CCleaner : un malware plus complexe que prévu, des grandes entreprises visées

CCleaner : un malware plus complexe que prévu, des grandes entreprises visées

Format c:

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

22/09/2017 5 minutes
57

CCleaner : un malware plus complexe que prévu, des grandes entreprises visées

Si les premiers éléments d’enquête autour de l’infection de CCleaner laissaient apparaître un danger limité, d’autres dessinent désormais les contours d’une attaque complexe. Le malware, quel qu’il soit, dispose en fait de plusieurs charges virales dont les chercheurs ont encore du mal à percer les défenses.

On apprenait plus tôt dans la semaine que l’outil CCleaner avait distribué pendant un mois un malware dans sa version 5.33 32 bits (ainsi que CCleaner Cloud 1.07.3191). Piriform, éditeur du logiciel et appartenant à Avast, avait présenté ses excuses et avait fourni quelques détails, confirmant surtout la découverte faite par le groupe de sécurité Talos de Cisco. Il indiquait ainsi que ses serveurs avaient été attaqués et qu’une version modifiée de son outil s’était retrouvée en téléchargement.

Nom de l’ordinateur, liste des logiciels installés, mises à jour installées par Windows, processus en cours d’exécution, adresses IP et Mac, architecture et autres informations techniques étaient récupérées par le malware puis envoyées à un serveur de contrôle, mis hors service entre temps. Le caractère des données rendait la fuite peu dangereuse car aucune information personnelle n’était transmise. Ce qui ne signifiait pas pour autant qu’elles étaient inutiles.

Un malware à étapes multiples

La menace est en fait « multistage », c’est-à-dire à étapes multiples. Dans un nouveau rapport publié mercredi soir, Cisco revient avec la suite de ses recherches. Sur un échantillon de 700 000 machines infectés, 20 avaient déclenché la deuxième étape de l’infection, téléchargeant une charge virale supplémentaire à la mission inconnue, présente sous la forme de deux DLL.

Point important, ces ordinateurs appartiennent tous à une liste de grandes entreprises. Cisco ne dit pas lesquelles ont été touchées, mais le malware semble se concentrer sur une liste restreinte de structures telles qu’Intel, Samsung, HTC, VMware, Microsoft, Sony ou encore MSI et Akamai. Hier soir, de nouvelles explications d'Avast/Piriform ont abondé en ce sens, en allant plus loin : puisque le malware est resté disponible pendant un mois, les machines doublement infectées doivent se compter par centaines au moins.

En liant ces informations aux premières, les chercheurs estiment maintenant que ces données techniques servaient probablement à repérer les machines les plus à même d’accueillir le malware. Son véritable objectif est encore inconnu, mais le vol d’informations sensibles est très certainement de la partie. Le code est en grande majorité masqué. De nombreuses techniques anti-débogage et anti-émulation ont également été placées pour ralentir l’analyse et cacher ce qui se trame réellement dans les entrailles du malware.

Selon Cisco, le code contient en tout cas une troisième étape de type « fileless », donc sans fichier enregistré sur le disque. La charge opère exclusivement en mémoire vive et ne doit donc pas laisser de trace. Et si les informations sur la deuxième étape sont peu nombreuses, celles de la troisième sont inexistantes. Les chercheurs tentent actuellement une rétroingénierie pour avoir le fin mot de l’histoire.

Les conseils ont changé

Actuellement, certains signes pointent vers la Chine. Cisco confirme ici une piste explorée par Kaspersky : des éléments trouvés dans le code de la porte dérobée (tout du moins la partie lisible) ressemblent étrangement à celui d’une autre backdoor déjà utilisée par un groupe nommé, selon les cas, APT 17 ou Group 72. Pour l’instant, les indices ne vont pas plus loin, mais l’enquête continue.

Par contre, les conseils sur la manière de se débarrasser du malware ont évolué. Chez Cisco, on n’hésite ainsi plus à recommander un formatage de l’ordinateur si un CCleaner 32 bits a été installé. La version 5.34 de l’outil était vierge de tout problème, et la récente mouture 5.35 se débarrasse du faux certificat (pourtant authentique) utilisé dans la mouture infectée, mais pour les chercheurs du groupe Talos, ce n’est pas suffisant.

Le risque est tout simplement jugé trop grand. L’un des chercheurs, Craig Williams, indique ainsi que la deuxième étape étant encore mal connue, la charge virale qui en découle réalise sans doute des opérations inconnues. Elle déploie de nombreuses techniques pour rester cachée, et on ne peut pas encore dire avec certitude qu’une machine est « guérie » après une simple mise à jour de CCleaner. Curieusement, Piriform/Avast n’évoque pas cette solution drastique.

Une sécurité des serveurs à réviser

L’attaque contre CCleaner montre quoi qu’il en soit une tendance à la hausse pour la pêche aux serveurs de téléchargement. Les pirates, en s’infiltrant dans ces machines, peuvent remplacer directement une version saine par une autre, vérolée. Le serveur devient alors un réservoir d’exécutables contaminés. Le cas a par exemple été déjà rencontré avec Transmission et Handbrake. Même l’arrivée de NotPetya s’est faite de cette manière en juin dernier.

La pression augmente donc sur les éditeurs. Outre la protection des utilisateurs, les entreprises ont tout intérêt à renforcer leurs défenses, car ce type de mésaventure affecte durablement leur image.

57

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un malware à étapes multiples

Les conseils ont changé

Une sécurité des serveurs à réviser

Commentaires (57)


ça ferait un super scénario pour Plague Inc <img data-src=" />


Ça touche les version portable aussi ?








skankhunt42 a écrit :



Ça touche les version portable aussi ?







c’est une question de version, il faut que tu compares.



C’est quand même fort qu’une entreprise spécialisé dans les anti-virus se fassent infecter de cette manière.



A moins que la demoiselle d’Avast n’ait pas mis à jour sa base antivirale <img data-src=" />


Avast, c’est bien le virus ultra répandu ? <img data-src=" />


Et l’apocalypse surviendra quand l’ami Piriform nous dira que la mouture 64 pines est elle-aussi infectée :)


Tu sais que j’ai eu un frisson dans le dos en lisant ton commentaire ?

La sécurité informatique actuelle en prend un gros coup depuis le début de l’année. Je commence sérieusement à flipper.


“Il voulait supprimer des fichiers temporaires, ça tourne mal, il doit formater son PC !!” <img data-src=" />


J’ai quand même un vague doute à ce sujet. Au boulot, j’ai la version 64 bit et le malware a quand même été détecté.


<img data-src=" />



Ca partait bien mais où est le suspense quand on a autant d’info dans le titre ? <img data-src=" />





“La suppression de fichiers temporaires tourne à la catastrophe”



“Il voulait supprimer des fichiers temporaires, vous ne devinerez jamais la suite”





<img data-src=" />


Et au final, si on a installé la version 5.33, on fait quoi ?



D’aprés certains sites, si l’on est infecté les clés suivantes sont ajoutées :





  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP







    Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.





  • GeeSetup_x86.dl

  • EFACli64.dll (le cheval de Troie en version 64 bit)

  • TSMSISrv.dll (le cheval de Troie en version 32 bit)

  • DLL dans le Registre : &nbsp;f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

  • Deuxième charge : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83



    Pour ma part, j’ai bien eu le HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf mais pas les sous-clés. Ni aucune trace des fichiers indiqués.

    Je dois m’inquiéter ?








Andrufus a écrit :



“Il voulait supprimer des fichiers temporaires, ça tourne mal, il doit formater son PC !!” <img data-src=" />





C’est un bon titre pour le Gorafi. <img data-src=" />









Ethancarter233 a écrit :



Et au final, si on a installé la version 5.33, on fait quoi ?



D’aprés certains sites, si l’on est infecté les clés suivantes sont ajoutées :





  • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP







    Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.





  • GeeSetup_x86.dl

  • EFACli64.dll (le cheval de Troie en version 64 bit)

  • TSMSISrv.dll (le cheval de Troie en version 32 bit)

  • DLL dans le Registre :  f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

  • Deuxième charge : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83



    Pour ma part, j’ai bien eu le HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf mais pas les sous-clés. Ni aucune trace des fichiers indiqués.

    Je dois m’inquiéter ?





    Faut formater. <img data-src=" />

    Remarque que t’as de la chance. Si t’avais eu un virus, sur Doctissimo, on t’aurait dit que t’avais un cancer.<img data-src=" />



Sur ce coup, j’ai eu de la chance !

Après la new, j’ai vérifié ma version et je m’étais arrêté à la 5.32 ^^ ! <img data-src=" />. Et la nouvelle version proposée été la 5.35.

Passais entre les gouttes, pile-poil <img data-src=" /><img data-src=" />




des éléments trouvés dans le code de la porte dérobée (tout du moins la partie lisible) ressemblent étrangement à celui d’une autre backdoor…





OH MY GOD !!! J’ai exactement le même code dans mon application !!!!! J’ai été virussé !!!!



Ah… on me chuchote qu’il s’agit seulement d’une implémentation standard de la fonction “base64”.



<img data-src=" />


Pareil pour moi. Version 5.33 64 bits a mis en alerte mon Eset Nod 32.


“8 astuces pour nettoyer son ordinateur, la dernière va vous étonner”!


Pour moi idem. Ça m’étonnerait pas que la version 64 bit y ait eu droit…


j’ai vue mieux hier :

“tel joueur de foot à été frappé par un tel lors de l’entrainement”

en faite le mec était frapper par les capacité et les facilité de l’autre joueur….








Burn2 a écrit :



“8 astuces pour nettoyer son ordinateur, la dernière va vous étonner”!



&nbsp;



Joli, tu m’as bien fait rire <img data-src=" />



Pareil, punaise j’ai eu tellement peur !








Andrufus a écrit :



“Il voulait supprimer des fichiers temporaires, ça tourne mal, il doit formater son PC !!” <img data-src=" />





“Ivre, il supprime complètement sa base de registre en voulant la nettoyer” <img data-src=" />



Cool, j’ai pas mis à jour après la v5.32.6129 <img data-src=" />


J’espère ne pas avoir à réinstaller mes 4 machines sur lesquelles CCleaner est installé…


La même pour moi. Mais je suis en train de switch sur BleachBit, histoire d’avoir un deuxième cleaner au cas où.


J’avoue ^^ Tes propositions donnent envie d’en savoir plus :p


Bien trouvé !








WereWindle a écrit :



“Ivre, il supprime complètement sa base de registre en voulant la nettoyer” <img data-src=" />





Ca ne m’est arrivé qu’une seule fois.<img data-src=" />









Ricard a écrit :



Ca ne m’est arrivé qu’une seule fois.<img data-src=" />





n’empêche qu’elle était propre après <img data-src=" />



Aussi détecté par SEP sur certains postes au boulot (normalement CCleaner n’est pas installé par défaut sur nos postes mais certains se font plaisir dès que tu leurs donnes des droits d’administrateur local qui sont “essentiels” dans leur travail).&nbsp;<img data-src=" />



Et c’était du 64 bits.


Non seulement ce genre de logiciels est inutile mais en plus ça embarque des malwares maintenant <img data-src=" />


Et m..de, je viens de faire une màj alors que je n’avais pas pris en compte les màjs jusque là… <img data-src=" />



Va falloir que je cherche un autre cleaner, parce que depuis que CC est passé sous pavillon Avast c’est la cata. <img data-src=" />


Pour le moment il est bien indiqué que seule la version 32bits était contaminée:&nbsphttp://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v…



En tout cas, l’explication donnée est intéressante et inquiétante à la fois car la modification du binaire s’est faite avec une “facilité” déconcertante compte tenu du fait que la sécurité est le cœur de métier d’Avast.








Kerghan a écrit :



Aussi détecté par SEP sur certains postes au boulot (normalement CCleaner n’est pas installé par défaut sur nos postes mais certains se font plaisir dès que tu leurs donnes des droits d’administrateur local qui sont “essentiels” dans leur travail). <img data-src=" />





Après qu’on ait fait l’annonce aux employés qu’il y avait du CCleaner vérolé sur le réseau, que les machines concernées devaient être déconnectées du réseau, et qu’on allait passer les réinstaller, certains CCleaner 5.33 ont mystérieusement disparu.

Je crois qu’ils se sont senti bien cons quand on leur a mis l’historique de l’outil d’inventaire sous le nez et demandé ce qui avait bien pu se passer entre l’annonce et notre passage. <img data-src=" />







QuickTurtle a écrit :



Pour le moment il est bien indiqué que seule la version 32bits était contaminée:&#160http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v…





Avast s’est fait piraté. Ils n’ont rien vu pendant un mois, jusqu’à ce que quelqu’un d’autre le leur signale.

Ils nous expliquent ensuite que sur 30% des machines infectées, il y avait leur anti-virus, et que comme celui-ci n’a rien vu, c’est probablement qu’il ne s’est rien passé.

Puis d’autres éditeurs apportent la preuve qu’il s’est passé des choses redoutables. Preuve manifestement convaincante puisqu’Avast revient sur sa déclaration précédente.

Tu leur fais encore confiance?



“faut toujours faire les mise à jour pour être sûr d’être bien protégé”



Je run toujours la version 5.12 <img data-src=" />








revker a écrit :



Non seulement ce genre de logiciels est inutile mais en plus ça embarque des malwares maintenant <img data-src=" />





Inutile je te trouve un peu rude.



J’utilise Ccleaner pour vider cache/cookies/traces en général/corbeille sur mon PC de boulot, car j’utilise de nombreux sites très lourds, et dont le cache est souvent source de problème



Oui j’ai pas le choix ^^



Mais CCleaner, une fois installée, j’y touche plus. Pas besoin de faire les MAJ pour un logiciel qui fait bien son boulot, sur Win7.









linkin623 a écrit :



Inutile je te trouve un peu rude.



J’utilise Ccleaner pour vider cache/cookies/traces en général/corbeille sur mon PC de boulot, car j’utilise de nombreux sites très lourds, et dont le cache est souvent source de problème



Pas besoin de CC pour ca.



Je l’ai utilisé pendant un moment ainsi que d’autres logiciels comme TuneUp. Mais je me suis rendu compte que ça n’éliminait pas grand chose (deux lancement successifs m’affichaient toujours des “problèmes” à corriger après exécution de la dite correction).



Donc j’ai décidé de m’en passer et mon PC fonctionne très bien :)








Patch a écrit :



Pas besoin de CC pour ca.







Non, pour ca il faudrait que chromium/chrome dispose d’une option “vider/purger le cache à la fermeture”…



Demandé depuis la 1ere version bêta du produit… et toujours pas fait pour des raisons qui n’appartiennent qu’a Google… mystère…



Ils vont peut-être arrêter d’héberger leurs softs sur «filehippo.com»………


Un formatage c’est un bon nettoyage non? <img data-src=" />


Je suis effaré de voir tous els commentaires qui disent qu’ils utilisent ccleaner. Si c’est pour nettoyer plus facilement des fichiers temporaires, ou des caches de navigateur, pourquoi pas, mais il y&nbsp; a d’autres moyens déjà inclus dans windows pour le faire, et par exemple les navigateurs proposent d’effacer le cache.



Quand au nettoyage de la base de registre, non seulement cela n’apporte pas de gain de performance, mais en plus c’est dangereux. Effacer la mauvaise clé de registre peut rendre votre système inopérable. Je ne comprend que l’on puisse laisser faire cela à l’aveugle.



Voici aussi l’avis de Microsoft :



“Microsoft does not support the use of registry cleaners. Some programs available for free on the internet might contain spyware, adware, or viruses. If you decide to install a registry cleaning utility, be sure to research the product and only download and install programs from publishers that you trust. For more information, see when to trust a software publisher.”&nbsphttps://support.microsoft.com/en-us/help/2563254/microsoft-support-policy-for-th…



Je n’ai jamais utilisé de tels outils aussi bien chez moi qu’au boulot et mes PCs se portent très bien. Utiliser ce genre d’outil signifie souvent que l’on a installé n’importe quoi, et que l’on tente ensuite de réparer les dégâts.


Qu’il puisse y avoir besoin de nettoyer des fichiers temporaires est un problème en soi.

Sauf erreur de ma part, si un fichier est temporaire, il ne devrait pas être permanent.



Si il y a des applications tierces pour faire un travail, c’est sans doute parce que Microsoft n’en fournit pas pour le faire.

Se limiter à dire que ce travail est inutile est une excuse un peu légère (pour ne pas dire que c’est un magnifique foutage de gueule).


Comment tu crois que je gagne ma vie ? <img data-src=" />



(pour info, j’suis chercheur … <img data-src=" /> )


doublon (comment effacer un commentaire ??)


microsoft en fourni un, cleanmgr.exe

on peut même le scripter et faire un template de sélections, que l’on lance régulièrement depuis les taches palnifiées


Je connais pas mal de logiciels payants qui ne font que rajouter une surcouche au-dessus d’utilitaires fournis gratuitement pas Microsoft.








127.0.0.1 a écrit :



Non, pour ca il faudrait que chromium/chrome dispose d’une option “vider/purger le cache à la fermeture”…



Demandé depuis la 1ere version bêta du produit… et toujours pas fait pour des raisons qui n’appartiennent qu’a Google… mystère…





Aucun intérêt tu fais un raccourci avec “-incognito” et c’est bon tu surf en privé…pas besoin d’une option



De toute façon il est clair que ça ne sert vraiment à rien comme produit.&nbsp;



Et puis au delà de ça, tant que les équipes n’ont pas déterminés comment les binaires ont pu être compromis il faut se dire que ça peut arrivé à nouveau à tout moment dans une future version. A desinstaller donc &nbsp;disons définitivement :)&nbsp;








Aranud a écrit :



Aucun intérêt tu fais un raccourci avec “-incognito” et c’est bon tu surf en privé…pas besoin d’une option







Avec le mode incognito on perd les cookies et l’ autocomplétion des formulaires. Il faut donc se ré-identifier (user/pwd) sur tous les sites qu’on visite. Laborieux :-/



Tout ca pour contourner une banale suppression de fichier/répertoire cache inutiles et qui prennent une place démesurée (surtout quand on fait des backup).









WereWindle a écrit :



“Ivre, il supprime complètement sa base de registre en voulant la nettoyer” <img data-src=" />





:oui2:









linkin623 a écrit :



Cleaner, une fois installée, j’y touche plus. Pas besoin de faire les MAJ pour un logiciel qui fait bien son boulot, sur Win7.





Même principe chez moi avec Win 8.1 sur mon desktop : du moment qu’une version fait bien le job - en l’occurrence nettoyer la base de registre lorsque occasionnellement je désinstalle un programme et, dans la foulée, faire le ménage avec se qui se lance au démarrage - ben, je ne vois pas pourquoi mettre à jour (version 5.18, toujours vaillante).



Ceci dit, 90 % de mon activité sur ce desktop est sous GNU/Linux. <img data-src=" />



Il n’y a pas de distinction entre un fichier temporaire et un fichier classique, s’est au programme de supprimer ses fichiers. L’os ne peut pas savoir si tel ou tel fichier est temporaire.



Il a toujours existé des outils très complet dans windows pour accomplir cette tache. Mais un programme peut très bien rester ouvert pendant 10 jours créer 5 fichiers temporaire et n’accéder à un de ces fichiers qu’une fois au début et à la fin de l’exécution de la tache qu’il exécute, à ce moment là si entre temps tu as viré le fichier tu fais quoi ? &nbsp;Si le soft est codé n’importe comment il va planter.



Sans compter les softs qui vont temporairement écrire un fichier , rebooter la machine pour ensuite relire le fichier pour finir ce qu’ils ont à faire.



Il en va de même pour les clefs registre au développeur de prévoir un script de désinstallation correct.



Le problème est tout simplement les softs mal codés.


Je t”avais filtré. Mais je supprime le filtre. Ça fait plaisir de voir un message constructif. <img data-src=" />

Donc la principale cause de ces problèmes est les logiciels mal codés.

On nous explique souvent ici que pour réparer les problèmes il vaut toujours mieux utiliser les outils fournis par l’éditeur de l’OS.

Je trouve simplement dommage que Microsoft ne propose rien pour nettoyer la base de registres (même si c’est censé être inutile).








Zerdligham a écrit :



Avast s’est fait piraté. Ils n’ont rien vu pendant un mois, jusqu’à ce que quelqu’un d’autre le leur signale.

Ils nous expliquent ensuite que sur 30% des machines infectées, il y avait leur anti-virus, et que comme celui-ci n’a rien vu, c’est probablement qu’il ne s’est rien passé.

Puis d’autres éditeurs apportent la preuve qu’il s’est passé des choses redoutables. Preuve manifestement convaincante puisqu’Avast revient sur sa déclaration précédente.

Tu leur fais encore confiance?





Je ne leur fais pas plus confiance que je fais confiance à d’autres éditeurs. A moi que vous n’ayez qu’un PC avec Windows ou Linux sans rien d’autres dessus, il va être difficile d’utiliser votre PC avec juste un OS. Qu’ils aient eu un intrusion n’est pas cool en soit mais pour le moment, rien n’indique que la version 64bits ait le moindre problème (à moins que vous soyez un expert déjà au courant de problème de sécurité dans la version 64bits ?). On peut également imaginer qu’un audit sera réalisé tout comme une surveillance accrue de la part de l’éditeur ou de sociétés de sécurité.



Avast a été pris en flagrant délit de minimisation en situation de crise. A court terme au moins, ils ont perdu toute crédibilité à mes yeux.

Au moins dans les quelques mois à venir, en attendant que tout le monde ait fini sa reverse-ingénieurie j’applique le principe de précaution, et je considère que toutes les variantes de la 5.34 sont vérolées, et que les autres versions sont suspectes (ce qui est la recommandation de l’ANSSI, certes ceinture et bretelles comme à leur habitude).

En plus honnêtement, c’est pas du tout contraignant de se passer d’un logiciel comme CCleaner quelques temps (c’est pas comme s’il fallait par exemple se priver de client mail).



Il est vrai que CCleaner n’est pas forcément plus vérolé que d’autres trucs que j’ai sur mon PC, mais pour les autres je n’ai pas (encore?) de raison de les suspecter!








grsbdl a écrit :



Et l’apocalypse surviendra quand l’ami Piriform nous dira que la mouture 64 pines est elle-aussi infectée :)





Hélas, la version amd64 est aussi infectée. J’ai la version pro (je l’ai payée) et MS security a détecté le malware dedans. Je vais sous Windows au minimum, pour jouer uniquement, j’ai terminé Fallout 4 cet été, et je trouve le moyen de me faire véroler ma machine ! Je savais que le rachat par Avast était porteur de mauvaises nouvelles, mais je n’avais pas anticipé à quel point !

&nbsp;