CCleaner : 40 PC touchés par le second malware

Le par  |  6 commentaire(s)
CCleaner_logo

Avast offre une vision plus précise de l'incident de sécurité ayant touché CCleaner, surtout pour l'envoi d'un deuxième malware à visée de cyberespionnage.

Avast apporte de nouveaux éléments concernant l'incident de sécurité ayant frappé la version 3.53 de CCleaner (sur Windows 32 bits). Pour rappel, la cyberattaque en apparence massive était en réalité très ciblée, avec un deuxième malware à destination d'entreprises. Le particulier n'a pas grand-chose à craindre.

Une base de données du serveur auquel la version compromise envoyait des informations avait permis de déterminer une liste de machines infectées pour manifestement du cyberespionnage. Toutefois, il ne s'agissait pas d'un panorama complet, mais sur la période du 12 au 16 septembre.

Grâce à un deuxième serveur utilisé par les attaquants pour envoyer une sauvegarde de la base de données originale, les chercheurs en sécurité d'Avast - avec l'aide de l'hébergeur - ont fini par mettre la main sur une base de données quasiment complète.

Tant pour les charges utiles malveillantes de premier et deuxième niveau, il manque seulement une période de 40 heures qui correspond au plantage du serveur de contrôle et commande original, et la création d'un nouveau.

Avec cette vue beaucoup plus complète de l'incident de sécurité, Avast établit que le nombre total de PC (adresses MAC uniques) ayant communiqué avec le serveur de contrôle et commande via la backdoor est de 1 646 536. Le nombre total d'ordinateurs ayant reçu le deuxième malware est de 40.

C'est donc pour ces 40 machines sur un ensemble de 2,27 millions ayant installé la version compromise 5.33 de CCleaner qu'il y a un véritable souci, et pour lesquelles une restauration du système à une date antérieure au 15 août est recommandée (pas seulement une mise à jour de CCleaner). Les entreprises concernées ont été alertées.

Le tableau ci-dessous propose la liste complète des entreprises et domaines affectés, avec à droite le nombre de PC impactés (Chunghwa Telecom, NEC, Samsung, ASUS, Fujitsu, Sony, O2, Gauselmann, Singtel, Intel, VMware) :

Avast-tableau

Rappelons que la liste des entreprises ciblées était plus importante, mais il n'y a pas eu pour elles de machines infectées.

En fin de billet de blog, Avast énumère des indicateurs de compromission qui pourront être utiles aux administrateurs réseau pour rechercher d'éventuelles infections. On saluera l'effort de transparence d'Avast (propriétaire de Piriform) dans cette affaire. C'est pour ainsi dire normal, mais ce n'est pas toujours le cas et aussi bien fait.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1981885
Ah quand même lol

Décidément je ne regrette pas d'etre passé de Windows à linux. Même les logiciels sont infectés. ça ne s'arrange pas




Le #1981893
Mints a écrit :

Ah quand même lol

Décidément je ne regrette pas d'etre passé de Windows à linux. Même les logiciels sont infectés. ça ne s'arrange pas


C'est aussi possible sur Linux tu es loin d'être safe avec... L'avantage de linux c'est que si il y a un logiciel compromit c'est vite repéré, enfin normalement, mais il y a déjà eu des failles corrigée vielle de 9 ans...

J'ai utilisé plusieurs distribution pendant des années et au final retour windows, comme quoi...
MiloYiannopoulos Absent Vétéran 1153 points
Le #1981896
Mints a écrit :

Ah quand même lol

Décidément je ne regrette pas d'etre passé de Windows à linux. Même les logiciels sont infectés. ça ne s'arrange pas


Le plus surprenant dans tout ça, c'est que les administrateurs système de ces boîtes laissent les utilisateurs jouer avec ce genre de gadget de foire...
Le #1981914
Seulement la 5.33 infectée ? Vraiment ? j'ai fait la mise à jour le *16/09/2017* pour la 5.34 - qui a très bien fonctionné - et je me suis aperçue hier que mon icône de barre des tâches était modifiée et aujourd'hui j'ai voulu faire un nettoyage et bien sûr ça me l'a refusé. J'ai tout désinstallé. Et je suis une particulière, pas une entreprise.

Edit : suite à mon message ci-dessus, je suis allée sur le site de Piriform voir s'ils parlaient de cette infection. Oui, ils en parlent. Dès le 18/09 ils mettaient une mise à jour, la 5.35. J'avais donc désinstallé la 5.34. C'est quand même avec une petite appréhension que j'ai téléchargé et installé la 5.35. Mais tout cela fonctionne très bien et j'ai pu faire ce qu'il fallait pour mon PC (Windows 7, 64 bits).
Anonyme
Le #1981997
maxxous a écrit :

Mints a écrit :

Ah quand même lol

Décidément je ne regrette pas d'etre passé de Windows à linux. Même les logiciels sont infectés. ça ne s'arrange pas


C'est aussi possible sur Linux tu es loin d'être safe avec... L'avantage de linux c'est que si il y a un logiciel compromit c'est vite repéré, enfin normalement, mais il y a déjà eu des failles corrigée vielle de 9 ans...

J'ai utilisé plusieurs distribution pendant des années et au final retour windows, comme quoi...


Je rajouterais qu'il y a trop de distributions linux.

Après je ne dit pas que sous linux je suis protègé des virus mais je pense qu'on a quand même moins de risque
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]