpio como una patena.

Link to comment
Share on other sites

El hace 44 minutos, BRISAFRESCA dijo:

@Pepe.

 

Pero cuidado que pasado el tiempo de prueba actua como un antimalware simple.

 

En el foro de malwarebytes hay versiones beta gratuitas standalone del Anti ramsonware y anti exploit, ambos incluidos en la versiós de pago de malwarebytes

 

https://forums.malwarebytes.com/forum/70-beta-testing-program/

 

 

Yo tengo la versión free hace mucho tiempo y no caduca.

Link to comment
Share on other sites

@Pepe.

 

No caduca el programa, caducan sus capas de protección, al pasar los 15 dias de prueba solo te quedas con la antimalware y antirookit, muchos ofrecen lo mismo, por eso es recomendable usar la version de pago o como alternativa gratuita las betas del antiramsonware y antiexploit standalone que vienen incluidas en el malwarebytes de pago.

 

Saludos

 

Brisafresca

 

EDITO: las versiones standalone no son compatibles con el malwarebytes 3 ya instalado en el PC, o se tiene uno o el otro.

Edited by BRISAFRESCA
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

Some pretty cookies are used in this website