PTT: PIRIFORM 證實 CCLEANER 遭駭客修改免費版程式

批踢踢實業坊›看板 AntiVirus關於我們聯絡資訊
返回看板分享

作者: AntiVirus
標題Re: [情報] PIRIFORM 證實 CCLEANER 遭駭客修改免費版程式

9/27 9:27 增補一下 13~16 頁關於對微軟不建議使用 CCleaner 的思考

事件公布已經一個星期
隨著調查的進行,發現的事證也越來越多
來整理一下,有興趣的話可以關注追蹤,或單純當八卦看也行
然後如果已經在使用或還會使用 CCleaner 的板友
建議都更新到 9/20 釋出的 v5.35.6210 最新版
本文最後面有建議更新的理由及相關更新資訊

首先呢
基本上這 [新聞] 的部份內容是 [創作]

事實上是 Morphisec 這間公司說他們 8/20,21 覺得 CCleaner 怪怪的並阻止安裝
然後他們的客戶 9/11 跟他們分享了防止攻擊的日誌
接著隔天 9/12 他們通知了 Piriform 跟 Cisco
當天 Piriform 就替換了有問題的 v5.33,更新成把惡意代碼拿掉的 v5.34
過了兩天 9/14 的時候, Cisco 通知 Avast 這件事
然後到了 9/18 那一天,Cisco 公布說他們發現了 CCleaner 出事了
因為 v5.33 從 8/15 上架到 9/18,一家防毒、防惡意軟體都沒有發現有問題
Cisco 說他們抓到了,我超屌的吧,多麼好的行銷

不過整個 Cisco 的宣稱完全是個謊言
所以 Morphisec 生氣了!

Avast 在 9/18 公布 v5.33 的安全問題

Update to the CCleaner 5.33.6162 Security Incident
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident

說他們在 9/12 接到 Morphisec 的通知跟初步調查報告
同時認為 Morphisec 也通知了 Cisco
然後 Avast 自己啟動調查,等到 9/14 收到 Cisco 通知的時候
他們已經完成徹底分析,也評估了風險程度,還跟美國的執法單位合作展開調查

記得新聞裡面說 Cisco 揭露這個事件的那個 blog 嗎?
它刪文了!
Cisco 也在 9/18 稍晚的時候,修改更新了原來的公告,說
「Morphisec 和 Cisco 在單獨的情況下,各自發現和向 Avast 報告了這次事件」

很有趣吧
上面來自於 Morphisec 9/18 的發佈,他們說 Avast 的公告還了他們公道

Morphisec Discovers CCleaner Backdoor Saving Millions of Avast Users
http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor

不過呢
故事還沒完
Morphisec 並沒有抓到 CCleaner 有問題
是 Morphisec 的客戶發現有異常的連外紀錄
所以跟 Morphisec 回報,然後就變成是 Morphisec 的大發現了
連 Morphisec 也在說謊
整件事大家都在說謊
到底能相信誰呢

————————————————————————–

八卦完了來看一下這次的攻擊事件
是的,經過調查後,已經不能稱之為安全事件了

這次的手法其實很漂亮
因為駭客 7/31 駭進 Piriform 伺服器
8/11 對準備要上架的程式加以修改
這裡是防毒板,大家都知道數位簽章是辨識判定檔案安全性時最主要的方式之一
如果有簽章的,都是信任認為沒有問題
所以從 8/15 到 9/18 一整個月,沒有一家發現 CCleaner v5.33 有問題
防毒業界一整個被洗臉洗的很大

然後雖然這次是 CCleaner 作為被駭標的
但任何一個有簽章的程式
都有可能被利用相同的手法欺騙防禦系統繞過檢測
所以在資安上引發的思考跟影響遠超過單純程式被駭
不過想像是美好的,實際上看起來很悲觀

來自業界人士的意見:
https://malwaretips.com/threads/ccleaner-5-35-6210.75568/#post-672997

What is clearly demonstrated in this instance is that the blind trust in
digital certificates can be leveraged against the industry and users.

Will this incident change the industry ? No, it will not. Why ? In a word,
money.
— Lockdown(Developer frome AppGuard) Sep 20, 2017

PS. AppGuard 是連續兩年獲得美國國土安全部認定的最佳軟體

————————————————————————-

然後是關於調查的部份
展開調查之後,很多一開始以為的事,後來發現是錯的

CCleaner 被駭其實只是攻擊標的的媒介
項莊舞劍意在沛公
攻擊者的真正的目標是大型科技公司
這起事件可能是叫做 Axiom 的網絡間諜組織做的

發現污染 CCleaner 跟 Axiom 的惡意軟體間聯繫關係的是卡巴斯基實驗室
他們在事件公布隔天(9/19)發現 CCleaner 跟之前 Missl 的後門有相似的地方
然後在 9/20 Cisco 的研究員證實卡巴斯基前一天的發現

( 有沒有發現 Cisco 很有趣,不是說自己是最早抓到的
結果怎麼不是第一個發現手法以前曾經出現過
不過 Cisco 還是有他的貢獻的,繼續看下去 )

Cisco 說呢
有人向他們的研究人員提供了一份命令和控制伺服器文件的副本(包括資料庫)
伺服器是收集安裝受污染的 CCleaner 版本後所發送的訊息的地方
因為有了資料,經過進一步的分析後
一開始判定說 CCleaner 的汙染版本的惡意軟體為 Floxif 的初步報告是錯的
初步報告說惡意軟體有能力下載第二階段並執行其他惡意軟體
不過這功能沒有被執行過
然後分析資料庫後,發現有 20 台電腦被感染
Cisco 又從受害者的網域名,發現攻擊者的目標名單包括
https://i.imgur.com/tsmHNIh.png

Singtel、HTC、Samsung、Sony、Gauselmann、Intel、VMWare、O2、Vodafone、Linksys
Epson、MSI、Akamai、DLink、Oracle(Dyn)、Microsoft、Cisco、Google(Gmail)

有沒有發現這些公司裡面沒有中國或俄羅斯的
於是有人開始覺得有意思了

Very interesting targets. Now I wonder why there isn’t a single tech company
from the second largest economy of the world? https://t.co/DzzO82C6jU
— x0rz (@x0rz) September 21, 2017

米糕:有趣的目標,我想知道為什麼世界第二大經濟體一個科技公司都沒有?

有沒有人覺得奇怪,被攻擊的企業名單裡面明明有兩個國家的名字沒有出現
怎麼只有一個國家被懷疑呢
因為這次的攻擊行動相當先進
研究人員發現攻擊者不是隨機挑選安裝鍵盤紀錄器跟勒索軟體的對象
所以把整起事件的定性從一個大規模的網絡犯罪計劃
轉成可能是一個由國家贊助的潛在間諜行動
是為了進行工業間諜活動而創造的
推測希望透過這種方式從世界上最大的科技巨頭竊取寶貴的秘密
而攻擊的規模和重點像是由一個民族國家發動的攻擊
對前面提過的網路間諜組織 Axiom 這個名字還有印象嗎?
Axiom 被點名是因為被發現 CCleaner 被污染的版本裡藏的惡意代碼使用他們的程式碼
而 Axiom 正是被認為與中國政府有關的駭客組織 Group 72 的另一個名字
安全公司 Novetta 在 2015 年聲稱 Axiom 從事的間諜活動有中國政府撐腰

https://attack.mitre.org/wiki/Group/G0001

然後昨天(9/25)
Avast 公布了 CCleaner 攻擊事件的持續調查報告

Additional information regarding the recent CCleaner APT security incident
https://is.gd/ZSWoAm

公布了受到 CCleaner 第二階段惡意軟體影響的完整公司名單
資料來自於週末時找到攻擊者所使用的第二台伺服器
並由主機提供商 ServerCrate 取得這兩台伺服器進行分析

昨天公布的受影響的網域的名單包括 https://i.imgur.com/ykGqEbL.jpg

所屬國家 被感染的電腦所在的網域及數量 合 計

台灣 中華電信 13 台、華碩 2 台 15 台
日本 NEC 10 台、富士通 2 台、Sony 2 台 14 台
韓國 三星 5 台 5 台
新加坡 Singtel 1 台 1 台
美國 Intel 1 台、VMWare 1 台、IPAddress.com 1 台 3 台
英國 O2 1 台 1 台
德國 Gauselmann 1 台 1 台

從備份伺服器發現
9/10 前,攻擊組織的目標名單為 https://i.imgur.com/OtFQZb6.jpg

所屬國家 企業名 合計
台灣 HTC、Dlink、MSI 3 家
日本 Epson、Cyber 2 家
美國 Linksys、Microsoft、Google(Gmail)、Akamai、Cisco、GoDaddy 6 家
英國 Vodafone 1 家
加拿大 Tactical Technologies Inc.(TTI) 1 家

另外 Avast 找到了能將攻擊者跟中國聯繫上的證據
證實了先前卡巴斯基跟 Cisco 懷疑的 Axiom APT 駭客理論

線索包括在 C&C 服務器上找到的 PHP 代碼、myPhpAdmin 日誌
以及某些代碼片段跟 Axiom 過去的惡意軟體的相似性

而且 Avast 還特別去一一分析兩台伺服器上的所有登錄時間
發現活動的模式適合於居住在俄羅斯東部、中國和印度時區的人

即使有這些資料,還是難以進行責任歸屬
因為 Avast 認為「所有這些跡象的問題是 — 它們都非常容易偽造」
「他們可能只是為了使調查更加困難,隱藏真正的起源」

調查還在進行,有興趣的人可以往後追蹤

上面的敘述可能有刪減(像使用者被感染的總數之類我省略了)及錯誤,還請參閱原文

9/20 CCleaner Hack Carried Out In Order to Target Big Tech Companies
https://is.gd/Nvb5kT

9/25 Avast Publishes Full List of Companies Affected by CCleaner
Second-Stage Malware
https://is.gd/h02E2R

9/20 THE CCLEANER MALWARE FIASCO TARGETED AT LEAST 18 SPECIFIC TECH FIRMS
https://www.wired.com/story/ccleaner-malware-targeted-tech-firms/

9/21 CCleaner malware had a specific target: tech titans
https://is.gd/H5EPPQ

9/21 CCleaner Hack – Spreading Malware To Specific Tech Companies
https://is.gd/H7wCF5

9/21 CCleaner 惡意軟體針對 Intel、谷歌、微軟、Akamai、三星、VMware、思科等
20 家 IT 公司發動了攻擊
https://is.gd/EGFoWW

————————————————————————–

回到比較貼近身邊的部分
關於 CCleaner 還能不能用、要不要更新的問題
其實 CCleaner 畢竟是個好軟體
可以再給它機會不要因為這次的狀況放棄它
已經在使用或還想還會使用 CCleaner 的板友
建議檢查自己的版本
若不是 9/20 釋出的最新版 v5.35.6210
都建議更新到 v5.35 版(建議更新理由後述)
下載位置儘可能選擇從官網下載

官網組建版下載頁面 https://www.piriform.com/ccleaner/builds

免安裝版 http://www.piriform.com/ccleaner/download/portable/downloadfile
瘦身版 http://www.piriform.com/ccleaner/download/slim/downloadfile

說明:

1.官方有出免安裝(Portable)版
不需要透過其他如阿榮福利味二手軟體網站等下載免安裝版、綠色版等
一來可以避免被加料
二來在 CCleaner 事件公佈後,官方已先緊急上架移除惡意代碼的版本
但二手軟體網站沒有即時更新

2.瘦身(Slim)版是無工具列的安裝版,介面會比較清爽一點
因為放在上面提供的組建版下載頁面才有得下載
從官網首頁或是程式提示更新的連結下載頁面看不到
更別說二手軟體網站是不會提供這版本,有點算半隱藏版

建議更新理由:

1.最新發佈的 v5.35 採用了新的數位簽章
這次的事件舊的簽章不再受信任
因為使用舊的簽章的版本可能有被滲透(compromised)的情形
造成防毒、防惡意軟體可能沒辦法 100% 偵測/阻止
也就是無法完全確保安全性
導致先前的版本同樣有安全性疑慮

而在安全性上,v5.35 應該會是相對安全的
因為才剛出事,所有眼睛尤其是防毒、防惡意軟體才剛被洗臉
所以都會用放大鏡盯著看
另外沒有消息,不過 Avast 才剛收購 CCleaner 母公司就出狀況
雖然問題不能完全歸責到 Avast,但可預期在新版本發佈前
Avast 勢必會加以檢視,不能再出包

2.如果是在事件公佈後,已更新至 v5.34.6207 的板友仍建議更新
因為 v5.34 只是緊急應變用的臨時更新版本
與被駭的 v5.33.6162 的差異只在於移除了惡意代碼
其他程式碼完全相同,包括也使用舊的簽章

3.使用非 v5.33.6162 32 位元安裝版以外的其他版本
例如 64 位元或免安裝版等
雖然公佈只說 32 位元安裝版被污染
不過免安裝版有被使用者回報說系統有被污染的情形
所以建議不要有沒被說到應該沒事的想法還是更新比較好

4.至於其他更早期的版本
一來因為使用舊的簽章
二來隨著操作系統及其他程式的更新
過舊的版本可能無法完全適配新的系統版本,使用上並不適宜

附帶一提關於使用 CClenaer 的幾件事

1.隨著操作系統的進步,已經不太需要使用像 CCleaner 這樣的系統清理工具
15 年的時候,微軟首席工程師曾提及不建議在 Windows 10 系統中使用 CCleaner

Microsoft’s Gov Maharaj gently denounced CCleaner
https://is.gd/SkznGv

微軟首席工程師不建議你在 Windows 10 系統中使用 CClenaer
https://is.gd/tLhh7k

關於能不能使用、有沒有需要的問題
我們可以用類型化思考來逐步檢視一下以下的問題

(1) 不建議使用的系統是 Windows 10 還是不限 Windows 10
(2) 是認為何種功能可能對系統穩定性造成影響

CCleaner 的清理功能主要有兩種:清道夫(Cleaner)和登錄檔(Registry)

清道夫是對於 Windows 和電腦裡安裝的應用程式
在執行過程中產生的設定、快取、紀錄、暫存檔… 等加以清理
是一種空間清理釋放的功能,不涉及系統本身的完整性

登錄檔是對於程式在安裝、執行、移除過程中
在註冊表中所遺留的痕跡消除
有可能因系統清理工具對於封閉系統的程式碼掌握度欠缺而對系統產生影響

然後我們回頭仔細看一下文章是怎麼說的

「微軟之前曾在他們的 onecare.live.com 網站上講過(之後已經移除)他們反對
使用這一類註冊表清理工具的原因:雖然某些程式會因為寫的不好,導致你在移
除程式之後,還有一些殘餘資訊留在你的系統註冊表裡,的確,如果註冊表累積
太多無用的資訊,會造成一些不良的影響。但是,當你對註冊表進行清理之後,
如果程式寫的不好,更容易造成更多的問題,甚至導致系統不穩定。相較起來,
後者的問題要大的更多。 」

由上述這段話可以得知微軟不建議的部份是針對登錄檔清理的部份
至於屬於空間清理的清道伕功能並未認為不宜
事實上在 Windows 10 中,本身已自帶空間釋放的功能

設定 → 系統 → 儲存空間 → 變更空間釋放方式

→ □刪除我的應用程式未使用的暫存檔案
□刪除已經放入資源回收桶超過 30 天的檔案

上面兩處啟用的話就是系統自帶的空間清理
另外有立即清除可以點擊執行後立刻進行清理

所以 (2) 的問題已獲得確認
若擔心影響系統安全性,可僅使用清道夫而不使用登錄檔的清理功能

而 (1) 的部份,Windows 10 被點名不建議使用登錄檔清理功能,至於其他版本呢?

「微軟表示,他們不建議在 Windows 系統中,使用系統清理工具,因為這樣的效
果可能會適得其反。

雖然 Gov Maharaj 並沒有明說,不過他不建議使用 CCleaner 的原因,其實是
微軟一貫的態度。 」

從「不建議使用 CCleaner 是微軟一貫的態度」
可以推論關於登錄檔的清理功能,微軟並不限僅於 Windows 10 不建議使用
也就是所有版本的 Windows 若使用登錄檔清理,都有可能影響系統穩定性
但是若考量 Windows 10 的系統穩定性較先前的系統大幅提升
且除本次升級 Windows 10 演示外
微軟並未有公開對於其他版本特地且明確的表示不建議使用
在先前版本的系統架構完善度較低,尤其越早期的版本越顯不足
是除 Windows 10 以外其他版本容有使用登錄檔清理功能空間

總結上述
CCleaner 的清道夫清理功能為空間釋放功能,不限版本均未不建議使用
登錄檔清理的註冊表垃圾清除功能有可能影響 Windows 10 的系統穩定性
所以 Windows 10 的使用者若擔心影響系統穩定性,不建議使用登錄檔清理功能
至於其他版本的 WIndows 使用者雖仍有可能影響系統穩定性
但因仍有作用未必不建議使用

然後就我所知,好些資安專家如防毒、防惡意軟體的開發者
即使使用的操作系統為 Windows 10
依然有在使用 CCleaner,所以它仍然有一定程度的使用效益
也不致於影響系統整體的穩定性

2.對 CCleaner 有影響系統穩定性疑慮的使用者
如果系統是 Windows 10 的話
可以不使用 CCleaner 而使用系統帶的清理功能
如前所述於

設定 → 系統 → 儲存空間 → 變更空間釋放方式

→ □刪除我的應用程式未使用的暫存檔案
□刪除已經放入資源回收桶超過 30 天的檔案

同時尚有立即清除可以點擊執行後立刻進行清理

3.如果要用 CCleaner 的話
建議可以搭配 CCEnhancer/winapp2.ini

官網下載 https://singularlabs.com/software/ccenhancer/download-ccenhancer/
多語系版 https://singularlabs.com/download/10320/

CCEnhancer 是 CCleaner 的外掛增強補充程式
透過更新 CCleaner 的 winapp2.ini 添加新的規則和定義
多了兩千多條來自 CCleaner 官方論壇討論出來的規則
目前最新版是三年多沒更新,9/24 才釋出的 v4.5

如果使用安裝版 CCleaner,CCEnhancer 直接使用就好
如果使用免安裝版的 CCleaner,要選擇“功能”→“添加免安裝版位置”

如果要更直接的方式
就是直接下載 winapp2.ini 存到 CCleaner 的資料夾(跟 CCleaner 執行檔放一起)

專案 https://github.com/MoscaDotTo/Winapp2
載點 https://github.com/MoscaDotTo/Winapp2/blob/master/Winapp2.ini (專案)
http://content.thewebatom.net/files/winapp2.ini (CCEnhancer 官網提供)
更新批次檔 https://gist.github.com/jmlntw/0586642f67ccdb959f36b872d13e5b13
( 感謝 jmlntw大 分享個人用的更新批次檔,下載後同樣放資料夾內
點兩下執行、下載並比對最新版本 )

關於 CCEnhancer 的資訊還可以參考

CCEnhancer 4.5: HTTPS downloads, new features — ghacks
https://www.ghacks.net/2017/09/24/ccenhancer-4-5/

或是想看中文的

CCEnhancer v4.5 繁體中文版
– CCleaner 外掛增強補充包,可清理 1000 種以上程式的垃圾 — 免費軟體之家
https://freewarehome.tw/pc/ccenhancer/

以上


※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1506385527.A.13C.html
※ 這一篇文章值 983 Ptt幣,差一點 1000 銀 XD
推 crazycy: 推整理 09/26 09:29
推 munsimli: 謝謝分享,很精彩的故事發展,坐看後續 09/26 09:32
推 JetKnight: 推 09/26 09:55
推 share8426: 好有趣,希望多一點這種文 09/26 10:17

謝謝 s大,我也希望板上能多元化一點、活躍一點

btw 大家看故事歸看故事
還是要兼顧如果有要用 CCleaner 的話,請一定要更新到 v5.35 最新版喔 XD

推 sysop5566: 專業 09/26 10:43
推 munsimli: e大敘述的口吻淺顯易懂,少見的優質好文 09/26 10:59

謝謝 m大 的形容 >/////< → ltyintw: 我比較好奇原PO的BBS軟體到底是哪家的? 為何要截掉內文 09/26 12:08 → ltyintw: 的作者標頭 09/26 12:08 1.PCMan(SSH)版 2.我發現我發文很多人都很好奇這個部分 其實就只是想減少、降低被搜尋引擎 bot 抓到和偽 PTT 站備份的機會、機率而已 → DINJIAPC: 聽過震網嗎? 最早是vba32 拿到樣本的 所以哪家發表並不 09/26 12:29 → DINJIAPC: 確實與意外 09/26 12:30 推 yongb: 請問v5.33以前的版本也有問題嗎? 09/26 12:34 目前沒有任何資料或證據說 v5.32 以前的版本有問題 但是因為使用舊的簽章的版本可能有被滲透(compromised)的情形 造成防毒軟體可能沒辦法 100% 偵測/阻止 也就是無法完全確保安全性 其實更新只要一下下,最新版 v5.35 的載點往上翻個幾頁就有 除非是像有沒有管理員權限這樣無權對軟體進行新增移除的特殊情形 ( 就是我這個笨蛋 = = 前不久為了提高使用上的安全性 把自己平常使用的權限降成標準使用者帳戶,然後就喪失了系統的管理者權限控制 幸好本來防護就是 overkill 了,日常上 PTT、上網瀏覽或看影片那些都沒問題 所以暫時不能動用管理者權限也不算太煩惱 不過已經備好所有檔案資料,隨時能重灌 Windows 10 重新建置系統 ) 不然還是建議更新 不過如果真的不想更新的話 假如先前的版本有跟 v5.33 一樣的問題(從這次攻擊事件的發展時序應該不會發生) 普通使用者也只是受第一階段影響會回傳資料而已 要賭的話說不定也不見得會有什麼損失 (而且接收資料的伺服器都已經移交 Avast,說不定還傳不出去,因為沒地方接收) 但如果是其他目前未被報知的惡意代碼,就不曉得會進行什麼行為了 → DINJIAPC: 說中國也不ey 民國97/98年在做志願役時拿到的資安通報 09/26 12:35 → DINJIAPC: 就顯示了usb蠕蟲的攻擊方式是針對軍網而來 而vt依然 09/26 12:36 → DINJIAPC: 沉默 09/26 12:36 9/12 周鴻禕稱網絡安全需要軍民結合 奇虎 360 董事長兼 CEO 周鴻禕接受採訪談論了網絡安全,他援引數據稱,去年全球網 絡犯罪損失 3 萬億美元,2021 年會達到 6 萬億美元,無論國內外網絡黑色產業鏈, 比網絡安全產業都要大 10 倍,而且已經形成網絡犯罪和網絡恐怖主義鏈條。 周鴻禕針對以上各種網絡安全領域新趨勢,給出的解決方案是「軍民融合」。他以美國 國為例指出,美國傳統軍工行業通過收購網絡安全企業實現融合。周鴻禕在採訪中透露 ,360 退市之後解決了「身份」問題,成為純粹的中國互聯網公司,集團旗下一個子公 司獲得二級涉密資質:「這個執照可以參與國防工業很多研發和產品提供,但內容都需 要保密。」 360 被認為很早就參與了某些機密項目。 -- 360 老闆半個月前大剌剌地公開說參與國防機密 話是說出口了,沒幾天新聞都被和諧掉了 真心信任這種老闆集團旗下的軟體的人我是覺得心臟很大 → DINJIAPC: 報告顯示 有使用的電腦都應該直接重灌 09/26 12:38 推 stfang925: 推 09/26 13:11 推 oscar60111: 推一個 事情脈絡蠻有條理的! 09/26 14:19 謝謝 o大! 推 cloudgoose: 感謝e大講解,原來背後還有這樣的巧合,還真是令人好 09/26 14:56 → cloudgoose: 奇 09/26 14:56 偶然も重なりゃ、縁だよ https://i.imgur.com/mH6Pcm9.png 不好意思我錯棚(滾回 Adachi 安達充桑板) 巧合太多就是陰謀(不過做得太明顯已經變成陽謀了 XD) 推 kenwufederer: 對於這類軟體,個人都是無用論,只是個人觀點 09/26 15:27 → kenwufederer: 當然,心理作用大約實際作為是沒有問題 09/26 15:27 k大 可以試試看 PrivaZer(有 Portable 版),清的會讓你超有感 XD 官網 https://privazer.com/download.php 安裝版 https://privazer.com/privazer_free.exe 免安裝版 https://privazer.com/PrivaZer.exe 推 momo81: 推 09/26 16:02 推 jmlntw: winapp2 已經轉移到 GitHub 上,一直在持續更新。 09/26 16:16 → jmlntw: https://github.com/MoscaDotTo/Winapp2 09/26 16:16 謝謝 j大 補充,已補入文內 thewebatom 那個連結是 CCEnhancer 官網提供,版本相同,可能是同步的鏡像 推 DargonD: 每次打開時,cis都把它用為無法識別和被封鎖,在沙盒裡 09/26 16:32 → DargonD: 被執行 09/26 16:32 D大 說的是 CCleaner 被 CIS 封鎖嗎 在事件公布後幾天,各家防毒、防惡意軟體逐漸將病毒碼入庫,所以開始會偵測到 更新後的版本仍然是這樣嗎? Virustotal Comodo 對 v5.35 Slim 跟 Portable(64) 版的掃描分析結果顯示是安全的 Slim https://i.imgur.com/KB2z300.jpg Portable(64) https://i.imgur.com/PuC836y.jpg → kenwufederer: 有機會試試看 09/26 17:24 k大 使用前建議先做個映像備份 或是使用 RollBack Rx 做個快照 或在 Shadow Defender 的影子系統下試用 因為如果使用高級用戶,將各種類型清除的選項設較高或最高 會刪除/還原一些設定,到時若要一一設回來需要一番工夫 推 x21999125x: 推整理 09/26 17:46 推 Kreen: 推~~~ 09/26 18:15 推 jk01: 推 09/26 22:00 推 sdbb: ccleaner不是系統加速而已,改小設定也很好用 09/26 23:08 → sdbb: 謝謝原po懶人包 09/26 23:09 推 FantasyNova: 感謝整理 值得一看 了解來龍去脈跟相互關係 09/26 23:44 推 garyzyg: Compromised 可翻作 '被滲透' 09/27 01:00 謝謝 g大 指點! 就覺得 Compromised 在危險、安全領域直翻被妥協很怪 ※ 編輯: evansliu (103.37.95.99), 09/27/2017 09:28:55 推 kenick: 想請問一下 您文中提到 使用更早之前的版本 可能因為舊簽 09/27 11:24 → kenick: 章被滲透 請問有心人士是進行滲透的 09/27 11:24 → kenick: 是如何 少打幾個字 抱歉 09/27 11:24 推 kenick: 這次事件安裝檔被動手腳 進而影響使用該安裝檔安裝的人 這 09/27 11:26 → kenick: 樣舊版本已安裝的人也需要擔心嗎 09/27 11:26 推 kipi91718: 推專業 09/27 17:41 推 DargonD: 都是被HIPS檢測(歸類到無法識別和封鎖),再自行將它排除 09/27 18:23 → DargonD: 防火牆也有設定禁止連外(自己手動更新ccleaner) 09/27 18:25 → DargonD: 昨天看到這篇更新cc後,再打開就沒被HIPS檢測到了 09/27 18:28 → DargonD: 不然打開都被攔截(hips多了紀錄),上回攔截日期是今年7月 09/27 18:30 → DargonD: 明明用了白名單 09/27 18:31 → DargonD: 7月是無法識別,封鎖是cc未更新前都會,speecy也在封鎖名 09/27 18:55 → DargonD: 單中 09/27 18:56 推 skycat2216: 推一波 09/27 19:16 推 shintz: 專業文 09/27 21:09 推 tzback: 從EZsoft來朝聖 簡直不要太精采 09/27 23:52 推 APM99: 中俄技術真爛 NSA搞的漏洞要不是被洩漏到現在都還沒人發現 09/28 01:01 → APM99: 美國技術繼續屌虐中俄 09/28 01:01 推 ifudosks54: 專業推,而且原PO寫的很有趣,沒想到用好久的軟體背後 09/28 03:40 → ifudosks54: 的水這麼深冏 09/28 03:40 推 purplvampire: 我還以為是資安版,原來是防毒版阿 09/28 11:34 推 monster5566: 感恩 長知識了 09/28 11:44 推 hohiyan: 好文,推 09/28 11:51 推 kdash: 專業! 09/29 01:17 推 DINJIAPC: 登錄檔清理其實都有瑕疵 驗證方法很簡單, 剛重灌好直 09/29 08:09 → DINJIAPC: 接開下去掃。如果還有找出所謂錯誤檔就太扯了 09/29 08:09 推 allen65535: 剛重灌好掃出錯誤...我會覺得是微軟真的有問題 XD 09/29 08:47 → Bellkna: 倒覺得是windows安裝過程必定會產出一些問題reg 09/29 11:40 推文自動更新已關閉

9/27 9:27 增補一下 13~16 頁關於對微軟不建議使用 CCleaner 的思考– 事件公布已經一個星期 隨著調查的進行,發現的事證也越來越多 來整理一下,有興趣的話可以關注追蹤,或單純當八卦看也行

來源: Re: [情報] PIRIFORM 證實 CCLEANER 遭駭客修改免費版程式 – 看板 AntiVirus – 批踢踢實業坊