CCleaner infectado con malware desde hace un mes.
- Passenger
-
Autor del tema
- Desconectado
- Moderador
-
- forseti99
-
- Desconectado
- Moderador
-
- Cría cuervos, y tendrás muchos.
8 años 4 meses antes #2
por forseti99
Respuesta de forseti99 sobre el tema CCleaner infectado con malware desde hace un mes.
Leyendo la fuente original, los de Cisco Talos (rama dedicada a la seguridad empresarial) deshuesaron el malware y hay información que dejaron pasar los de BleepingComputer por confiar en los de Avast (nuevos dueños de Piriform y por tanto de Ccleaner).
blog.talosintelligence.com/2017/09/avast-distributes-malware.html
El ataque fue directamente al distribuidor del software Ccleaner, por eso los certificados eran válidos, el malware se trataba de conectar a varias direcciones diferentes no reclamadas, que los de Cisco ya compraron para evitar que sean usadas. Y lo más importante: EL MALWARE NO SE ELIMINA ACTUALIZANDO A LA SIGUIENTE VERSIÓN. A pesar de lo que los de Avast dijeron.
Solo estarías eliminándolo del ejecutable, pero si tu sistema ya está infectado no estás solucionando el problema.
DEBES ocupar MalwareBytes o ClamAV (este último es de Cisco) para revisar tu sistema. El Avast Antivirus varias horas después del anuncio aún no podía detectar el malware, así que si escanean con ese no confíen en el resultado.
PERO la cosa no termina ahí, aquí está la recomendación directa de Cisco Talos:
LOS SISTEMAS AFECTADOS NECESITAN SER RESTAURADOS A UN PUNTO ANTERIOR A AGOSTO 15 DEL 2017 O REINSTALADOS.
El antivirus evitará que se ejecute el malware, pero este seguirá en tu sistema, al parecer. Supongo que para evitar cualquier riesgo futuro es que te recomiendan hacer una de esas dos cosas.
Así que si tenían pensado reinstalar windows y andaban aún dudando, esta es la oportunidad perfecta para hacerlo.
blog.talosintelligence.com/2017/09/avast-distributes-malware.html
El ataque fue directamente al distribuidor del software Ccleaner, por eso los certificados eran válidos, el malware se trataba de conectar a varias direcciones diferentes no reclamadas, que los de Cisco ya compraron para evitar que sean usadas. Y lo más importante: EL MALWARE NO SE ELIMINA ACTUALIZANDO A LA SIGUIENTE VERSIÓN. A pesar de lo que los de Avast dijeron.
Solo estarías eliminándolo del ejecutable, pero si tu sistema ya está infectado no estás solucionando el problema.
DEBES ocupar MalwareBytes o ClamAV (este último es de Cisco) para revisar tu sistema. El Avast Antivirus varias horas después del anuncio aún no podía detectar el malware, así que si escanean con ese no confíen en el resultado.
PERO la cosa no termina ahí, aquí está la recomendación directa de Cisco Talos:
If even a small fraction of those systems were compromised an attacker could use them for any number of malicious purposes. Affected systems need to be restored to a state before August 15, 2017 or reinstalled.
LOS SISTEMAS AFECTADOS NECESITAN SER RESTAURADOS A UN PUNTO ANTERIOR A AGOSTO 15 DEL 2017 O REINSTALADOS.
El antivirus evitará que se ejecute el malware, pero este seguirá en tu sistema, al parecer. Supongo que para evitar cualquier riesgo futuro es que te recomiendan hacer una de esas dos cosas.
Así que si tenían pensado reinstalar windows y andaban aún dudando, esta es la oportunidad perfecta para hacerlo.
Por favor, Conectar o Crear cuenta para unirse a la conversación.
- Passenger
-
Autor del tema
- Desconectado
- Moderador
-
- Diaboliquin
-
- Desconectado
- Navegador Platino
-
- Todas hieren, la última mata.
- forseti99
-
- Desconectado
- Moderador
-
- Cría cuervos, y tendrás muchos.
8 años 4 meses antes #5
por forseti99
Respuesta de forseti99 sobre el tema CCleaner infectado con malware desde hace un mes.
Estaba escribiéndote una respuesta cuando pegó el sismo y luego estuvimos sin luz ni línea telefónica por varias horas. Todo el apoyo para los afectados. 
**
Es falso. El malware funciona en ambas versiones de Windows, PERO solo si se ejecuta en el sistema. Al instalar ccleaner en Windows x64 el ejecutable de 32 bits va incluido, pero en teoría los shortcuts y demás apuntan todos al de ejecutable de 64 bits. Tendrías que revisar si efectivamente has estado ocupando el ejecutable de 64 bits incluido en la carpeta de instalación de Ccleaner. Si es así no has sido infectado.
Yendo más a fondo Morphisec, otra compañía dedicada a la seguridad empresarial, descubrió al mismo tiempo el malware y en su informe reportan :
Es decir, el malware sí identificaba el tipo de sistema y se ejecutaba de la forma correspondiente.
En el informe de Cisco Talos está especificado que solo se detenía el malware si este detectaba que estaba corriendo en un debugger o si ccleaner se ejecutaba sin permisos de administrador.
**
Es falso. El malware funciona en ambas versiones de Windows, PERO solo si se ejecuta en el sistema. Al instalar ccleaner en Windows x64 el ejecutable de 32 bits va incluido, pero en teoría los shortcuts y demás apuntan todos al de ejecutable de 64 bits. Tendrías que revisar si efectivamente has estado ocupando el ejecutable de 64 bits incluido en la carpeta de instalación de Ccleaner. Si es así no has sido infectado.
Yendo más a fondo Morphisec, otra compañía dedicada a la seguridad empresarial, descubrió al mismo tiempo el malware y en su informe reportan :
The DLL contained sophisticated methods rarely used by only few threat actors like code for identifying 64/32 which can run within both processes:
Es decir, el malware sí identificaba el tipo de sistema y se ejecutaba de la forma correspondiente.
En el informe de Cisco Talos está especificado que solo se detenía el malware si este detectaba que estaba corriendo en un debugger o si ccleaner se ejecutaba sin permisos de administrador.
Por favor, Conectar o Crear cuenta para unirse a la conversación.
- Diaboliquin
-
- Desconectado
- Navegador Platino
-
- Todas hieren, la última mata.
- Maga
-
- Desconectado
- Navegador Experto
-
- Now Loading...
Tiempo de carga de la página: 0.468 segundos