CCleaner : Un Code malveillant découvert (Trojan.floxif)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6240
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide »

Shimik_Root a écrit : 27 oct. 2017 15:28 Merci pour l'info.

Perso je vais désinstaller CCleaner et ne me servir que de la version portable occasionnellement ce qui est dommage c'est qu'à mon avis on ne peut pas combiner CCleaner portable avec CCenhancer..
En alternatif tu as System Ninja https://singularlabs.com/software/system-ninja/ qui est du même auteur que CCenhancer et Privazer https://privazer.com/

Chacun a ses avantages et inconvénients

Perso j'ai versé mon obole pour ce dernier car la version "donor" ajoute quelques fonctions comme https://privazer.com/download-shellbag- ... leaner.php et permet de bénéficier de suite des nouvelles fonctionnalités ou améliorations

Le nettoyage du shellbag ne se conçoit que dans le but d'effacement de ce qui est lié à la vie privée et non pour faire de la place (de nombreux programmes dont ceux de jeux comme Origin par ex, jettent un oeil dans ce log, ce que je considère comme une intrusion
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte »

En tout cas, on sent que CCleaner a été racheté par Avast! ....
Le tout pré-coché bien entendu.
Cette proposition a aussi lieu lors d'une mise à jour.
CCleaner propose d'installer Avast! ...
CCleaner propose d'installer Avast! ...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6240
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide »

Par contre, si on passe par certains programmes de mise à jour, ou Antivirus (comme Kaspersky), la mise à jour ne concerne QUE le programme et on n'a pas droit aux autres propositions commerciales (heureusement :-)

Petite curiosité

Pour rappel :

Dans le dossier de Ccleaner on a le programme CCUpdate.exe

L'emergency Updater est apparu en octobre dernier après les "soucis" d'infection
C'est la meme chose que le Avast Antivirus Emergency Updater de 2012 (puisque AVAST a racheté la sté Piriform)

En fait sont apparus dans le changelog :

- Added new executable: "CCUpdate.exe"
- Added new Windows Scheduled Task: "CCleaner Update"

Donc effectivement liés à la mise à jour
Il s'agit d une mise à jour forcée par l'éditeur en cas de nouveaux problèmes, et l'autre, classique en programmé une fois par jour

Emergency Updater est une fonctionnalité utile, à condition que des "attaquants" ne l'exploitent pas avec succès pour nous balancer du code malveillant
Perso je considère cela comme un risque ajouté, vu la façon dont a été traitée l'attaque de l'année dernière par AVAST, et je l'ai désactivé
ccleanertaches.png
ccleanertaches.png (3.96 Kio) Consulté 2956 fois
Avec autoruns on peut virer cette tâche programmée via l'onglet "sheduled tasks" (il suffit de décocher)
Jusque là rien que tu très classique

J'utilise l'extension CCenhancer avec CCleaner, mais cela n'influe pas vraiment au chargement et scan

LE TRUC :

Je me suis amusé (via autoruns) à effacer l'entrée CCleaner Update (elle était déjà décochée) et là... je n'ai plus à attendre une dizaine de secondes pour avoir accès aux boutons "analyser" ou " "Nettoyer" juste après le lancement de CCleaner
C'est immédiat

J'aurai du avant regarder si Ccleaner au lancement fait un appel réseau chez AVAST/Piriform, pour savoir si il y a une mise à jour en urgence ou pas, en bypassant la tâche programmée, ou analyser ce qui se lançait au démarrage, mais en tous les cas, il y a une routine d'exécution qui a disparu et le résultat est là :-)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte »

il fait forcément un envoi pour récupérer la dernière version et s'il y a une différence, il va chercher la mise à jour.
Identifiant unique etc, comme d'hab :
Test mise à jour CCleaner au lancement
Test mise à jour CCleaner au lancement
La tâche planifiée de l'update n'a pas l'air de faire de requête réseau.
Je pense qu'elle sert juste à contourner l'UAC pour lancer la mise à jour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6240
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide »

Avast a déclaré avoir détecté des preuves d'une troisième souche de malware.

Cette nouvelle variété a été trouvée sur quatre ordinateurs des employés de Piriform, Piriform étant la compagnie derrière l'application de CCleaner, qu'Avast a achetée en juillet 2017.

Ces infections remontent au 12 avril 2017, et Avast pense qu'il a été utilisé pour repérer le réseau de Piriform en prévision du principal piratage qui devait survenir cet été 2017.


La troisième souche de malware s'appelle ShadowPad
shdowpad.png
Le nom de ce malware est ShadowPad, un framework de malware multi-usage et modulaire qui inclut de nombreux plugins qui fournissent diverses fonctionnalités, telles que les fonctionnalités de porte dérobée, le keylogging et l'exfiltration de données.

ShadowPad a été repéré pour la première fois par des chercheurs de Kaspersky en août 2017 sur les serveurs de NetSarang, un fabricant de logiciel sud-coréen. Selon Kaspersky, un groupe de cyberespionnage non identifié a injecté ShadowPad dans le logiciel de NetSarang et utilisait le malware comme porte dérobée dans les réseaux infectés.

https://www.kaspersky.com/about/press-r ... -the-world

Avast dit avoir trouvé des fichiers journaux ShadowPad sur les quatre ordinateurs piriformes infectés. Les fichiers journaux contenaient des frappes cryptées, ce qui signifie que les attaquants ont déployé le plugin keylogger de ShadowPad.

Ils ont également trouvé des plugins ShadowPad qui pourraient voler les mots de passe des applications locales, mais aussi d'autres outils qui pourraient télécharger des plugins ShadowPad supplémentaires.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Shimik_Root
Geek à longue barbe
Geek à longue barbe
Messages : 1157
Inscription : 10 févr. 2009 19:56
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Shimik_Root »

Une nouvelle qui fait froid aux yeux et qui ne laissera pas indifférent tout les utilisateurs de CCleaner.. Perso je m'en méfie maintenant et je ne l'utilise même plus. Je le réinstallerai peut être plus tard.

Elowad
Messages : 2
Inscription : 27 févr. 2018 15:29
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Elowad »

Merci, j'ai désinstallé.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6240
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide »

Shimik_Root a écrit : 11 mars 2018 13:25 Une nouvelle qui fait froid aux yeux et qui ne laissera pas indifférent tout les utilisateurs de CCleaner.. Perso je m'en méfie maintenant et je ne l'utilise même plus. Je le réinstallerai peut être plus tard.
CCleaner avant le rachat, cette histoire de code malveillant , et les méthodes marketing d'AVAST a eu son heure de gloire

En plus je ne vois pas où est l'efficacité d'un nettoyeur, lorsque par défaut la case "Effacer uniquement les fichiers temporaires de windows datant de plus de 24 heures" n'est pas cochée par défaut (je ne parle pas de gain de place mais de l'aspect vie privée)

Perso je le garde pour une seule raison.. Avec l'extension CCenhancer on peut aller très loin, et SURTOUT on peut aller voir dans les détails à quoi se rapporte ce qui doit être effacé
Ce qui n 'est pas le cas des autres programmes type PRIVAZER etc
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte »

C'est surement le piratage de Piriform qui a précipité le rachat par Avast!.
La société n'a certainement pas su comment y faire face.
Pour Avast!, ça permet d'utiliser le nom CCleaner pour refiler Avast! (ce qui est déjà fait) et certainement à terme utiliser quelques trucs de CCleaner dans Avast! Cleanup.
Perso, jamais utilisé ces trucs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte »

Le message initiale a été éditée pour donner de nouvelles informations suite à une entrée dans le blog Avast!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: Avast! piraté

Message par Malekal_morte »

Avast! signale une intrusion sur son réseau interne à travers la compromission d'un accès VPN.
Ce dernier n'a pas de compte administrateur mais les pirates auraient pu réaliser une monté de privilèges.

Les motivations ne sont pas encore indiquées et il n'est pas non plus clairement établis qu'il s'agit du même groupe que le piratage de CCleaner.
Ce piratage a été détecté le 23 Septembre mais il semblerait que cela a commencé en Mai 2019.

Source : Avast says hackers breached internal network through compromised VPN profile
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 871
Inscription : 25 févr. 2008 20:01

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par devadip »

Nouvelle intrusion chez c cleaner
Il semblerait que le logiciel de nettoyage de fichiers CCleaner de la société tchèque AVAST, spécialiste en cybersécurité, ait été une nouvelle fois piraté (ce même produit avait été infiltré lors d’une attaque en 2017). Les cybercriminels auraient installé à distance un implant de porte dérobée sur des millions d’ordinateurs.

Selon Kevin Bocek, , VP Security Strategy & Threat Intelligence, Venafi :

« D’après la réponse d’Avast, il semble probable que les attaquants ont ciblé des clés et des certificats de signature de code. Depuis des décennies, la signature de code est utilisée pour vérifier l’intégrité des logiciels, et presque toutes les organisations s’y fient pour confirmer que leur code n’a pas été corrompu par des logiciels malveillants.

Cependant, si les clés et les certificats de signature de code ne sont pas correctement protégés, les attaquants peuvent les transformer en cyber-armes puissantes. Grâce à la signature de code, les cybercriminels peuvent faire passer leurs logiciels malveillants pour des logiciels de confiance, ce qui leur permet de se propager et de passer inaperçus. Les certificats de signature de code ont été la principale raison du succès de Stuxnet et ShadowHammer ; ces attaques sont des types de proto que de nombreux attaquants tentent d’imiter aujourd’hui. »
https://www.undernews.fr/hacking-hackti ... irate.html

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte »

les attaquants peuvent les transformer en cyber-armes puissantes
Je dirai même plus : cyber-armes puissantes de OUF.
il faut peut-être envisager de contrôler la signature alimentaire des produits consommés par les journalistes à la cantine.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6240
Inscription : 02 juin 2012 20:48

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Parisien_entraide »

Faut pas leur en vouloir, ils étaient en train de rédiger un article sur le cannabis thérapeutique et ils se sont trompé de crèmerie à l'achat, en voulant tester la marchandise :-)

Edit : https://blog.avast.com/fr/ccleaner-figh ... empt-abiss


Plus sérieusement on a cela aussi, https://sensorstechforum.com/fr/cve-201 ... avast-avg/
En résumé : Un attaquant peut (pouvait) contourner la protection anti-virus et augmenter ses droits sur le système en utilisant CVE-2019-17093 et c'est tout simple
Le processus AVGSvc.exe au démarrage tente de télécharger le fichier wbemcomn.dll à partir du répertoire C: \ Windows \ System32 \ wbem \ wbemcomn.dll.
Le soucis étant qu'il n'y a pas de bibliothèque le long de ce chemin. En fait, elle se trouve dans le dossier System32
Il suffit donc de placer une DLL non signée, basée sur la version légitime de wbemcomn.dlldans dans C: \ Program Files \ System32 \ avec la possibilité de s’exécuter avec des droits d’administrateur.
Bon c'est patché depuis peu, mais vu la faille cela fait amateur.

A noter que le prob existe également pour AVG et ... AVIRA https://nvd.nist.gov/vuln/detail/CVE-2019-17449
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104451
Inscription : 10 sept. 2005 13:57
Contact :

Re: CCleaner : Un Code malveillant découvert (Trojan.floxif)

Message par Malekal_morte »

C'est courant les élévations de privilèges sur les clients antivirus comme ils se chargent très bas.
Il y a régulièrement des bulletins de sécurité sur des vulnérabilités de ce type.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Actualité & News Informatique »