Signaler

CCleaner : un deuxième malware trouvé, une mise à jour ne suffir

Créer une discussion lilidurhone 43000Messages postés lundi 25 avril 2011Date d'inscription Contributeur sécuritéStatut 25 octobre 2017 Dernière intervention - Dernière réponse le 25 sept. 2017 à 00:43 par Mars Radio DNB
Comme une deuxième couche à l’intérieur. Le deuxième étage d’une fusée particulièrement vicieuse. En début de semaine, des chercheurs en sécurité de Cisco Talos Intelligence révélaient que le très populaire logiciel de « nettoyage » de PC, CCleaner, embarquait une porte dérobée depuis la mi-août. Le code malveillant semblait avoir été placé là après une intrusion sur le réseau de Piriform, éditeur du logiciel. Une mise à jour vers une version a priori saine et plus récente était fortement recommandée.

Aujourd’hui, ces mêmes chercheurs publient un nouveau document qui contient le fruit de leur enquête en cours. Mauvaise surprise, il n’y avait pas une mais deux « charges » malveillantes dans CCleaner. Si Piriform encourage vivement les utilisateurs de son programme à réaliser une nouvelle mise à jour, les conseils des chercheurs de Talos Intelligence vont un peu plus loin que cela.


http://www.01net.com/actualites/ccleaner-un-deuxieme-malware-trouve-une-mise-a-jour-ne-suffira-pas-a-vous-proteger-1261227.html

Utile
+2
plus moins
Le second malware ne concerne qu'une centaine d'utilisateurs...
C'est simplement pour attaquer des entreprises multi-nationales.
Tout est résumé là : https://forum.malekal.com/viewtopic.php?f=11&p=440523
Utile
+0
plus moins
Salut,

Si tu bloques complètement du réseau CCleaner avec ton pare feu, il ne peut rien contre le système en tant que tel ?

Il peut juste communiquer, télécharger et installer des intrus si on ne le bloque pas ?
lilidurhone 43000Messages postés lundi 25 avril 2011Date d'inscription Contributeur sécuritéStatut 25 octobre 2017 Dernière intervention fabul - 23 sept. 2017 à 13:44
Je n'ai pas CCleaner justement
fabul 18409Messages postés dimanche 18 janvier 2009Date d'inscription ContributeurStatut 9 novembre 2017 Dernière intervention fabul - 23 sept. 2017 à 14:09
Je l'ai en version Portable (Extrait du dossier zip).

Je viens de repasser a la version 5.32.
Chipie13200 239Messages postés lundi 23 janvier 2012Date d'inscription 30 septembre 2017 Dernière intervention - 23 sept. 2017 à 17:33
Bonjour,
Tu dois passer à la dernière version qui est la 5.35.6210 ;)
fabul 18409Messages postés dimanche 18 janvier 2009Date d'inscription ContributeurStatut 9 novembre 2017 Dernière intervention fabul - 23 sept. 2017 à 17:44
Salut,

La version 5.35 est sortie le 20 septembre

On vient de mentionner: Une mise à jour ne suffira pas

Il faut attendre une nouvelle version corrigée, ou revenir a la version 5.32
Chipie13200 239Messages postés lundi 23 janvier 2012Date d'inscription 30 septembre 2017 Dernière intervention - 23 sept. 2017 à 17:49
Tu as la version portable, il n'y a aucune inscription dans le registre, tu ne risques rien.
fabul 18409Messages postés dimanche 18 janvier 2009Date d'inscription ContributeurStatut 9 novembre 2017 Dernière intervention fabul - 23 sept. 2017 à 17:51
Le mauvais code inclu, il fait ce qu'il veut, si il arrive a se connecter a Internet par faute de sécurité.
Chipie13200 239Messages postés lundi 23 janvier 2012Date d'inscription 30 septembre 2017 Dernière intervention - 23 sept. 2017 à 17:54
Faut pas devenir parano non plus, la version portable n'est pas du tout concernée ... le mieux est encore de se passer de Ccleaner, le rachat par Avast n'apportera rien de bon. Si tu veux en savoir plus, lis ceci : https://forum.malekal.com/viewtopic.php?f=11&t=58502
fabul 18409Messages postés dimanche 18 janvier 2009Date d'inscription ContributeurStatut 9 novembre 2017 Dernière intervention fabul - 23 sept. 2017 à 18:00
Ok, c'est dans l'installeur de CCleaner, c'est pour ça que je n'ai pas été touché du tout, utilisant toujours la version portable.

Merci pour les infos.
Chipie13200 239Messages postés lundi 23 janvier 2012Date d'inscription 30 septembre 2017 Dernière intervention - 23 sept. 2017 à 18:10
Il faudra que tu vérifies à chaque version portable téléchargée que rien ne s'écrit dans le registre, si c'est le cas Comodo doit t'avertir s'il est bien paramétré, car rien ne dit qu'Avast ne modifie pas le soft dans l'avenir ... certains logiciels dits portables créent des clés dans le registre
Utile
+0
plus moins
Je l'utilise tout le temps depuis, mais bloqué avec Comodo Firewall (En mode Personnalisé) et je n'ai pas trouvé de trace de ça:

Quelques indices de contamination

Pour les plus inquiets d’entre vous, il est possible de trouver des indices qui vous permettront de savoir si votre machine est contaminée. Tout d’abord, des clés de registre sont ajoutées par le cheval de Troie de la deuxième charge.

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP

Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.

GeeSetup_x86.dl
EFACli64.dll (le cheval de Troie en version 64 bit)
TSMSISrv.dll (le cheval de Troie en version 32 bit)

DLL dans le Registre :
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Deuxième charge :
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83

Si ces éléments figurent sur votre machine, il ne vous reste plus qu’à rétablir une sauvegarde ou une image de votre système d’exploitation établie à une date antérieure au 15 août dernier.
Utile
+0
plus moins
bonsoir
bon je touche a rien, mon ordi vient de me dire de passer a la 5.35.6210
bah comme d'hab j'ignore, je passe pas souvent le balai faut dire
merci de me dire la prochaine version sûr, on sait jamais..
j'en suis resté à 5.03.5128
lilidurhone 43000Messages postés lundi 25 avril 2011Date d'inscription Contributeur sécuritéStatut 25 octobre 2017 Dernière intervention xplom - 24 sept. 2017 à 09:37
Garde cette version ^^
Perso pas installé chez moi
Chipie13200 239Messages postés lundi 23 janvier 2012Date d'inscription 30 septembre 2017 Dernière intervention - 24 sept. 2017 à 09:51
Salut,
Garder une ancienne version n'est pas conseillé en matière de sécurité ...
Le mieux est de se tourner vers la version portable qui ne crée aucune entrée dans le registre et est donc sans danger : http://www.commentcamarche.net/download/telecharger-34056437-ccleaner-portable
Utile
+0
plus moins
Salut à tous,

j'ai 4 pc et j’utilise tout le temps ce programme. lors des mises a jours des programmes de un pc j'ai eu une alerte de avira



j'ai rechercher les clé de registre je ne les ai dans aucun pc...
le pc concerné par l'alerte est il touché? pensez vous que avira l'ait bloquer l’installation donc la faille?

je me souviens plus comme j'ai bcps de pc machine virtuelle etc...

j'ai un point de restoration avant le 15 mai mais cela m'embête, car c'est la premiere fois que j'arrive a installer 10 mise a jour de sécu de windows 7 qui ne sont jamais passé et la elle ont réussit...du coup je sait pas trop quoi faire.


merci d'avance...



Chipie13200 239Messages postés lundi 23 janvier 2012Date d'inscription 30 septembre 2017 Dernière intervention Mars Radio DNB - 24 sept. 2017 à 07:08
Bonjour,
Ta capture montre qu'Avira a bloqué la version 5.33, logique c'est celle qui est infectée. vide simplement la quarantaine.
Mars Radio DNB 13603Messages postés vendredi 6 novembre 2009Date d'inscription ContributeurStatut 8 novembre 2017 Dernière intervention Mars Radio DNB - 25 sept. 2017 à 00:43
ok,
Je te remercie Chipie13200, j'avais peur qu'il se soit installer...

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !