CCleaner V5.33 contient un malware
Le package d'installation de la version 5.33/32bits de CCleaner contient un malware (Floxif)
CCleaner est un logiciel de maintenance régulière et de "nettoyage" de PC Windows édité par la société Piriform.
La version 5.33/32bits de CCleaner contiendrait un malware de type "Inventory et client de Botnet".
Cette version 5.33 a été mise en ligne le 15 août 2017, et a été remplacée par une version propre (5.34), le 12 septembre 2017.
Des informations contradictoires circulent sur la méthode permettant de se débarrasser du malware : selon certains, il suffirait d'installer la nouvelle version ( http://www.huffingtonpost.fr/2017/09/18/un-virus-cache-dans-ccleaner-le-logiciel-qui-nettoie-votre-pc_a_23213251/ ), pour d'autres, il faudrait restaurer son système à une date antérieure au 15 août 2017, ou le réinstaller ( http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html?m=1 )
Merci à Karl O. pour cette information ;-)
Communication officielle :
Bulletin du CERT-RENATER (CERTFR-2017-ALE-013) :
BULLETIN D'ALERTE DU CERT-FR
Objet : Présence de code malveillant dans Piriform CCleaner
1 - Risque(s)
• exécution de code arbitraire à distance
2 - Systèmes affectés
• CCleaner v5.33.6162 sur windows
• CCleaner Cloud v1.07.3191 sur windows
3 - Résumé
Le 18 septembre 2017, un représentant de Piriform CCleaner a annoncé que depuis le 15 août 2017,
CCleaner et CCleaner Cloud contenait une portion de code malveillant permettant de télécharger une
porte dérobée sur le poste des utilisateurs.
4 - Contournement provisoire
Dans un billet de blogue (cf, section Documentation), Talos explique le fonctionnement de
l'attaque. Lorsque CCleaner.exe est exécuté, la portion de code malveillante rajoutée par les
attaquants est également lancée. Après une dizaine de minutes, une tentative de connexion est
effectuée pour tenter de télécharger et exécuter une porte dérobée sur le poste de l'utilisateur.
Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence
de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.
En cas de compromission la machine aura communiqué vers l'adresse ip 216.126.225.148_BAD_ ou vers
l'un des domaines suivants :
• ab6d54340c1a[.]com._BAD_
• aba9a949bc1d[.]com._BAD_
• ab2da3d400c20[.]com._BAD_
• ab3520430c23[.]com._BAD_
• ab1c403220c27[.]com._BAD_
• ab1abad1d0c2a[.]com._BAD_
• ab8cee60c2d[.]com._BAD_
• ab1145b758c30[.]com._BAD_
• ab890e964c34[.]com._BAD_
• ab3d685a0c37[.]com._BAD_
• ab70a139cc3a[.]com._BAD_
Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à
un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.
Une autre preuve de compromission est la présence de la clé de registre Windows HKLM\SOFTWARE\
Piriform\Agomo.
L'éditeur Piriform indique ne pas avoir constaté une exécution de la porte dérobée et que
l'infrastructure de contrôle du code malveillant a été démantelée.
Toutefois, le code malveillant inclus avec CCleaner a été signé avec la clé privée de l'éditeur.
Cela indique une probable compromission interne impactant leur chaîne de publication. Une confiance
faible doit être accordée au certificat utilisé par Piriform et tout élément signé par celui-ci
(sha1 : f4bda9efa31ef4a8fa3b6bb0be13862d7b8ed9b0)
5 - Documentation
• Bulletin de sécurité Piriform du 18 septembre 2017
• Billet de blogue Talos
blog.talosintelligence.com/2017/09/avast-distributes-malware.html