@MSGID: <4a80ff89ecbaae585c766edc4929a0a5@dizum.com>
87a5b910
@REPLYADDR Nomen Nescio <nobody@dizum.com>
@REPLYTO 2:5075/128 Nomen Nescio
@CHRS: CP866 2
@RFC: 1 0
@RFC-Message-ID:
<4a80ff89ecbaae585c766edc4929a0a5@dizum.com>
@TZUTC: 0200
@TID: FIDOGATE-5.12-ge4e8b94
? 2023 AO Kaspersky Lab

Understanding the Threat

The malware consisted of two Trojans, Trojan.Floxif and 
Trojan.Nyetya, inserted into the free versions of CCleaner version 
5.33.6162 and CCleaner Cloud version 1.07.3191. It`s believed the 
hackers compromised CCleaner`s build environment to insert the 
malware.

According to different reports, the malware is capable of collecting 
specific data from an infected computer system, including IP 
addresses and information on installed and active software, and 
sending it to a third-party server located in the United States.

CCleaner`s parent company, Avast Piriform, found the malware on 
September 12, 2017, and immediately took steps to remediate the 
problem. Initially, the company believed it was confined to the above 
versions running on a 32-bit Windows systems and that downloading 
upgraded versions of the program would solve the problem. It`s 
believed more than 2 million users were infected.

Unfortunately, the company soon discovered the malware infection was 
more severe than originally believed. A second stage payload was 
discovered by Cisco Talos. This payload targeted approximately 20 of 
the largest tech companies, including Google, Microsoft, Cisco, and 
Intel, and infected 40 computers.

According to Wired, "Cisco says it obtained a digital copy of the 
hackers` command-and-control server from an unnamed source involved 
in the CCleaner investigation. The server contained a database of 
every backdoored computer that had `phoned home` to the hackers` 
machine between September 12 and 16".

Although there is no definitive evidence identifying the party 
responsible for the CCleaner malware, investigators discovered a link 
to a Chinese hacking group known as Axiom.

The CCleaner malware shares code with tools used by Axiom, and a time 
stamp on a compromised server matched a Chinese time zone; however, 
time stamps can be changed or modified, making it difficult to 
pinpoint origin.

Combined with the choice of tech targets, this raised concerns that 
CCleaner malware could be part of a state-sponsored attack. As of 
late 2017, the investigation into responsibility for the hack is 
ongoing.
How to Get Rid of CCleaner Malware?

When the CCleaner malware was first discovered, users were advised to 
upgrade to the newest version of the program based on the belief it 
was an isolated incident and later versions were safe. However, the 
discovery of the second stage payload complicated removal and 
protection.

Having a disaster recovery plan in place may be the only way to truly 
ensure your computer is free of the CCleaner malware. Investigators 
recommend restoring systems to backed-up versions dating before 
August 15, when the first infected tools were released.

The infected version of CCleaner should be uninstalled and antivirus 
scans initiated to ensure the system is clean. If you decide to 
reinstall CCleaner, it should be the most recent version available, 
or at least version 5.34 or higher.

CCleaner is known to be an excellent tool for eliminating malicious 
programs that hide deep in computer systems, but as the CCleaner 
malware incident proves, even the programs created to protect our 
computers from threats are not immune to hackers.

--- FIDOGATE 5.12-ge4e8b94
 * Origin: dizum.com - The Internet Problem Provider (2:5075/128)
SEEN-BY: 5001/100 5005/49 5015/255 5019/40 5020/715
848 1042 4441 12000
SEEN-BY: 5030/49 1081 5058/104 5075/128
@PATH: 5075/128 5020/1042 4441