Aller au contenu
Dylav

CCleaner : un 2ème malware découvert

Messages recommandés

Bonsoir à tous,

Flash spécial sur CCM (Comment ça marche)

Les experts en sécurité de Cisco Talos Intelligence confirment la découverte d'un second virus, qui serait passé à travers les mailles de la dernière mise à jour de CCleaner. Le point sur une situation qui évolue chaque jour.


L'éditeur a de nouveau mis en ligne une nouvelle version de son utilitaire CCleaner*, en promettant cette fois que le problème serait réglé. Mais les chercheurs de Cisco recommandent dans ce cas une restauration système en bonne et due forme, dans une configuration d'avant le 15 août...

 

* c'est la version 5.35.6210, dont nous avons déjà parlé ici.

Partager ce message


Lien à poster
Partager sur d’autres sites

Re,

 

La recommandation de Cisco, était la même après la découverte de la fameuse clé de registre "Agomo" dans la clé :

 

HKEY_LOCAL_MACHINE\SOFTWARE\Piriform

 

Je m'avance peut être, mais si les DLL ne sont pas présente, je ne pense pas que ce soit nécessaire d'effectuer une restauration, et encore moins si on est en 64Bits

 

En tout cas chez moi, il n'y a aucune trace des DLL incriminées

 

La recommandation de Cisco en date du 18/09 via l'article de GNT

 

Un peu moins rassurant, l'équipe Cisco Talos recommande aux systèmes affectés (3 % des utilisateurs de CCleaner selon Piriform) de procéder à une restauration avant la date du 15 août, voire à une réinstallation.

 

 

Et aussi ce que rapportait Ghacks en date du 21/09

 

Traduction

Un nouveau rapport du groupe Talos de Cisco suggère que le piratage CCleaner était plus sophistiqué qu'on ne le pensait au départ. Les chercheurs ont trouvé des preuves d'une deuxième charge utile lors de leur analyse des logiciels malveillants qui ont ciblé des groupes très spécifiques en fonction des domaines.....................

.........................................

Talos Group a suggéré de restaurer le système informatique à l'aide d'une sauvegarde créée avant l'infection. Les nouvelles preuves le confirment, et les chercheurs suggèrent fortement qu'il ne suffit peut-être pas de simplement mettre à jour CCleaner pour se débarrasser des logiciels malveillants.

Ces constatations appuient et renforcent également notre recommandation précédente selon laquelle les personnes touchées par cette attaque de la chaîne d'approvisionnement ne devraient pas simplement supprimer la version affectée de CCleaner ou mettre à jour la dernière version, mais devraient restaurer à partir de sauvegardes ou de systèmes de re-image pour s'assurer qu'elles suppriment complètement non seulement la version précédente de CCleaner, mais aussi tout autre logiciel malveillant qui pourrait être présent sur le système.

L'installateur de l'étape 2 est GeeSetup_x86. dll. Il vérifie la version du système d'exploitation, et implémente une version 32 bits ou 64 bits du cheval de Troie sur le système basé sur la vérification.

Lire aussi: Gestionnaire de mots de passe déterministe Problèmes

Le cheval de Troie 32 bits est TSMSISrv. dll, le cheval de Troie 64 bits est EFACli64. dll.

Identification des charges utiles de l'étape 2

Les informations suivantes aident à déterminer si une charge utile de l'étape 2 a été installée sur le système.

Clés de registre:

HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\HBP

Fichiers:

GeeSetup_x86. dl (Hash: dc9b5e8e8aa6ec86db86db8af0a7aaa897ca897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64. dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da46da460055733bb6f4f)
TSMSISrv. dll (Hash: 07fb252d2d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
DLL dans le registre: f0d1f88c59c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Étape 2 Charge utile: dc9b5e8aa6ec86db86db8af0a7aa7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83

 

Modifié par Wullfk

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour a tous

 

Attention a la dramatisation

Le 20 septembre 2017, Talos a publié un second billet (cf. section Documentation) détaillant l'attaque du point de vue du serveur de livraison de charge. Le code du serveur web récupéré montre un soucis de validation des cibles. Cela est renforcé par l'analyse des bases de données : sur les sept-cent-mille machines s'étant connectées au serveur entre le 12 et le 16 septembre 2017, seulement une vingtaine d'entre-elles auraient reçu et vraisemblablement exécuté la charge secondaire.

en plus de la clé HKLM\SOFTWARE\Piriform\Agomo , qui est une preuve de compromission

Talos fournit les condensats de cette charge et des fichiers malveillants téléchargés suite à son exécution :

 

GeeSetup_x86.dll : dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
EFACli64.dll : 128aca58be325174f0220bd7ca6030e4e206b4378796e82da460055733bb6f4f
TSMSISrv.dll : 07fb252d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a

Le dernier condensat correspond à une porte dérobée dont l'utilité est de récupérer d'autres binaires malveillants. Celle-ci est stockée dans la base de registre de Windows, de manière encodée, dans les clés suivantes:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

Source : déja vu mais je la remet > http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-013/

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

 

Pour info

 

EFACli64.dll est un fichier légitime de Norton

 

Si vous ne possédez pas de produit Symantec (Norton) cette DLL ne doit pas être présente

 

"En termes de structure, les DLL sont assez intéressants parce qu'ils se rattachent au code d'autres fournisseurs en injectant les fonctionnalités malveillantes dans des DLL légitimes. Le code 32 bits est activé via une version patchée de VirtCDRDrv32.dll (partie du package WinZip de Corel), tandis que le 64 bits utilise EFACli64.dll - une partie d'un produit Symantec."

 

Source: Blog Avast

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×