Aller au contenu


Photo
- - - - -

CCleaner : un 2ème malware découvert


  • Veuillez vous connecter pour répondre
7 réponses à ce sujet

#1 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 30 076 messages

Posté 23 septembre 2017 - 10:06

Bonsoir à tous,
 
Flash spécial sur CCM (Comment ça marche)
 

Les experts en sécurité de Cisco Talos Intelligence confirment la découverte d'un second virus, qui serait passé à travers les mailles de la dernière mise à jour de CCleaner. Le point sur une situation qui évolue chaque jour.

 
L'éditeur a de nouveau mis en ligne une nouvelle version de son utilitaire CCleaner*, en promettant cette fois que le problème serait réglé. Mais les chercheurs de Cisco recommandent dans ce cas une restauration système en bonne et due forme, dans une configuration d'avant le 15 août...

 

* c'est la version 5.35.6210, dont nous avons déjà parlé ici.


  • 0

PUBLICITÉ

    Annonces Google

#2 Wullfk

Wullfk

    Mega Power Extrem Member

  • Membres
  • 8 630 messages

Posté 23 septembre 2017 - 10:34

Bonsoir,

 

En faite, rien de nouveau

 

Pour les DLL incriminées, il en est déjà question ici : http://forum.zebulon...ml#entry1845229


  • 0

#3 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 30 076 messages

Posté 23 septembre 2017 - 10:38

Oui, mais ce qui est nouveau, c'est que Cisco recommande de restaurer à une date antérieure au 15 août !


  • 0

#4 Wullfk

Wullfk

    Mega Power Extrem Member

  • Membres
  • 8 630 messages

Posté 23 septembre 2017 - 10:44

Re,

 

La recommandation de Cisco, était la même après la découverte de la fameuse clé de registre "Agomo" dans la clé :

 

HKEY_LOCAL_MACHINE\SOFTWARE\Piriform

 

Je m'avance peut être, mais si les DLL ne sont pas présente, je ne pense pas que ce soit nécessaire d'effectuer une restauration, et encore moins si on est en 64Bits

 

En tout cas chez moi, il n'y a aucune trace des DLL incriminées

 

La recommandation de Cisco en date du 18/09 via l'article de GNT

 

Un peu moins rassurant, l'équipe Cisco Talos recommande aux systèmes affectés (3 % des utilisateurs de CCleaner selon Piriform) de procéder à une restauration avant la date du 15 août, voire à une réinstallation.

 

 

Et aussi ce que rapportait Ghacks en date du 21/09

 

Traduction

Un nouveau rapport du groupe Talos de Cisco suggère que le piratage CCleaner était plus sophistiqué qu'on ne le pensait au départ. Les chercheurs ont trouvé des preuves d'une deuxième charge utile lors de leur analyse des logiciels malveillants qui ont ciblé des groupes très spécifiques en fonction des domaines.....................

.........................................

Talos Group a suggéré de restaurer le système informatique à l'aide d'une sauvegarde créée avant l'infection. Les nouvelles preuves le confirment, et les chercheurs suggèrent fortement qu'il ne suffit peut-être pas de simplement mettre à jour CCleaner pour se débarrasser des logiciels malveillants.

Ces constatations appuient et renforcent également notre recommandation précédente selon laquelle les personnes touchées par cette attaque de la chaîne d'approvisionnement ne devraient pas simplement supprimer la version affectée de CCleaner ou mettre à jour la dernière version, mais devraient restaurer à partir de sauvegardes ou de systèmes de re-image pour s'assurer qu'elles suppriment complètement non seulement la version précédente de CCleaner, mais aussi tout autre logiciel malveillant qui pourrait être présent sur le système.

L'installateur de l'étape 2 est GeeSetup_x86. dll. Il vérifie la version du système d'exploitation, et implémente une version 32 bits ou 64 bits du cheval de Troie sur le système basé sur la vérification.

Lire aussi: Gestionnaire de mots de passe déterministe Problèmes

Le cheval de Troie 32 bits est TSMSISrv. dll, le cheval de Troie 64 bits est EFACli64. dll.

Identification des charges utiles de l'étape 2

Les informations suivantes aident à déterminer si une charge utile de l'étape 2 a été installée sur le système.

Clés de registre:

HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\HBP

Fichiers:

GeeSetup_x86. dl (Hash: dc9b5e8e8aa6ec86db86db8af0a7aaa897ca897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64. dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da46da460055733bb6f4f)
TSMSISrv. dll (Hash: 07fb252d2d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
DLL dans le registre: f0d1f88c59c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Étape 2 Charge utile: dc9b5e8aa6ec86db86db8af0a7aa7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83

 


Modifié par Wullfk, 23 septembre 2017 - 10:58 .

  • 0

#5 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 30 076 messages

Posté 23 septembre 2017 - 10:53

Aucune trace chez moi non plus...


  • 0

#6 Tonton

Tonton

    Modérateur

  • Modérateur [Tonton]
  • 20 064 messages

Posté 24 septembre 2017 - 07:41

Itou.


  • 0

#7 ab-web

ab-web

    Mega Power Extrem Member

  • Membres
  • 8 363 messages

Posté 24 septembre 2017 - 07:43

bonjour a tous

 

Attention a la dramatisation

Le 20 septembre 2017, Talos a publié un second billet (cf. section Documentation) détaillant l'attaque du point de vue du serveur de livraison de charge. Le code du serveur web récupéré montre un soucis de validation des cibles. Cela est renforcé par l'analyse des bases de données : sur les sept-cent-mille machines s'étant connectées au serveur entre le 12 et le 16 septembre 2017, seulement une vingtaine d'entre-elles auraient reçu et vraisemblablement exécuté la charge secondaire.

en plus de la clé HKLM\SOFTWARE\Piriform\Agomo , qui est une preuve de compromission

Talos fournit les condensats de cette charge et des fichiers malveillants téléchargés suite à son exécution :

 

GeeSetup_x86.dll : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
EFACli64.dll : 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f
TSMSISrv.dll : 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Le dernier condensat correspond à une porte dérobée dont l'utilité est de récupérer d'autres binaires malveillants. Celle-ci est stockée dans la base de registre de Windows, de manière encodée, dans les clés suivantes:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

Source : déja vu mais je la remet > http://cert.ssi.gouv...R-2017-ALE-013/


  • 0

#8 Wullfk

Wullfk

    Mega Power Extrem Member

  • Membres
  • 8 630 messages

Posté 24 septembre 2017 - 01:28

Bonjour,

 

Pour info

 

EFACli64.dll est un fichier légitime de Norton

 

Si vous ne possédez pas de produit Symantec (Norton) cette DLL ne doit pas être présente

 

"En termes de structure, les DLL sont assez intéressants parce qu'ils se rattachent au code d'autres fournisseurs en injectant les fonctionnalités malveillantes dans des DLL légitimes. Le code 32 bits est activé via une version patchée de VirtCDRDrv32.dll (partie du package WinZip de Corel), tandis que le 64 bits utilise EFACli64.dll - une partie d'un produit Symantec."

 

Source: Blog Avast


  • 0









Sujets similaires :     x