Page 2 sur 2

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 28 oct. 2017 09:15
par Parisien_entraide
Shimik_Root a écrit :
27 oct. 2017 15:28
Merci pour l'info.

Perso je vais désinstaller CCleaner et ne me servir que de la version portable occasionnellement ce qui est dommage c'est qu'à mon avis on ne peut pas combiner CCleaner portable avec CCenhancer..
En alternatif tu as System Ninja https://singularlabs.com/software/system-ninja/ qui est du même auteur que CCenhancer et Privazer https://privazer.com/

Chacun a ses avantages et inconvénients

Perso j'ai versé mon obole pour ce dernier car la version "donor" ajoute quelques fonctions comme https://privazer.com/download-shellbag- ... leaner.php et permet de bénéficier de suite des nouvelles fonctionnalités ou améliorations

Le nettoyage du shellbag ne se conçoit que dans le but d'effacement de ce qui est lié à la vie privée et non pour faire de la place (de nombreux programmes dont ceux de jeux comme Origin par ex, jettent un oeil dans ce log, ce que je considère comme une intrusion

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 17 févr. 2018 18:43
par Malekal_morte
En tout cas, on sent que CCleaner a été racheté par Avast! ....
Le tout pré-coché bien entendu.
Cette proposition a aussi lieu lors d'une mise à jour.
ccleaner-pousse-avast.png
CCleaner propose d'installer Avast! ...

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 18 févr. 2018 11:43
par Parisien_entraide
Par contre, si on passe par certains programmes de mise à jour, ou Antivirus (comme Kaspersky), la mise à jour ne concerne QUE le programme et on n'a pas droit aux autres propositions commerciales (heureusement :-)

Petite curiosité

Pour rappel :

Dans le dossier de Ccleaner on a le programme CCUpdate.exe

L'emergency Updater est apparu en octobre dernier après les "soucis" d'infection
C'est la meme chose que le Avast Antivirus Emergency Updater de 2012 (puisque AVAST a racheté la sté Piriform)

En fait sont apparus dans le changelog :

- Added new executable: "CCUpdate.exe"
- Added new Windows Scheduled Task: "CCleaner Update"

Donc effectivement liés à la mise à jour
Il s'agit d une mise à jour forcée par l'éditeur en cas de nouveaux problèmes, et l'autre, classique en programmé une fois par jour

Emergency Updater est une fonctionnalité utile, à condition que des "attaquants" ne l'exploitent pas avec succès pour nous balancer du code malveillant
Perso je considère cela comme un risque ajouté, vu la façon dont a été traitée l'attaque de l'année dernière par AVAST, et je l'ai désactivé
ccleanertaches.png
ccleanertaches.png (3.96 Kio) Consulté 965 fois
Avec autoruns on peut virer cette tâche programmée via l'onglet "sheduled tasks" (il suffit de décocher)
Jusque là rien que tu très classique

J'utilise l'extension CCenhancer avec CCleaner, mais cela n'influe pas vraiment au chargement et scan

LE TRUC :

Je me suis amusé (via autoruns) à effacer l'entrée CCleaner Update (elle était déjà décochée) et là... je n'ai plus à attendre une dizaine de secondes pour avoir accès aux boutons "analyser" ou " "Nettoyer" juste après le lancement de CCleaner
C'est immédiat

J'aurai du avant regarder si Ccleaner au lancement fait un appel réseau chez AVAST/Piriform, pour savoir si il y a une mise à jour en urgence ou pas, en bypassant la tâche programmée, ou analyser ce qui se lançait au démarrage, mais en tous les cas, il y a une routine d'exécution qui a disparu et le résultat est là :-)

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 20 févr. 2018 11:24
par Malekal_morte
il fait forcément un envoi pour récupérer la dernière version et s'il y a une différence, il va chercher la mise à jour.
Identifiant unique etc, comme d'hab :
ccleaner-update-test.png
Test mise à jour CCleaner au lancement
La tâche planifiée de l'update n'a pas l'air de faire de requête réseau.
Je pense qu'elle sert juste à contourner l'UAC pour lancer la mise à jour.

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 11 mars 2018 13:27
par Parisien_entraide
Avast a déclaré avoir détecté des preuves d'une troisième souche de malware.

Cette nouvelle variété a été trouvée sur quatre ordinateurs des employés de Piriform, Piriform étant la compagnie derrière l'application de CCleaner, qu'Avast a achetée en juillet 2017.

Ces infections remontent au 12 avril 2017, et Avast pense qu'il a été utilisé pour repérer le réseau de Piriform en prévision du principal piratage qui devait survenir cet été 2017.


La troisième souche de malware s'appelle ShadowPad
shdowpad.png
Le nom de ce malware est ShadowPad, un framework de malware multi-usage et modulaire qui inclut de nombreux plugins qui fournissent diverses fonctionnalités, telles que les fonctionnalités de porte dérobée, le keylogging et l'exfiltration de données.

ShadowPad a été repéré pour la première fois par des chercheurs de Kaspersky en août 2017 sur les serveurs de NetSarang, un fabricant de logiciel sud-coréen. Selon Kaspersky, un groupe de cyberespionnage non identifié a injecté ShadowPad dans le logiciel de NetSarang et utilisait le malware comme porte dérobée dans les réseaux infectés.

https://www.kaspersky.com/about/press-r ... -the-world

Avast dit avoir trouvé des fichiers journaux ShadowPad sur les quatre ordinateurs piriformes infectés. Les fichiers journaux contenaient des frappes cryptées, ce qui signifie que les attaquants ont déployé le plugin keylogger de ShadowPad.

Ils ont également trouvé des plugins ShadowPad qui pourraient voler les mots de passe des applications locales, mais aussi d'autres outils qui pourraient télécharger des plugins ShadowPad supplémentaires.

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 11 mars 2018 14:25
par Shimik_Root
Une nouvelle qui fait froid aux yeux et qui ne laissera pas indifférent tout les utilisateurs de CCleaner.. Perso je m'en méfie maintenant et je ne l'utilise même plus. Je le réinstallerai peut être plus tard.

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 11 mars 2018 14:26
par Elowad
Merci, j'ai désinstallé.

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 11 mars 2018 20:02
par Parisien_entraide
Shimik_Root a écrit :
11 mars 2018 14:25
Une nouvelle qui fait froid aux yeux et qui ne laissera pas indifférent tout les utilisateurs de CCleaner.. Perso je m'en méfie maintenant et je ne l'utilise même plus. Je le réinstallerai peut être plus tard.
CCleaner avant le rachat, cette histoire de code malveillant , et les méthodes marketing d'AVAST a eu son heure de gloire

En plus je ne vois pas où est l'efficacité d'un nettoyeur, lorsque par défaut la case "Effacer uniquement les fichiers temporaires de windows datant de plus de 24 heures" n'est pas cochée par défaut (je ne parle pas de gain de place mais de l'aspect vie privée)

Perso je le garde pour une seule raison.. Avec l'extension CCenhancer on peut aller très loin, et SURTOUT on peut aller voir dans les détails à quoi se rapporte ce qui doit être effacé
Ce qui n 'est pas le cas des autres programmes type PRIVAZER etc

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 11 mars 2018 20:11
par Malekal_morte
C'est surement le piratage de Piriform qui a précipité le rachat par Avast!.
La société n'a certainement pas su comment y faire face.
Pour Avast!, ça permet d'utiliser le nom CCleaner pour refiler Avast! (ce qui est déjà fait) et certainement à terme utiliser quelques trucs de CCleaner dans Avast! Cleanup.
Perso, jamais utilisé ces trucs.

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Publié : 18 avr. 2018 17:38
par Malekal_morte
Le message initiale a été éditée pour donner de nouvelles informations suite à une entrée dans le blog Avast!