Siber suçlular CCleaner 5.33 versiyonuna virüs bulaştırdı

Lucia Danes ile - - 2017-10-09

Anti-kötücül yazılım kılığındaki kötücül yazılım

CCleaner, bilgisayarlardan reklam yazılımları ve kötücül yazılımları silip sistemleri optimize eden oldukça bilinen bir yazılım olmasıa rağmen siber suçluları son saldırısından kaçamadı. Ağustos 15 ile Eylül 12 arasında 5.33 versiyonunu indiren kullanıcılar Floxif kötücül yazılımından kaçamadı.

Amerika, Rusya ve Batı Avrupa'da 2 milyonun üzerinde kullanıcı bu popüler yazılımdan etkilenmiş durumda. Her ne kadar sadece 32-bit sistem kullanıcıları etkilenmiş olsa da, kullanıcıların programı son versiyna güncellemeleri tavsiye edilmekte.

Floxif virüsü ne yapar?

BT araştırmacıları Floxif virüsünün kurbanın sistemine ait tekik özellikleri toplayıp belirli bir Kontrol Merkezine ilettiğini ortaya çıkardılar. Bu programa virüs bulaştığını ortaya çıkaran Cisco Talos araştırmacıları aynı zamanda kötücül yazılmın 216.126.225.148 nolu IP adresi ile iletişimde olduğunu ortaya çıkardılar.

Başlangıçta, virüslü versiyon geçerli dijial imzalara sahip olduğu için hiç şüphe uyandırmadı. Çünkü, kötücül yazılım Piriform tarafından olması gerektiği gibi 5.33 versiyonu olacak şekilde yayınlanmıştı(Virüsü yazan kişiler tarafından, Avast tararından değil).

Ayrıca, yazılıma eklenen virüs harekete geçmeden önce 601 saniye beklemekteydi. Bu da kum havuzu etkisinden kaçmak içindi. İlginç olanı ise Floxif'in yönetici yetkisi ile kendi kendisini çalıştırması idi.

Güncellemeyi indirip çalıştırdıktan sonra, kötücül yazılım var olan CBkdr.dll dosyasını bulup virüslü olanı ile değiştirmekte. Ayrıca bazı verileri takip etmekte ve ana merkeze iletmekteydi, başka da hiçbir belirtisi yoktu.

Siber güvenlik uzmanları Avast'ın anti kötücül yazılımını nasıl geçtiğini hala tam olarak anlayabilmiş değiller. Kimisi suçluların yazılım geliştiricilerden birisi ile iletişim halinde olabileceğini ortaya atmakta.

CCleaner programını indirmek şimdi güvenli mi?

Her ne kadar 5.33 versiyonu hala piyasada olsa da artık virüs ortadan kaldırılmış durumda. Avast çoktan 5.34 versiyonunu 13 Eylül tarihinde piyasaya sürdü.

Her ne kadar sıradan kullanıcılar meşru bir versiyon gibi kendini ortaya atan bu saldırıdan kaçamasa da, aşağıdaki tavsiyeleri faydalı bulabilirlerl:

Her zaman birden fazla anti kötücül yazılım programı kullanın
Meşru sitelerden yayınlanır yayınlanmaz indirip kurun

Yazar hakkında

Lucia Danes - Virüs araştırmacısı

Lucia Danes ile iletişme geç
Esolutions Şirketi hakkında

Diğer dillerde oku

• Български
• Română
• Hrvatski
• 日本語
• Magyar
• 官话
• ελληνικά
• Norsk
• Suomen
• Español
• Svenska
• Português
• Dansk
• Italiana
• Deutsch
• Français
• Polski
• Nederlands
• Eestlane
• Latvietis
• Lietuvių
• English