Putain mais qu'est-ce que c'est que ce bordel encore ?! Certaines boites se foutent vraiment de la gueule du monde ! >:(
Bon ça va, je ne suis pas concerné, mais je vais chercher une alternative à CCLeaner.
On se fout de ma gueule une fois, pas deux ! >:(
Comme je suis en 64 Bits je devrais être épargné mais je vais quand même vérifier par acquis de conscience.
:)
Je crois bien que c'est ça qui m'a sauvé aussi.
Mais c'est quand même dégueulasse ! >:(
Bonjour,
Toujours sur le même sujet:
Les chercheurs de Cisco Talos Intelligence ont découvert un deuxième malware dans la version corrompue de CCleaner. En plus de la mise à jour du logiciel, ils recommandent de restaurer votre PC.
Comme une deuxième couche à l'intérieur. Le deuxième étage d'une fusée particulièrement vicieuse. En début de semaine, des chercheurs en sécurité de Cisco Talos Intelligence révélaient que le très populaire logiciel de « nettoyage » de PC, CCleaner, embarquait une porte dérobée depuis la mi-août. Le code malveillant semblait avoir été placé là après une intrusion sur le réseau de Piriform, éditeur du logiciel. Une mise à jour vers une version a priori saine et plus récente était fortement recommandée.
Aujourd'hui, ces mêmes chercheurs publient un nouveau document qui contient le fruit de leur enquête en cours. Mauvaise surprise, il n'y avait pas une mais deux « charges » malveillantes dans CCleaner. Si Piriform encourage vivement les utilisateurs de son programme à réaliser une nouvelle mise à jour, les conseils des chercheurs de Talos Intelligence vont un peu plus loin que cela.
Revenir en arrière, d'urgence
« Ceux qui sont touchés par cette attaque ne doivent pas simplement supprimer la version affectée de CCleaner ou la mettre à jour pour la dernière version », expliquent-ils. Pourquoi ? Parce qu'après un premier, puis un deuxième étage, la descente aux Enfers pourraient continuer. De fait, les ordinateurs contaminés le sont peut-être par plus de deux malwares désormais.
Les utilisateurs de CCleaner concernés « doivent procéder à une restauration depuis une sauvegarde ou une image système pour s'assurer d'avoir complètement retiré non seulement la version de CCleaner contenant la porte dérobée mais également tout autre malware qui pourrait résider sur le système ».
Autrement dit, le message est clair, il va falloir remonter dans le temps, avant le 15 août et avant que vous ayez installé la mise à jour corrompue (v 5.33 et suivantes). Si on prend en compte les chiffres fournis par Pirifom, CCleaner enregistre cinq millions d'installations par semaine. On peut donc estimer qu'environ 30 millions de versions corrompues ont été installées. Des précautions s'imposent donc.
Pour la seule période du 12 au 16 septembre, la base de données du centre de commande du malware principal indiquait qu'un peu plus de 700 000 machines contaminées s'y étaient connectées pour prendre leurs ordres. En revanche, seulement une grosse vingtaine de PC auraient reçu le deuxième malware, toujours au cours de cette période.
Quelques indices de contamination
Pour les plus inquiets d'entre vous, il est possible de trouver des indices qui vous permettront de savoir si votre machine est contaminée. Tout d'abord, des clés de registre sont ajoutées par le cheval de Troie de la deuxième charge.
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.
GeeSetup_x86.dl
EFACli64.dll (le cheval de Troie en version 64 bit)
TSMSISrv.dll (le cheval de Troie en version 32 bit)
DLL dans le Registre :
f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Deuxième charge :
dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
Si ces éléments figurent sur votre machine, il ne vous reste plus qu'à rétablir une sauvegarde ou une image de votre système d'exploitation établie à une date antérieure au 15 août dernier.
date antérieure au 15 août dernier.
Une toute autre ampleur
La seconde charge découverte a également révélé que le malware vise des sociétés bien précises, afin de leur voler des données sensibles, selon toute logique. On trouve ainsi les noms de Cisco, Microsoft, Samsung, HTC ou encore Sony. Mais cette liste aurait évolué au fil du temps et de la vie de ce malware, avance Talos Intelligence, qui précise que plusieurs centaines de machines dépendant de noms de domaine gouvernementaux ont également été prises pour cible.
Ces nouvelles informations inquiètent davantage encore les chercheurs en sécurité, car elles désignent un acteur « possiblement inconnu » mais doté de ressources importantes. S'agit-il d'un groupe de hackers soutenu par un Etat ou par un gros industriel ? Talos Intelligence ne le dit pas. Tout juste est-il précisé dans sa communication qu'un des fichiers retrouvés sur les serveurs du centre de commande du malware fait référence au fuseau horaire de la République populaire de Chine.
Les ingénieurs prennent bien garde de préciser aussitôt que cela ne peut pas suffire à attribuer cette attaque à des hackers chinois. Evidemment.
Le fait que la signature d'un programme soit usurpé cela complique beaucoup la sécurité
Il n'y a pas d'usurpation de signature avec un faux certificat de sécurité, c'est quasi impossible. Il faudrait une puissance de calcul inimaginable pour trouver la clé privée du certificat, des siècles de calculs à l'heure actuelle.
Si Piriform n'est pas responsable, c'est que quelqu'un est entré chez eux et à eu accès à leur clé et a utilisé cette clé privée du certificat de sécurité.
Ces derniers jours, ça parlait de deux infections, mais il s'agit d'une infection pour deux logiciels. CCleaner & CCleaner Cloud.
A noter que la nouvelle version 5.35 n'apporte aucune modification ou amélioration. Elle n'est pas vérolée, bien entendu.
Cette nouvelle version apporte simplement un nouveau certificat de sécurité puisque l'ancien n'est plus utilisable en raison de la divulgation de la clé privée.
Citation de: alexetgus le 22 Septembre 2017 à 10:21:53
Il n'y a pas d'usurpation de signature avec un faux certificat de sécurité, c'est quasi impossible. Il faudrait une puissance de calcul inimaginable pour trouver la clé privée du certificat, des siècles de calculs à l'heure actuelle.
Si Piriform n'est pas responsable, c'est que quelqu'un est entré chez eux et à eu accès à leur clé et a utilisé cette clé privée du certificat de sécurité.
Ces derniers jours, ça parlait de deux infections, mais il s'agit d'une infection pour deux logiciels. CCleaner & CCleaner Cloud.
A noter que la nouvelle version 5.35 n'apporte aucune modification ou amélioration. Elle n'est pas vérolée, bien entendu.
Cette nouvelle version apporte simplement un nouveau certificat de sécurité puisque l'ancien n'est plus utilisable en raison de la divulgation de la clé privée.
C'est pour ça qu'ils ont changée la signature sur la dernière monture ;D
Citation de: Goupilop le 22 Septembre 2017 à 11:26:48
Citation de: alexetgus le 22 Septembre 2017 à 10:21:53
Il n'y a pas d'usurpation de signature avec un faux certificat de sécurité, c'est quasi impossible. Il faudrait une puissance de calcul inimaginable pour trouver la clé privée du certificat, des siècles de calculs à l'heure actuelle.
Si Piriform n'est pas responsable, c'est que quelqu'un est entré chez eux et à eu accès à leur clé et a utilisé cette clé privée du certificat de sécurité.
Ces derniers jours, ça parlait de deux infections, mais il s'agit d'une infection pour deux logiciels. CCleaner & CCleaner Cloud.
A noter que la nouvelle version 5.35 n'apporte aucune modification ou amélioration. Elle n'est pas vérolée, bien entendu.
Cette nouvelle version apporte simplement un nouveau certificat de sécurité puisque l'ancien n'est plus utilisable en raison de la divulgation de la clé privée.
C'est pour ça qu'ils ont changée la signature sur la dernière monture ;D
Release notes
v5.35.6210 (20 Sep 2017)
- All builds signed with new Digital Signatures