Bienvenue invité. SVP enregistrez vous pour être membre.
:: Connexion
Identifiant :

Mot de passe :

Se souvenir de moi



Mot de passe perdu ?

Inscrivez-vous !
:: Recherche
:: Menu Principal

Parcourir ce sujet:   1 Utilisateur(s) anonyme(s)



« 1 (2) 3 4 »


Re: CCleaner : une backdoor dissimulée pendant un mois !
Pro
Inscrit:
06/06/2009 15:22
Groupe:
Utilisateurs enregistrés
Post(s): 889
Hors Ligne
Bonjour,

Plutôt que de nous mettre un article dans une langue qui est étrangère pour beaucoup sans aucune explication ni commentaire, il aurait été intéressant de nous faire la synthèse du sujet:

Citation :
Un nouveau rapport du groupe Talos de Cisco suggère que le piratage CCleaner était plus sophistiqué qu'on ne le pensait au départ. Les chercheurs ont trouvé des preuves d'une deuxième charge utile lors de leur analyse des logiciels malveillants qui ont ciblé des groupes très spécifiques en fonction des domaines.....................

.........................................

Talos Group a suggéré de restaurer le système informatique à l'aide d'une sauvegarde créée avant l'infection. Les nouvelles preuves le confirment, et les chercheurs suggèrent fortement qu'il ne suffit peut-être pas de simplement mettre à jour CCleaner pour se débarrasser des logiciels malveillants.

Ces constatations appuient et renforcent également notre recommandation précédente selon laquelle les personnes touchées par cette attaque de la chaîne d'approvisionnement ne devraient pas simplement supprimer la version affectée de CCleaner ou mettre à jour la dernière version, mais devraient restaurer à partir de sauvegardes ou de systèmes de re-image pour s'assurer qu'elles suppriment complètement non seulement la version précédente de CCleaner, mais aussi tout autre logiciel malveillant qui pourrait être présent sur le système.

L'installateur de l'étape 2 est GeeSetup_x86. dll. Il vérifie la version du système d'exploitation, et implémente une version 32 bits ou 64 bits du cheval de Troie sur le système basé sur la vérification.

Lire aussi: Gestionnaire de mots de passe déterministe Problèmes

Le cheval de Troie 32 bits est TSMSISrv. dll, le cheval de Troie 64 bits est EFACli64. dll.

Identification des charges utiles de l'étape 2

Les informations suivantes aident à déterminer si une charge utile de l'étape 2 a été installée sur le système.

Clés de registre:

HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\HBP

Fichiers:

GeeSetup_x86. dl (Hash: dc9b5e8e8aa6ec86db86db8af0a7aaa897ca897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64. dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da46da460055733bb6f4f)
TSMSISrv. dll (Hash: 07fb252d2d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)
DLL dans le registre: f0d1f88c59c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
Étape 2 Charge utile: dc9b5e8aa6ec86db86db8af0a7aa7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83



Ce qui tend à infirmer les précédentes déclarations et autres commentaires qu'il suffit simplement de modifier la version du logiciel incriminé.., et que seuls les heureux possesseurs de système 32 bits sont impactés. Quans à savoir s'il est réellement nécessaire de restaurer le système incriminé à une date antérieure ou carrément faire une «installation propre» c'est une autre histoire.

Comme quoi il ne faut jamais se contenter des premières conclusions hâtives suite à un événement,

Petite suggestion en passant, il serait peut être intéressant pour certain de partir à la découverte d'un autre nettoyeur de qualité open source Bleachbit qui lui, n'est pas pollué.

Contribution le : 21/09/2017 09:07
_________________
Linux Mint 21.3 Cinnamon
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Régulier
Inscrit:
05/02/2014 16:51
Groupe:
Utilisateurs enregistrés
Post(s): 199
Hors Ligne
....ou PrivaZer que je trouve moins risqué pour les novices car aucune notion dangereuse pour le système n'est accessible contrairement à Bleachbit où si l'on ne sait pas trop ce que l'on fait... peux devenir très vite définitif pour les données.

Contribution le : 21/09/2017 10:46
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Guest_
Citation :

tignothe a écrit:
Plutôt que de nous mettre un article dans une langue qui est étrangère pour beaucoup sans aucune explication ni commentaire, il aurait été intéressant de nous faire la synthèse du sujet:...

synthèse ou micro-extrait traduit à l'aide d'un translator !!!
je préfère l'original et qui n'a pas son traducteur en ligne ?
bref encore un grincheux et/ou jamais-content à qui je conseille de croquer dans une pomme (la nouvelle récolte est disponible)

Contribution le : 21/09/2017 11:05
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Pro
Inscrit:
06/06/2009 15:22
Groupe:
Utilisateurs enregistrés
Post(s): 889
Hors Ligne
Bonjour Sidious,

Même sur un forum il est d'usage de souhaiter le bonjour à ses interlocuteurs..!

Micro extrait issu d'un translator,..ben oui, à l'aide de l'excellent DeepLTout le monde n'a pas la chance de pratiquer un anglais (ou autre) convenable.

la synthèse..? ce sont les quelques réflexions que m'ont inspirées l'article; très condensées je te l'accorde, mais il vaut mieux quelques réflexions incomplètes que rien du tout.

Grincheux? tout va très bien de ce côté là, mais je t'avouerai que ce qui me fatigue à chaque fois ce sont tout ces liens qui sont balancés dans des messages sans aucuns commentaires. Mais bon, je peux comprendre ce genre de comportement où il est d'usage d'en faire le moins possible mais ce n'est pas le mien.

Bref, continues sur ta lancée, on va faire comme si je n'avais rien dit.

Contribution le : 21/09/2017 12:21
_________________
Linux Mint 21.3 Cinnamon
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Pro
Inscrit:
06/06/2009 15:22
Groupe:
Utilisateurs enregistrés
Post(s): 889
Hors Ligne
Bonjour,

Encore 2 liens qui confirment ce que «Sidious» nous a indiqué dans son message #10 à savoir l'importance de la compromission du logiciel Ccleaner.

Le cheval de Troie injecté concerne bien les systèmes 32 et 64 bits.

Une restauration système à une date antérieure est indispensable, ainsi qu'une réinstallation par image système si possible.

À lire ici;

Sur le blog Avast ;https://blog.avast.com/fr/enquete-ccleaner-nouvelles-informations qui ne manque ps de promouvoir « un produit antivirus de qualité, comme Avast Antivirus. » c'est de bonne guerre.

Sur Developpez.com ;https://www.developpez.com/actu/161459 ... propriete-intellectuelle/ un site de qualité.

Contribution le : 21/09/2017 14:31
_________________
Linux Mint 21.3 Cinnamon
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Régulier
Inscrit:
01/08/2014 06:16
Groupe:
Utilisateurs enregistrés
Post(s): 165
Hors Ligne
Bonjour,

Merci pour l'info.

Je ne suis pas étonné que la version 64 bits soit aussi concernée.

Etant méfiant de nature j'avais conseillé dès le début à mes lecteurs de supprimer aussi cette version 5.33 de leur config...

Contribution le : 21/09/2017 14:37
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Expert
Inscrit:
29/05/2016 12:07
De France
Groupe:
Utilisateurs enregistrés
Post(s): 2933
Hors Ligne
Salut Tgnothe, Christophe ;)

Citation :
Une restauration système à une date antérieure est indispensable, ainsi qu'une réinstallation par image système si possible.

Ça c'est dans le cas extrême ou la présence de l'infection aurait été détecté par exemple par MBAM et encore il est capable d'éradiquer lui même l'infection
Dans la majorité des cas l'installation de la version 5.35 est suffisante d'autant plus qu'elle dispose d'une nouvelle signature numérique pour remplacer l'ancienne qui accompagnait la version compromise.

vérifier la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Piriform

si la clé "Agomo" ou une valeur "agomo" , est présente, alors l'infection est présente.

Contribution le : 21/09/2017 17:48
_________________
"L'expérience est le nom que l'on donne à ses erreurs " ~ Oscar Wilde ~
Mon blog : http://www.easy-pc.org
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Webmestre
Inscrit:
21/02/2007 18:47
De France
Groupe:
Utilisateurs enregistrés
Webmestres
Post(s): 7498
Hors Ligne
Pour information, Kaspersky internet security vient d'installer la mise à jour de Ccleaner de la version 5.34 vers la version 5.35.

Contribution le : 21/09/2017 21:21
_________________
Win 11 pro 64-bit - Firefox - Thunderbird
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Expert
Inscrit:
25/11/2012 18:37
De En dessous de Bordeaux-Valence
Groupe:
Utilisateurs enregistrés
Post(s): 12734
Hors Ligne
Pour info j'ai passé la version 5.33 à VirusTotal : seul ccleaner.exe est infecté pas CCleaner64.exe !

Contribution le : 21/09/2017 21:41
_________________
Windows Entreprise 7 - 32 et 64 bits
Windows Entreprise et Pro 10 - 64 bits
Windows Entreprise 11 - 64 bits
Linux divers et variés
Créer un fichier PDF de la contribution Imprimer


Re: CCleaner : une backdoor dissimulée pendant un mois !
Expert
Inscrit:
24/07/2012 19:49
Groupe:
Utilisateurs enregistrés
Post(s): 3570
Hors Ligne
Citation :

tignothe a écrit:Ce qui tend à infirmer les précédentes déclarations et autres commentaires qu'il suffit simplement de modifier la version du logiciel incriminé.., et que seuls les heureux possesseurs de système 32 bits sont impactés. Quans à savoir s'il est réellement nécessaire de restaurer le système incriminé à une date antérieure ou carrément faire une «installation propre» c'est une autre histoire.

Petite précision : j'ai "vu" le trojan sur le PC 64bits d'un ami, signalé et éradiqué par Kaspersky Internet Security.
Sinon il suffisait d'installer la version 5.34 (et maintenant la version 5.35).

Citation :
Petite suggestion en passant, il serait peut être intéressant pour certain de partir à la découverte d'un autre nettoyeur de qualité open source Bleachbit qui lui, n'est pas pollué.

Et autre petite suggestion : de manière générale et pour la plupart des logiciels, je n'installe que les versions qui "apportent quelque chose" :
- nouvelle(s) fonctionnalité(s) intéressante(s),
- correction de "bugs" très gênants pour le fonctionnement du logiciel,
- et bien sûr correction de failles de sécurité.
Réduire le nombre d'installations réduit les risques d'apparition de problèmes

Bernard

Contribution le : 22/09/2017 17:26
_________________
Windows 7 SP1 32 bits
Windows XP SP3
Créer un fichier PDF de la contribution Imprimer



 Haut   Précédent   Suivant
« 1 (2) 3 4 »




Enregistrer votre réponse
Compte*
Nom   Mot de passe    
Message:*


Vous ne pouvez pas débuter de nouveaux sujets.
Vous pouvez voir les sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

[Recherche avancée]