[CCleaner ] Loại bỏ chương trình là chưa đủ để đảm bảo an toàn

By | 10:09 am | 22/09/2017

Vụ việc mã độc có trong CCleaner vài ngày qua đã khiến nhiều người hoang mang, nhiều người dùng đăng tải câu hỏi rằng thông tin CCleaner bị dính mã độc có là chính xác?

qcc

CCleaner được Talos cảnh báo bị tấn công vào đầu tuần, và các nhà nghiên cứu bảo đảm với người dùng bị nhiễm mã độc rằng họ có thể cập nhật phiên bản mới nhất của CCleaner để thoát khỏi ảnh hưởng.

Tuy nhiên, trong quá trình phân tích máy chủ C&C mà các phiên bản CCleaner độc hại kết nối đến, các nhà nghiên cứu bảo mật của Talos đã tìm thấy payload thứ hai (GeeSetup_x86.dll, một backdoor mudule hạng nhẹ) được phát tán tới các máy tính thuộc các công ty công nghệ lớn.

Các công ty bao gồm:

  • Google
  • Microsoft
  • Cisco
  • Intel
  • Samsung
  • Sony
  • HTC
  • Linksys
  • D-Link
  • Akamai
  • VMware

Các nhà nghiên cứu đã phát hiện ra một danh sách gần 700.000 máy bị nhiễm payload thứ nhất và ít nhất 20 máy bị nhiễm payload thứ hai.

Về phía người dùng, việc chỉ cần gỡ bỏ CCleaner từ các máy tính bị nhiễm như khuyến nghị trước đây sẽ không đủ để loại bỏ payload thứ hai, bởi C&C thứ hai vẫn đang hoạt động. Do đó các công ty bị ảnh hưởng nên khôi phục lại hoàn toàn các hệ thống từ các bản sao lưu trước khi cài đặt chương trình này.

“These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system,”

– Theo các nhà nghiên cứu: Người dùng không nên chỉ loại bỏ phiên bản bị ảnh hưởng hoặc chỉ cập nhật lên phiên bản mới nhất, mà họ còn cần thực hiện khôi phục lại hệ thống để đảm bảo loại bỏ hoàn toàn các chương trình mã độc có trong hệ thống “.

Ngoài ra, phiên bản Windows 32-bit của CCleaner v5.33.6162 và CCleaner Cloud v1.07.3191 bị ảnh hưởng bởi mã độc, người dùng nên cập nhật phần mềm lên phiên bản 5.34 hoặc mới hơn.