ACTUALITES

Certaines versions de CCleaner sont infectées !

Certaines versions de Ccleaner sont infectées !

La tuile ironique, certaines versions récentes de Ccleaner, racheté cet été par Avast, ont été infectées ! Je vous dis si vous êtes concernés et si c'est le cas comment désinfecter votre ordinateur.

Si vous avez téléchargé Ccleaner ou Ccleaner Cloud entre le 15 Août et le 12 septembre 2017, vous avez été infectés par un virus qui collecte des données.

Des pirates auraient installé un outil d'administration à distance dans l'installateur de ces versions.

On ne sait pas à ce stade si l’attaque venue de l'extérieur a bénéficié d'une complicité interne chez l’Éditeur.

Certaines sources disent que seule la version 32 bits serait concernée, mais bon, par précaution, quel que soit votre Système, si vous utilisez actuellement la version 5.33.6162 de CCleaner ou la 1.07.3191 de CCleaner Cloud, vous devez la supprimer immédiatement.

Piriform, l'Editeur du logiciel, nous nous dit que la mise à jour vers la version la plus récente supprime le code malveillant intégré dans leur logiciel.

Après avoir parcouru quelques forums, je suis d'avis de la supprimer totalement.

Le logiciel suspect s'appelle Floxif, il télécharge des logiciels malveillants qui rassemblent des informations sur les systèmes infectés et les renvoient à un serveur.

Sachant que Ccleaner revendique près de 130 de millions d'utilisateurs actifs, l'infection mondiale a heureusement été évitée, sachant que plus de deux millions de machines auraient tout de même été infectées…

  • Ces logiciels malveillants ont collecté entre autres :
  • Le Nom de l'ordinateur.
  • La liste des logiciels installés.
  • La liste des mises à jour Windows.
  • La liste des processus en cours d'exécution.
  • Les adresses MAC des trois premières Cartes Réseau.

Je compléterai l'article dès que j'aurai plus d'infos, j'ai choisi de le publier tout de suite vu l'urgence avant d'avoir terminé mes recherches.

ccleaner

Que faire si j'utilise l'une des versions infectées ?

 

Si vous avez l'une des deux versions concernées, désinstallez le logiciel ( pas de mise à jour je le répète ).

Redémarrez et faites un scan complet de votre ordinateur avec votre Antivirus.

Installez la version la plus récente à savoir la 5.34.62.07 ou la 1.1.15.76. ( pour la version Cloud la mise a jour a dû normalement déjà été faite automatiquement ).

Si vous voulez aller plus loin il y a une autre solution : vous pouvez lancer une Restauration Système juste avant la date d'installation du logiciel et après installer la dernière version.

Ccleaner 5.34.

Edit du 20/09/2017 : nouvelle version 5.35

Ccleaner Cloud

Edit : la version portable de CCleaner est aussi concernée.

Bon nettoyage !

Christophe.

Edit : AZAMOS a publié un article sur la désinfection : https://sospc.name/desinfecter-systeme-cleaner-infecte/ ;o)

Christophe.

Sources ( en anglais ) :

https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

https://www.bleepingcomputer.com/news/security/ccleaner-compromised-to-distribute-malware-for-almost-a-month/

https://thenextweb.com/security/2017/09/18/ccleaner-hacked-malware-distribute/#.tnw_E3gYOiQP

Rejoignez la Communauté SOSPC et accédez  à des contenus et des avantages exclusifs à partir de 2 € !  Cliquez ICI pour consulter tous les abonnements disponibles. ;-)

Christophe. Administrateur.

S’abonner à cette discussion
Notifier de
78 Commentaires
Inline Feedbacks
View all comments
AZAMOS

Merci du retour Visio3,
Oui, les clés seules n'ont plus d'effet. Toutefois autant les retirer elles aussi, d'une part parce qu'elles n'ont rien à faire là et que leur suppression n'endommagera rien du tout ; d'autre part il reste peut-être possible qu'elles puissent servir à un petit malin comme base pour une infection futur (sur ce dernier point je ne suis pas un spécialiste, donc à prendre au conditionnel ;-) ).

Visio3

Bonjour :bye:

Voici la dernière réponse de bitdefender sur le forum du même nom :
"Bonjour,
Je vous confirme que ces clés de registre ne sont pas importantes, même si elles ont été créés par la version malicieuse de Ccleaner.
L'essentiel de la modification malveillante est détectée par Bitdefender comme je vous l'ai évoqué dans ce topic (Trojan.PRForm.A et Backdoor.Agent.ABXS), un peu plus haut.
Ces clés de registre sans le reste, ne représentent aucun danger."

Le topic se trouve ici :
https://forum.bitdefender.com/index.php?/topic/77396-questions-sur-lactualit%C3%A9-li%C3%A9e-%C3%A0-ccleaner/&amp ;

Visio3

Bonsoir,

Lorsque je passe Malwarebytes, il enlève les deux clés (mais pas le dossier AGOMO)

ccleaner infecté visio3 2eme capture

Je l’ai donc supprimé manuellement.

AZAMOS

C'est ce qu'il fallait faire Visio3 : le dossier est créé par l'infection, mais ce n'est qu'une coquille vide sans action une fois les clés retirées : à supprimer manuellement donc comme tu l'as fais ;-)
Merci pour le screen et pour le retour d'expérience :good:

Visio3

voilà comment cela se présente dans le registre :

screenshot ccleaner infecté

Edit Admin : merci à toi, j'ai hébergé ton screen sur Sospc. ;o)

AZAMOS

Merci pour le screen Visio3 :good:

Tu peux directement supprimer le dossier AGOMO :yes:

Visio3

Bonjour Azamos

Il faut peut-être attendre l'analyse des fichiers que j'ai joint à Bitdefender (bdsyslog)
La réponse avancée (avant analyse) était un possible "faux positif" :unsure:

Je vais suivre de près la discussion sur le forum Bitdefender (Lien au dessus)

A suivre .….…

Est-ce que les trojans identifiés sur mon ordinateur correspondent à l'infection de la version 5.33.6162, ou est-ce différent ?

TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO

AZAMOS

@ Visio : la sous-clé AGOMO est créée uniquement par cette infection ; aucun processus ou autre ne créé une valeur à ce nom.

Je suis vraiment étonné de la réponse du tech de Bitdefender tant la réponse est évidente :-(

Et je te confirme bien que les trojans détectés sont en rapport avec la dite infection :yes:

AZAMOS

Merci Visio3 pour le retour d'expérience : vraiment curieux et étonnant qu'une suite d'un éditeur aussi réputé que Bitdefender ne détecte pas une infection qui est au centre de toutes les discussions dans les milieux informatique !!! jereve ! :scratch:

Avec un léger recul, cela me remémore quelques discussions parcourues sur le Net indiquant que Bitdefender ne semblait plus faire son travail correctement depuis quelques mois. Franchement très bizarre quand même de la part de cet éditeur, et donc à confirmer mais le doute s'installe vraiment là… :unsure:

78
0
Seuls les abonnés Premium peuvent déposer un commentaire.x