Зараженный CCleaner работал в обход защиты антивирусов. Как удалить угрозу

Кто пострадал?

Все, кто скачал и установил CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191 для Windows 32-bit с 15 августа по 12 сентября.

Avast оценивает количество зараженных машин в районе 2.27 млн. ПК.

Что делает вредоносное ПО?

Встроенная вредоносная программа, названная Floxif, собирает данные с зараженных компьютеров, такие как имя компьютера, список установленных программ, список запущенных процессов, MAC-адреса для первых трех сетевых интерфейсов и уникальные ID для идентификации каждого компьютера.

Вредоносный код также может загружать и выполнять другое вредоносное ПО, но Avast заявила, что не обнаружила доказательств того, что злоумышленники когда-либо использовали эту функцию.

Как удалить угрозу?

Вредоносная программа была встроена в исполняемый файл CCleaner. Обновление CCleaner до версии 5.34 заменяет старый исполняемый файл, удаляя встроенный вредоносный код. CCleaner не имеет системы автоматического обновления, поэтому пользователи должны скачать и установить CCleaner 5.34 вручную.

В Avast отметили, что было запущено автоматическое обноление для пользователям CCleaner Cloud, и для них проблема была решена. Чистая версия - CCleaner Cloud 1.07.3214.

Что-нибудь еще?

Вредоносная программа могла быть выполнена только в том случае, если в системе использовалась учетную запись администратора. Если вы используете ограниченную учетную запись и была установлена версия CCleaner 5.33, вредоносна активность вас не затронула. Тем не менее рекомендуется обновиться до версии 5.34.

Почему антивирусы не обнаружили угрозы?

Бинарный файл CCleaner, включающий вредоносное ПО, был подписан с использованием действительного цифрового сертификата.