-
CCleaner v5.33.6162 와 CCleaner Cloud v1.07.3191 변조 된 상태로 Floxif 악성코드 포함PC and Mac 2017. 9. 19. 00:34
윈도우 관리/정리 유틸리티로 유명한 CCleaner v5.33.6162 와 CCleaner Cloud v1.07.3191 (2017년 8월 15일 ~ 2017년 9월 13일 배포)의 코드가 변조되어 정보를 수집하는 악성행위를 했다고 합니다 따라서 해당 버전을 사용하는 분들은 바로 프로그램을 언인스톨하고 시스템을 검사해야 됩니다.
Malwarebytes(진단명: Trojan.Floxif), Kaspersky(진단명: Backdoor.Win32.InfeCleaner.a), ESET(진단명: Win32/CCleaner.A, Win32/CCleaner.B)에서 탐지 중 이고 Malwarebytes Anti-Malware 무료 버전을 이용해서 검사 할 수 있습니다. * [업데이트] 현재는 윈도우 디펜더(진단명: Backdoor:Win32/Floxif)에서도 탐지하는 만큼 대다수의 유명 안티바이러스 제품에서는 진단이 가능하다고 보면 됩니다.
유명 보안업체인 체코의 Avast 는 AVG 인수 후 2017년 7월 Piriform 도 인수했는데 Piriform 제품에 대한 변조는 인수전에 일어난 일이고 계획 된 해킹으로 보고 있다고 합니다. 변조에 대해서는 지금에서야 알았고 CCleaner v5.33.6162 과 CCleaner Cloud v1.07.3191 외에 다른 제품에 대해서는 안전하다는 입장입니다.
윈도우에서 Regedit 를 실행해서 아래와 같은 윈도우 레지스트리가 존재하는지 체크 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo
MUID 와 TCID 이리 두개의 data value가 있다면 시스템이 Floxif 악성코드에 감염 된 상태입니다. CCleaner v5.33.6162 와 CCleaner Cloud v1.07.3191 실행파일 자체가 변조 된 것이기에 파일들도 반드시 삭제/언인스톨해야 합니다.Avast 의 분석에 따르면 정보수집외에 추가 악성코드 다운로드는 없었다고 하지만 악성코드 유포 기능도 포함하고 있기는 합니다. NotPetya ransomware 의 경우도 MeDoc 의 업데이트 서버를 통해 악성코드를 유포했던 걸 보면 해커들이 정보수집과 악성코드 유포 통로로 유명 프로그램에 대해 인젝션을 기획, 실행하는 걸 보면 소프트웨어 제작사들이 관리감독에 더욱 신중을 기해야하지 않을까 합니다. 사용자가 안전하다고 생각하는 유통채널을 통한 악성코드 유포(supply chain attacks)는 치명적이기 때문이죠.
현재는 악성코드가 포함되어 있지 않은 CCleaner 5.34과 CCleaner Cloud 1.07.3214 를 제공하고 있지만 유료버전이 아닌 CCleaner 무료 버전의 경우 자동 업데이트 기능을 지원하지 않기에 계속 해당 프로그램을 사용 할 거라면 변조 된 프로그램을 언인스톨 후 최신버전(New digital signature 가 적용 된 CCleaner v5.35)을 공식웹사이트에서 다운로드 받아 사용하기 바랍니다.
*[업데이트]: 생각보다 더 정교한 공격을 계획했던 모양인지 Second payload 가 발견 되었군요.
윈도우에서 Regedit 를 실행해서 아래와 같은 윈도우 레지스트리가 존재하는지 체크 합니다.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP현재는 CCleaner v5.33.6162 와 CCleaner Cloud v1.07.3191 설치로 악성코드에 감염 된 시스템은 단순히 최신 버전 CCleaner로 업데이트만으로는 부족하고 시스템을 이미지 백업했다면 감염 이전으로 돌리던지 새로 전체 시스템을 포맷하고 재설치하는 걸 권장하고 있습니다.
- CCleanup: A Vast Number of Machines at Risk
'PC and Mac' 카테고리의 다른 글
Cryptocurrency web mining : 가상화폐(비트코인, 이더리움) 채굴 자바스크립트(JavaScript) 차단방법 (0) 2017.10.02 사물 인터넷을 활용한 범죄 - IP 카메라 해킹 (0) 2017.09.21 Your Windows Has Been BANNED 악성코드 (0) 2017.09.18 프라이버시(privacy) - Microsoft의 개인정보 수집과 광고를 최소화하기 위한 윈도우 10 업데이트(Windows 10 version 1709, version 1803) 설정 (0) 2017.08.18 파일 검색 프로그램 voidtools Everything 과 Press Win + G to open Game Bar 메시지 창 (0) 2017.08.17