18 年 2017 月 XNUMX 日,思科的 Talos 宣布,拥有数十亿全球用户的流行实用程序 CCleaner 已被黑客入侵,并被用来在其安装程序中不知不觉地分发隐藏的恶意软件。 当天晚些时候,CCleaner 的发行商 Piriform 确认了这个问题。
除了包括 CCleaner 自己的母公司在内的 1 个主要防病毒软件之外,其他所有杀毒软件都没有发现,这发生了一个多月,影响了超过 2.7 万用户。 适用于 5.33.6162 位 Windows 的 CCleaner v1.07.3191 和 CCleaner Cloud v32 的用户受到影响。 这些下载于 15 年 12 月 2017 日至 XNUMX 月 XNUMX 日在 CCleaner 的官方网站上进行。在此期间下载该程序的任何人都可能受到影响。
该公司声称,虽然黑客设置了后门并影响了许多用户,但肇事者已被逮捕,恶意软件从未成功完成其全部任务,并损害了用户的 PC 或发送了他们的数据; 在最近发生 Equifax 等安全漏洞之后,用户的担忧是可以理解的。 鉴于黑客和数据盗窃威胁的严重性,如果用户拥有 CCleaner,则应立即采取行动。
CCleaner 恶意软件注入技术细节
第一次报道 塔洛斯,该恶意软件隐藏在 CCleaner 安装程序中而没有发布者注意到(尽管它们为大型反病毒公司 Avast 所有),它修改了核心程序 DLL 文件以逃避检测,并创建了多个注册表项。 这些文件不仅没有被任何主要的反病毒软件标记,而且它们甚至还通过 Piriform 的赛门铁克证书进行了数字签名,这意味着您的 PC 和安全程序可能会被列入白名单并信任恶意安装程序。 该恶意软件会收集用户 PC 上的个人信息,包括 IP 地址和正在运行的程序,并将其发送到远程服务器。 在我们的测试中,程序将数据发送到 IP 216.126.225.148。
恢复您的 PC(如果可能)
截至本文发表时,尚未保证更新甚至卸载 CCleaner 将删除已安装的恶意软件。 迄今为止,唯一的行动是关闭发送用户数据的远程服务器,当局已关闭该服务器。 出于这个原因,最好单独删除底层恶意软件,因为它的存在代表着严重的安全威胁。 不幸的是,由于这可能早在 15 年 2017 月 XNUMX 日就已安装,因此您的系统还原点可能不会返回那么远,或者即使它们这样做,还原到这样一个过时的点也可能会导致您使用的其他程序出现意外问题和可能丢失文件和数据。 手动备份文件并执行完整格式或干净的 Windows 安装可能会成功完全删除恶意软件,但非常耗时,对许多 PC 用户来说可能很困难。 不幸的是,这使得 PC 恢复或格式化成为许多人无法实现的选择。
将 CCleaner 更新到最新版本
而 CCleaner 已经告诉用户更新到该程序的最新版本。 在此之前,我们建议您完全卸载CCleaner,确保您检查其程序文件文件夹和注册表项,手动删除所有残留,然后从官方网站重新下载最新版本并重新安装clean。