系统清理工具CCleaner被植入后门 数百万用户被感染

2017-09-19 来源:金山毒霸安全实验室作者:金山毒霸安全实验室

       2017年9月18日,国外知名电脑清理软件CCleaner不幸在开发环境植入后门,保守估计,全球受害者达数百万台,使用该工具的用户将面临信息泄露风险。金山毒霸建议用户尽快卸载存在风险的版本,升级到最新版本,或者将其卸载。

图1


              

        CCleaner是一款免费的系统优化和隐私保护工具。主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。被植入后门的版本为8月15日上线的5.33版本。CCleaner全球安装量已超1.3亿,而且已被大名鼎鼎的安全公司Avast收购。所幸CCleaner在中国大陆的用户量并不大。

       有国外安全组织发现,CCleaner公司服务器在8月份被黑客入侵,导致安装文件被感染,大量用户莫名其妙中招。      

       据悉,黑客入侵后在CCleaner v5.33.6162、CCleaner Cloud v1.07.3191两个版本的软件中植入了远程管理工具,会在用户后台偷偷连接未授权服务器,接受远程指令,上传用户数据,或下载其他软件。                

       由于整个恶意字符串盗用了CCleaner的正版数字签名,用户下载安装该程序的行为不会引起任何异常报警,用户也毫无察觉。

图2


       

       金山毒霸安全实验室分析发现,安装CCleaner5.33之后,后门程序还会不断尝试连接远程服务器获取控制指令,攻击者可以完全控制中毒电脑。Avast直到9月12日才发现异常,当天就发布了干净的CCleaner v5.34,三天后又升级了CCleaner Cloud,建议使用这款软件的用户赶紧升级最新版本。     

      安全机构估计至少200万用户被感染,在Avast眼皮子底下干出这事儿,而且半个多月才被发现,真有点难以置信。金山毒霸安全实验室建议CCleaner的用户升级该软件到最新版本,或者卸载,使用金山毒霸更专业的垃圾清理工具。

图3