CCleaner 使用者趕快更新,特定版本遭有心人士植入後門程式

CCleaner 使用者趕快更新,特定版本遭有心人士植入後門程式

Piriform 旗下擁有眾多好用的免費程式,筆者也是愛用者之一。該公司部落格於 9 月 18 日發布 1 條安全通知,表示用在 Windows 32 位元系統的 CCleaner v5.33.6162 和 CCleaner Cloud v1.07.3191 遭惡意人士植入後門程式,建議使用者應盡速更新軟體至最新版本。

Piriform 旗下的 CCleaner 程式如其名,是個專門清理電腦內部無效檔案或是登錄檔的應用程式,因其長久下來的穩定性受到廣泛使用者的青睞,更可以搭配 CCEnhancer 外掛程式或是 winapp2.ini 檔案,清出更為深層的垃圾檔案,常保電腦運作效率。

該公司 9 月 18 日於自家部落格發布安全性通知,指稱約 1 個月前發布的 CCleaner v5.33.6162 和 CCleaner Cloud v1.07.3191 版本遭惡意人士植入木馬後門程式,對 1 組 IP 位址發送電腦相關統計資訊,進行兩階段攻擊。雖然目前該 IP 位址已無任何回應,也沒有傳出任何災情,但是 Piriform 依然建議使用者應盡速更新軟體。

CCleaner 使用者趕快更新,特定版本遭有心人士植入後門程式
▲CCleaner 遭惡意人士竄改的程式碼部分。(圖片來源:Piriform Blog)

惡意人士利用程式碼編譯時自動加入的 Common Runtime 進行修改,當程式執行時便自動解密出 1 組 DLL,該 DDL 自行獨立成 1 條執行緒進入執行狀態並持續在背景運作。該惡意程式碼將儲存與電腦有關的資訊,如 MUID、TCID、NID 等,並收集電腦名稱、安裝程式、Windows 更新版本、執行程序、前三組網路卡 MAC 位址、是否運作在管理者權限等。這些資訊加密後送往 216.126.x.x 位址(因安全緣故,Piriform 未公布完整位址),並會回傳 1 份第二階段程式碼。

慶幸的是在與 Avast Threat Labs 共同調查的過程當中,傳回的第二段程式碼並不包含其它可執行部分。目前 Piriform 沒有公布該惡意程式碼入侵的路徑,背後有何目的等臆測,僅強調還在調查當中。儘管該惡意程式碼只會影響 32 位元的 Windows 系統,而且該使用帳號必須具備管理員權限才會執行,但 Piriform 還是強建議 CCleaner 使用者更新到 v5.34 之後的版本

CCleaner 使用者趕快更新,特定版本遭有心人士植入後門程式
▲擁有眾多使用者的 CCleaner 被植入惡意程式碼,有在使用的民眾應盡速更新。

 

資料來源:Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

 

延伸閱讀

Google教你4招,常保Android裝置安全

WanaCrypt0r 2.0 危害太大,微軟破例為Windows XP、Vista、8推出重大安全更新

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則