Cerca nel blog

2017/09/22

CCleaner di Avast conteneva software spione: come rimediare

Ultimo aggiornamento: 2017/09/24 21:30.

CCleaner è un’applicazione molto popolare per l’ottimizzazione dei computer Windows e Mac e dei dispositivi Android, che vanta circa 130 milioni di utenti ed è stata acquisita recentemente dalla società di sicurezza informativa Avast. Ma è emerso che alcune versioni contenevano un malware decisamente pericoloso, concepito per infiltrarsi nelle reti informatiche aziendali e prenderne il controllo.

I ricercatori della Talos Intelligence (Cisco) hanno scoperto che la versione 5.33 di CCleaner, quella regolarmente distribuita e firmata digitalmente dall’azienda, era infetta. Chi scaricava CCleaner per aggiornarlo scaricava quindi anche il malware, che eludeva i controlli di sicurezza di base perché appunto l’aggiornamento era garantito dal produttore. Gli utenti colpiti sarebbero circa 2,3 milioni.

Più specificamente, chiunque abbia scaricato la versione 5.33.6162 di CCleaner oppure la versione 1.07.3191 di CCleaner Cloud, disponibili dal 15 agosto al 13 settembre scorso, dovrebbe ripristinare i propri dispositivi partendo da una copia di sicurezza. Aggiornare CCcleaner o cancellarlo non basta, dicono gli esperti di Talos/Cisco. La versione 5.34 non è pericolosa.

L’attacco, secondo le analisi, è particolarmente sofisticato e prendeva specificamente di mira grandi nomi come Intel, Google, Epson, Akamai, Samsung, Sony, VMware, HTC, Linksys, D-Link, Microsoft e Cisco, per cui si sospetta un tentativo di spionaggio industriale, forse appoggiato da un governo nazionale, effettuato infettando utenti a caso confidando che alcuni di loro avrebbero poi portato l’infezione nelle proprie aziende.


Fonti: Gizmodo, Graham Cluley, Talos, Avast.

23 commenti:

Il Lupo della Luna ha detto...

Mi tengo stretta la 5.28 e intanto cerco un programma alternativo.

Davide Aversa ha detto...

Per chi cerca alternative:

https://www.bleachbit.org/

L'interfaccia è decisamente peggiore. Ma è OpenSource e fa il suo lavoro.

Max Slo ha detto...

C'è da dire però che trattandosi di un rootkit non si annida sui 64bit, solitamente.
Io ho aggiornato alla 5.34 e secondo il mio fidatissimo BullGuard e anche secondo Kaspersky (con una scansione online) non ho rootkit/backdoor.
Il problema è molto improbabile se non impossibile su un sistema 64bit.
Altro discorso per i 32 bit.
Infatti credo che quel 2,3 milioni si rifaccia ai download totali delle 5.33, che non significa siano tutti infetti.

Guastulfo (Giuseppe) ha detto...

Non credo che queste utility portino reali benefici: se un pc è infognato resterà infognato, se già funziona bene non migliorerà

Livio Pillon ha detto...

Vorrei proporre un'integrazione, qualche dettaglio che molti siti non riportano esplicitamente ma che traspare dalla lettura dei report di Talos.
- il setup "ccsetup533.exe" non è infetto, ma distribuisce file infetti
- il setup installa su win32 solo "CCleaner.exe" mentre in win64 anche l'eseguibile "CCleaner64.exe"
- il file che contiene il malware è l'eseguibile a 32 bit "CCleaner.exe"
- l'eseguibile a 64bit "CCleaner64.exe" non contiene routine estranee
- il malware non si attiva durante il setup, ma durante l'esecuzione di "CCleaner.exe"
- chi usa windows a 32bit e ha eseguito CCleaner 5.33 almeno una volta, ha mandato in esecuzione il malware
- chi usa windows a 64bit e lancia il programma da start menu, usa "CCleaner64.exe" quindi non esegue anche il malware
- se il malware è andato in esecuzione, dovrebbe aver creato nel registry le chiavi citate nel rapporto di talos

Morale della favola:
- chi ha win64 dovrebbe essere al sicuro, quindi passare alla 5.34 dovrebbe bastare per liberarsi da rischi
- chi ha win32 molto probabilmente è compromesso, quindi il formattone/restore è necessario

Nand ha detto...

Tra parentesi, esistono verifiche indipendenti sull'efficacia di CCleaner? Le poche volte che l'avevo usato non avevo notato miglioramenti, per cui finiva regolarmente disinstallato.

Nuvolotta Nuvi ha detto...

le Glary Utilities versione free possono sostituire il ccleaner?

Adriano Carrata ha detto...

Infatti nel report, se non ricordo male, si parlava esplicitamente di sistemi a 32 bit. Devo dire che è una applicazione abbastanza comoda, soprattutto nella analisi del registry. A me, onestamente, davano fastidio gli aggiornamenti 'settimanali' che mi puzzavano tanto di 'prendi la versione a pagamento.... così non avrai più questi fastidi'... Di conseguenza avevo disabilitato la segnalazione automatica di 'nuova versione'. E comunque ho un 64 bit...

Marco ha detto...

Come può essere avvenuta in pratica l'infezione, che precede la distribuzione del software agli utenti?

Patrick Costa ha detto...

Non ho mai usato questi software visto non installo mai nulla che non sia strettamente indispensabile. La pulizia dei file temporanei me la faccio a mano nelle classiche cartelle temporanee di Windows e del mio profilo utente.

eL tiZ ha detto...

qui dicono che per risolvere il problema basterebbe installare l'ultima versione:

http://www.ilfattoquotidiano.it/2017/09/19/ccleaner-hackerato-forse-anche-il-vostro-perche-dovete-preoccuparvi/3865284/

Fenice ha detto...

Non è proprio la stessa cosa, ma io mi sono sempre trovata molto bene con Advanced SystemCare della Iobit.

Max Slo ha detto...

@Nand:

non lo so, non credo esistano delle prove davvero pratiche sull'uso di CCleaner.

Per quanto ne so e ho riscontrato nel corso del tempo, e come tutte le utility di questo tipo, non trasforma un 3310 in un i7 con una TitanX.
Ovvio.
E attenzione, non pretende di migliorare le prestazioni di alcunché.
Permette di mantenere certi 'settori' del PC più o meno puliti e che in Windows si sporcano e intasano, come il registro. Se pulito a mano da mani inesperte crasha tutto.

Pulire il registro regolarmente, specie se si installano e disinstallano spesso programmi, come nel caso di un videogiocatore, e togliere file/cartelle/cache inutili non migliora proprio niente: semmai ottimizza lo spazio libero e in una certa qual misura il tempo di boot.

Ecco, queste cose CCleaner le ha sempre fatte benino.
Diciamo che anziché stare 15 minuti a sondagliare il registro, lui lo pulisce in 5 secondi. Non come farei io a mano, ma almeno in modo dignitoso.

Ho sempre notato una certa cautela del programma nel toccare il registro, casomai non toglie tutto, per non far danni.
Programmi simili che di danni ne hanno fatti appena avviati, si, ne ho visti a decine.

Vediamo come saranno le evoluzioni ora che c'è il padrone nuovo...

axlman ha detto...

Io ho un 64bit, e sono stato infettato comunque, nonostante sia molto attento su certe cose.

Me ne sono accorto perché mi è arrivata una richiesta di aggiornamento del sistema operativo che sembrava provenire da Microsoft, ma senza il solito avviso sulla disponibilità di aggiornamenti. Inoltre nelle opzioni di arresto non c'erano solo quelle obbligatorie ("Aggiorna e arresta" e "Aggiorna e riavvia"), ma anche le semplici "Arresta il sistema" e "Riavvia il sistema".

Ho scandagliato il PC per giorni e non avrei capito il problema se non avessi tenuto l'exe di CCleaner 5.33, in quanto è lì che alla fine un antimalware ha trovato l'inghippo, e da nessuna altra parte.

Quindi occhio,: utonto (e mi ci metto anche io nella categoria) avvisato, mezzo salvato...

Dedivax ha detto...

@livio pillon quindi chi non ha mai fatto partire ccleaner non dovrebbe essere stato infettato? Perché io l'ho installato per sbaglio scaricando speccy durante il periodo di vulnerabilità e non l'ho mai toccato (ho provato a farlo partire adesso per controllare la versione e mi è comparsa la solita finestra di dialogo windows "vuoi permettere al programma di fare modifiche eccetera", alla quale ho risposto no)

Daniele Pinna ha detto...

@axlman

Da Windows 10 "1607" in caso di aggiornamento compaiono le opzioni che ti permettono di arrestare o riavviare il sistema senza per forza fare anche l'aggiornamento. C'erano anche prima ma erano "nascoste"... ora sono alla portata di tutti.

Il messaggio di avviso di aggiornamento probabilmente è autentico, semplicemente diverso dal solito.

Se ti sei infettato con un sistema a 64bit vuol dire che hai avviato Ccleaner.exe magari manualmente dalla cartella Programmi... oppure non hai un sistema a 64bit ma solo la CPU.

Però secondo me, pur avendo il *file* infetto non avevi il *sistema* infetto.

Anonimo ha detto...

Il commento #5 di Livio mi aveva tranquillizzato per i 64bit, il 14# mi aveva impensierito, il #16 sembra chiarire. Qaalche altro dettaglio su:
a) qual è il nome della minaccia rilevata?
b) qual è il nome dell'anti-malware efficace nel rilevarla e rimuoverla?
Grazie

axlman ha detto...

Daniele, io per non saper né leggere né scrivere sto resettando il sistema operativo, dato che le opzioni di aggiornamento mi sono arrivate senza che Windows mi abbia avvisato che ci sono aggiornamenti disponibili (tralasciando le quattro opzioni disponibili invece delle solite due).
Ognuno faccia come crede opportuno: basta che poi non pianga per quanto è stato "sfortunato" dopo essere stato avvisato.

Marco ha detto...

Il problema sembrerebbe assai più grave: http://www.dday.it/redazione/24295/ccleaner-infezione-da-allarme-rosso-meglio-formattare-il-pc

Resta la mia domanda iniziale: come si può iniziare un simile attacco all'interno della società che ha sviluppato questo tool, senza che questa se ne accorga.

Ciao
Marco

Paolo Attivissimo ha detto...

Marco,

Resta la mia domanda iniziale: come si può iniziare un simile attacco all'interno della società che ha sviluppato questo tool, senza che questa se ne accorga.

Per quel che ne so, la dinamica dell'attacco non è ancora stata resa nota. Chiaramente il fatto che il sistema di distribuzione degli aggiornamenti sia stato compromesso in questo modo rivela delle lacune di sicurezza agghiaccianti, ma non so altro.

Questo è il caso perfetto di quello che in gergo si chiama "watering hole attack": prendi di mira non il tuo bersaglio finale, ma uno dei suoi fornitori.

Marco ha detto...

Paolo,

d'accordo con te: mi viene anche da pensare che chi ha progettato questo attacco abbia studiato per bene in anticipo i suoi potenziali "target", e li abbia selezionati in base non solo alla loro vulnerabilità ma anche al loro indice di "dannosità" (ovvero: diffusione).

Uso il plurale perché non riesco nemmeno a non pensare che dove c'è una potenziale vittima, ce ne siano anche altre pronte per essere attaccate...

Ciao!
Marco

Scatola Grande ha detto...

Aggiungo che quello ad essere stato compromesso è l'eseguibile a 32 bit e non l'installer. Significa che anche la versione portatile è infetta.

A me incuriosisce proprio il fatto che la versione a 64 bit non lo sia. Ormai da un decennio siamo passati ai 64 bit (ma molti programmi continuano ad essere a 32!) per cui mi pare molto strano l'obiettivo a meno che nelle aziende circolino ancora parecchie macchine con sistema operativo a 32 bit.

Personalmente le pulizie le faccio a manina ma è vero che un programma farebbe in pochi secondi ciò che io farei in qualche oretta.

Ci sarebbe poi da parlare anche di BlueBorne.

_kerouac_ ha detto...

Come faccio a sapere se sono stato infettato da questo virus? Perchè ho il ccleaner 5.33 ma non so se l'antivirus l'ha bloccato o meno