Aller au contenu


Photo
- - - - -

CCleaner 5.33 : une backdoor dissimulée pendant un mois !


  • Ce sujet est fermé Ce sujet est fermé
17 réponses à ce sujet

#1 Wullfk

Wullfk

    Mega Power Extrem Member

  • Membres
  • 8 489 messages

Posté 18 septembre 2017 - 04:19

Bonjour,
 

Alerte pour le très populaire CCleaner dont la version 5.33 a été compromise par du code malveillant inséré dans un fichier d'installation légitime. Une alerte rouge pour les utilisateurs Windows 32 bits.

 

Dans une version légitime de CCleaner et distribuée par les serveurs de Piriform, des cybercriminels sont parvenus à installer une backdoor. CCleaner est un outil très populaire (130 millions d'utilisateurs revendiqués) de nettoyage et d'optimisation de Windows édité par Piriform qui a été racheté par Avast en juillet dernier.

 

L'alerte concerne la version 5.33 de CCleaner (5.33.6162), ainsi que CCleaner Cloud en version 1.07.3191 qui ont subi une modification illicite avant leur publication auprès du grand public. La version 5.33 a été proposée entre la mi-août et le 12 septembre.

 

Source : https://www.generati...te-1946146.html


  • 0

PUBLICITÉ

    Annonces Google

#2 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 29 459 messages

Posté 18 septembre 2017 - 04:39

Ceci dit, tout bon Zébulonien est déjà en version 5.34.6207 depuis le 12 septembre ! :sourire:


  • 0

#3 Arnaud

Arnaud

    Full Patch Member

  • Membres
  • 1 515 messages

Posté 20 septembre 2017 - 08:57

Bonsoir à tous :)

 

Je viens de lire ceci. Un site "concurrent", peut-être, mais si l'info est bonne, peut-être à faire passer ?

L'article auquel se réfère celui ci-dessus est à cette adresse.

 

Il faut beaucoup traduite, faute d'être anglophone. Et j'ignore même si c'est à un simple membre du forum de poster cela icon_Doute.gif

 

Bonne soirée ;)

 


  • 1

#4 ab-web

ab-web

    Mega Power Extrem Member

  • Membres
  • 8 245 messages

Posté 20 septembre 2017 - 09:27

Bonsoir

 

l'information a déja été diffusée , il s'agit de l'alerte sur la version 5.33 de ccleaner qui a été piraté .

 

http://forum.zebulon...ce-t221202.html

 

la version 5.34 a remplacé cette version vérolé , et maintenant nous en somme a la version 5.35.

 

il faut donc désinstaller la 5.33 si présente et installer la nouvelle 5.35.


  • 1

#5 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 29 459 messages

Posté 20 septembre 2017 - 10:09

Fusion des sujets... ;)


  • 0

#6 quicksilver

quicksilver

    Mega Power Member

  • Membres
  • 497 messages

Posté 21 septembre 2017 - 02:03

Bonjour,

 

Suite à la parution de l'information concernant l'infection par un malware de Ccleaner 5.33.

Etant sur une version 32 bits de Windows 10 pro, et effectuant les mises à jour dès que celles-ci sont disponibles.

J'ai forcément installé cette version 5.33.

J'ai donc désinstallé Ccleaner de mon système.

Après cela j'ai lancé MBAM, qui m'a détecté l'infection, en identifiant une valeur de registre et une clef de registre.

=> Mise en quarantaine

=> Suppression de la quarantaine.

Maintenant MBAM ne trouve plus rien.

Je pense en être débarrassé !

 

Par contre, du coup maintenant, j'hésite à installer la dernière version de Ccleaner 5.35.

Sont ils vraiment sur chez Piriform que celle-ci est 100% saine ?

 

Peut on y aller sans crainte ?

 

 

Merci de vos commentaires.

 

 

Quicksilver

 

 

 


  • 1

#7 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 29 459 messages

Posté 21 septembre 2017 - 02:04

Lire également la News Zébulon La dernière version de CCleaner embarquait un malware.
 

J'hésite à installer la dernière version de Ccleaner 5.35.
Sont-ils vraiment sûrs, chez Piriform, que celle-ci est 100% saine ?


Oui. Même si, en informatique, on n'est jamais sûr de rien...


  • 1

#8 Wullfk

Wullfk

    Mega Power Extrem Member

  • Membres
  • 8 489 messages

Posté 21 septembre 2017 - 04:36

Re,

 

Si ça peut rassurer.

 

La nouvelle version CCleaner 5.35 est disponible depuis hier (après la version 5.34 exempte de tout backdoor). Elle dispose d'une nouvelle signature numérique pour remplacer l'ancienne qui accompagnait la version compromise.

 

Plus d'infos technique sur le blog Avast : https://blog.avast.c...es-informations

 

Ceci dit en ce qui concerne la version 5.33.6162 incriminé, il faut savoir que le cheval de Troie injecté concerne les systèmes 32 et 64 bits.

L'infection de CCleaner préparait des attaques contre Microsoft, Cisco, Intel et d'autres firmes pour voler leur propriété intellectuelle

 

../..

 

L'installateur de la phase 2 de l’attaque est nommé GeeSetup_x86.dll. Il vérifie la version du système d'exploitation et installe une version 32 bits ou 64 bits d'un cheval de Troie sur le système en fonction de la vérification. Le cheval de Troie 32 bits est nommé TSMSISrv.dll et le cheval de Troie 64 bits EFACli64.dll.

 

Source : Developpez.com

 

Après vérification chez moi sur Windows 10 Pro 64Bits et la version CCleaner 5.35 installée, je n'ai aucune présence de ces DLL

 

De plus on peut aussi vérifier la clé suivante : HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf

 

Si présence des sous clés suivantes :

  • \001
  • \002
  • \003
  • \004
  • \HBP

Alors l'infection est présente


Modifié par Wullfk, 21 septembre 2017 - 05:19 .

  • 0

#9 pustelnik

pustelnik

    Mega Power Member

  • Membres
  • 345 messages

Posté 21 septembre 2017 - 05:56

Bonjour,

 

Dans le doute, version 5.35.6210 réinstallée après désinstallation propre de la version précédente installée par dessus les autres, la clé WbemPerf existe, mais aucune sous clé, pas de trace de EFACli64.dll., alors je pense que c'est bon....

 

Merci, @ +


  • 0

#10 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 29 459 messages

Posté 21 septembre 2017 - 05:58

Aucune sous-clef chez moi, pour la clef WbemPerf icon_Super.gif


  • 0









Sujets similaires :     x