Cuộc tấn công được mô tả như vậy bởi các nhà nghiên cứu tại Cisco Talos: “phiên bản CCleaner 5.33 đã được ký hợp pháp…so chứa một tải trọng phần mềm độc hại nhiều giai đoạn chạy trên đầu trang của cài đặt CCleaner.”Công ty mẹ của CCleaner, Piriform (gần đây đã được mua bởi công ty chống virus khủng khiếp Avast), đã thừa nhận vấn đề này ngay sau đó.
Vì CCleaner tuyên bố có hàng triệu lượt tải xuống mỗi tuần, đó có thể là một vấn đề nghiêm trọng.
Phần mềm độc hại làm gì?
Phần mềm độc hại không chủ động gây hại cho hệ thống, nhưng nó đã mã hóa và thu thập thông tin có thể được sử dụng để gây hại cho hệ thống của bạn trong tương lai. Đặc biệt, theo Piriform, nó tạo ra một định danh duy nhất cho máy tính và thu thập:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Bạn có thể đọc thêm thông tin kỹ thuật về cuộc tấn công tại blog của Cisco Talos và tại blog của Piriform.
Tôi có bị ảnh hưởng không?
Rất may, có vẻ như phần mềm độc hại này chỉ ảnh hưởng đến một nhóm người dùng CCleaner nhất định. Đặc biệt, nó bị ảnh hưởng:
- Người dùng đang chạy phiên bản 32 bit của ứng dụng (không phải phiên bản 64 bit)
- Người dùng đang chạy phiên bản 5.33.6162 của CCleaner hoặc CCleaner Cloud 1.07.3191, phát hành vào ngày 15 tháng 8 năm 2017
Vì nhiều người dùng có khả năng sử dụng phiên bản 64 bit của ứng dụng và CCleaner Free không tự động cập nhật, đây là tin tốt cho nhiều người.
(Cập nhật: Một vài ngày sau khi tin tức này bị hỏng, tải trọng thứ hai được phát hiện là ảnh hưởng đến người dùng 64 bit - nhưng đó là cuộc tấn công nhắm mục tiêu vào các công ty công nghệ, vì vậy hầu như không có người dùng gia đình nào bị ảnh hưởng.)
Nếu bạn đang sử dụng phiên bản Windows 32 bit và nghĩ rằng bạn có thể đã tải xuống CCleaner trong khung thời gian bị ảnh hưởng, dưới đây là cách kiểm tra phiên bản bạn có. Mở CCleaner và nhìn vào góc trên bên trái của cửa sổ - bạn sẽ thấy một số phiên bản dưới tên chương trình.
HKLMSOFTWAREPiriform
và xem liệu có một khóa được dán nhãn không
Agomo:MUID
. Nếu khóa đó tồn tại, nó có nghĩa là bạn đã có phần mềm bị nhiễm trên hệ thống của bạn tại một thời điểm.)
Tôi nên làm gì?
Trong khi không có gì ngay lập tức có hại được phát hiện, Cisco Talos khuyến cáo khôi phục hệ thống của bạn về trạng thái trước ngày 15 tháng 8 năm 2017 từ bản sao lưu nếu bạn bị ảnh hưởng. Có lẽ bạn nên chạy phần mềm diệt vi-rút và MalwareBytes trên hệ thống của bạn và các bản sao lưu của bạn để đảm bảo không có phần mềm độc hại nào được cài đặt.
Ngoài ra, họ nói, bạn có thể cài đặt lại Windows hoàn toàn - vâng, đó là một tùy chọn hạt nhân, nhưng đó là cách duy nhất để biết hoàn toàn hệ thống của bạn là sạch sau một sự kiện như thế này.