La version infectée de Ccleaner n’avait pas tout dit…

Publié par le :

La version infectée de Ccleaner n’avait pas tout dit…

 

La version infectée de Ccleaner n’avait pas tout dit…

C’est clairement l’évènement de la semaine dans l’univers des logiciels. 
L’entreprise de sécurité Cisco Talos Intelligence a révélé qu’une version du programme Ccleaner a été infectée et que l’éditeur a, sans s’en rendre compte, proposé ce logiciel vérolé en téléchargement.

Pendant presque un mois, un malware a été installé sur de nombreux ordinateurs et aurait créé des portes dérobées pour installer des programmes tiers et pour récupérer des données. 
Mais les chercheurs en sécurité ont continué d’analyser le logiciel et ont fait une autre découverte.

Deux pour le prix d’un !

Car oui, cette version infectée de Ccleaner n’avait pas révélé tout ses secrets. 
Les chercheurs de Cisco ont détecté un second malware qui ciblait quelques gros sites et entreprises comme Sony, Samsung et Cisco eux-mêmes, signe d’une attaque qui ciblait de grosses entreprises. 

D’après leurs analyses qui s’étendent sur 4 jours d’observation du comportement de ce malware, une vingtaine de machines auraient été infectées. A titre de comparaison, sur cette même période, 700 000 ordinateurs victimes du premier malware se sont connectés aux serveurs des cybercriminels.
Ccleaner Cisco

Une simple mise à jour ne suffit pas !

Si Cisco et même Piriform avaient indiqué au départ que la mise à jour du logiciel permettait de résoudre le problème, il semblerait que ce ne soit maintenant plus le cas. Pour une sécurité optimale, Cisco recommande d’effectuer une restauration du système à une date antérieure au 15 août, jour où la version vérolée à été publiée. Vous pouvez également utiliser une image système si vous en avez une sous la main.
Si vous voulez vérifier si vous êtes infecté et que vous savez naviguer dans le registre de votre ordinateur, vous pouvez rechercher les entrées suivantes :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004

Si vous les trouvez, il est plus prudent de prendre les dispositions énoncées ci-dessus.
Pour l’instant, Cisco ne s’avance pas sur les origines de ce malware mais les chercheurs continuent de décortiquer le logiciel vérolé.

Commentaires

Enregistrer un commentaire

Merci de commenter l'article