L’utilitaire de nettoyage CCleaner a été compromis dans la version distribuée à partir du mois d’août 2017. Il embarque alors du code malveillant ouvrant une porte dérobée dans le système infecté ; ce qui représente environ 2 millions d’utilisateurs à travers le monde !
Il est important, si l’on souhaite continuer à l’utiliser, de le mettre à jour. Nous avons là une démonstration de la confiance relative à placer dans les logiciels « gratuits » qui proposent de réparer les systèmes d’exploitation.
Afin de déterminer si une machine est infectée, il convient de vérifier les éléments suivants :
Si une version affectée (cf. section Systèmes affectés) est installée sur la machine, la présence de la clé de registre Windows HKLM\SOFTWARE\Piriform peut être vérifiée sur le système.
En cas de compromission la machine aura communiqué vers l’adresse ip 216.126.225.148_BAD_ ou vers l’un des domaines suivants :
- ab6d54340c1a[.]com._BAD_
- aba9a949bc1d[.]com._BAD_
- ab2da3d400c20[.]com._BAD_
- ab3520430c23[.]com._BAD_
- ab1c403220c27[.]com._BAD_
- ab1abad1d0c2a[.]com._BAD_
- ab8cee60c2d[.]com._BAD_
- ab1145b758c30[.]com._BAD_
- ab890e964c34[.]com._BAD_
- ab3d685a0c37[.]com._BAD_
- ab70a139cc3a[.]com._BAD_
Si tel est le cas, la machine doit être considérée comme potentiellement compromise et restaurée à un état antérieur au 15 août 2017, ou de préférence complètement ré-imagée.
Références :
- CERTFR-2017-ALE-013 : Présence de code malveillant dans Piriform CCleaner (18 septembre 2017)
- Un malware caché dans CCleaner
- CCleaner : l’utilitaire devrait balayer devant sa porte