Cảnh báo mã độc phát tán trên phần mềm CCleaner

22/09/2017 08:09

Phần mềm cho phép dọn sạch các chương trình không cần thiết và cookie quảng cáo CCleaner vừa bị phát hiện đã nhiễm mã độc và gây ảnh hưởng hơn 2,5 triệu máy tính trên toàn cầu. Thông báo khẩn được hãng phần mềm Piriform (thuộc AVAST) phát đi ngày 17/09/2017.

Phần mềm CCleanner là gì?

CCleaner là phần mềm phổ biến toàn cầu, được phát triển và cung cấp bởi hãng Piriform ( thuộc hãng bảo mật AVAST) cho phép người dùng thực hiện việc bảo trì định kỳ trên máy tính, gồm các tác vụ như xóa file tạm, phân tích hệ thống, tối ưu hóa máy tính, giúp tối ưu hóa hiệu suất của thiết bị. Tính từ tháng 11/2016, CCleaner có tổng cộng 2 tỷ lượt tải với tốc độ tăng trưởng 5 triệu người sử dụng mỗi tuần, trong đó có một lượng lớn người dùng đến từ Việt Nam.

Các phiên bản CCleaner bị lây nhiễm

Hai phiên bản CCleaner được xác nhận bị nhiễm mã độc là CCleaner v5.33.6162 ( cùng tất cả các phiên bản 5.33 liên quan) và CCleaner Cloud v1.07.3191. Tất cả các máy tính hiện đang sử dụng 2 phiên bản này đều bị lây nhiễm.

Phương thức hoạt động của mã độc trong CCleaner

Mã độc này được đặt tên là Floxif. Mục đích của Floxif là thu thập dữ liệu từ các máy tính bị lây nhiễm, như tên user account , danh sách các phần mềm cài đặt trên máy, danh sách các tiến trình, địa chỉ mạng đang chạy trên máy và các thông tin nhận dạng máy tính người dùng.

Sau khi lây nhiễm vào phần mềm CCleaner hợp pháp, mã độc cố gắn che giấu hành vi bằng cách: mã hóa nội dung tập tin và xóa một phần nội dung trong lúc nạp vào vùng nhớ HEAP, gây khó khăn cho sự phát hiện lây nhiễm của phần mềm antivirus. Bênh cạnh đó mã độc tự gây chậm trễ quá trình hoạt động của chính nó, ước tính là 601 giây trên hệ thống bị lây nhiễm và kiểm tra phân quyền quản trị trên hệ thống làm tăng khả năng ẩn danh của nó trên hệ thống.

Sau đó, nó gửi thông tin được mã hóa đã tùy chỉnh đến máy chủ C2 (Command and Control). Quá trình phân tích của Talos, hãng bảo mật phát hiện ra Floxif,  cho thấy, mã độc này có liên lạc với máy chủ C2 bằng tên miền hợp lệ speccy[.]piriform[.]com có hỗ trợ mã hóa SSL. Điều này khiến cho khả năng phân tích mã độc trở nên khó khăn hơn.

Hình ảnh nội tuyến 2
Cấu trúc dữ liệu mã độc đã được mã hóa


Mã độc này hoạt động rất tinh vi khi nó sử dụng quá trình phân giải DNS để xem xét hoạt động C2 để tính toán việc liên lạc cho lần tiếp theo. Do quá trình này khá nguy hiểm nên tạm thời Talos không công bố thông tin chi tiết để ngăn chặn những người có mục đích không tốt.


Danh sách các tên miền

Cũng cần phải lưu ý rằng vào thời điểm hiện tại, việc phát hiện mã độc này trên các phần mềm diệt virus là khá thấp (ở mức 1/64 trên virustotal).

Khuyến nghị

Khách hàng của Piriform được khuyến cáo nâng cấp ngay lập tức lên phiên bản CCleaner 5.34 đã được cập nhật bản vá và diệt mã độc. CCleaner không có hệ thống tự động cập nhật, vì thế người dùng phải tải về và cài đặt CCleaner 5.34 thủ công. Avast cho biết họ đã phát hành bản cập nhật mới cho người dùng CCleaner Cloud, và không có vấn đề gì về malware được phát hiện. Phiên bản sạch là CCleaner Cloud 1.07.3214.

Doanh nghiệp và người dùng có thể tìm hiểu thêm về CCleaner 5.34 trên trang chủ của Piriforn tại đây.

mt.gov.vn

Tin liên quan

Thông báo Kế hoạch sinh viên nghỉ lễ Giỗ tổ Hùng Vương, nghỉ lễ ngày Giải phóng Miền Nam 30/4 và ngày Quốc tế Lao động 01/5 năm 2024 16/04/2024
Hướng dẫn Tổ chức khám sức khỏe cho VC-NLĐ năm 2024 16/04/2024
Thông báo Kế hoạch Tổ chức các hoạt động chào mừng Tháng Công nhân và kỷ niệm 13 năm đào tạo trình độ đại học 16/04/2024
Thông báo về việc mời tham gia Cuộc thi Giải pháp xanh hướng tới nền kinh tế tuần hoàn, phát triển bền vững 10/04/2024
Thông báo nội dung đề cương ôn thi Vòng 2, kỳ tuyển dụng viên chức 05/04/2024
Thông báo kết quả thi vòng 1, kỳ tuyển dụng viên chức 04/04/2024

Tin nổi bật

Thông tin mới nhất