CCleaner の マルウェアコードを解析してみた その1

人気のPC最適化ソフト「CCleaner」にマルウェアが仕込まれる - CNET Japan

コンピュータ最適化ソフトウェア「CCleaner」がハッカーに改ざんされ、数百万台のデバイスがコントロールされかねない状態になっていた。このプログラムの開発元でロンドンに本拠を置くPiriformが現地時間9月18日に明らかにした。

 不正なプログラムが仕込まれたCCleanerは人気の高い無料ソフトウェアで、1週間に500万件ほどダウンロードされている。CCleanerを利用すると、クッキーや不要なプログラムを削除し、コンピュータや「Android」スマートフォンの動作を高速化してくれる。

 Piriformによれば、感染したソフトウェアを使っているユーザーの数は227万人に上るという。ただし同社は、動揺せず落ち着いて対処するようユーザーに求めている。

 「われわれはこの問題にすぐに対処しており、どのユーザーにも危害が及ぶことはなかった」と、同社は声明の中で述べている。

 CCleanerに対する攻撃が見つかったのは12日のことで、発見したのは、チェコに本拠を置き、7月にPiriformを買収したセキュリティソフトウェアメーカーのAvastだ。Piriformによれば、8月にリリースされた2つのバージョンのCCleanerがこの攻撃の影響を受けたという。

これほんと?

調べて見た
Hackers Hid Backdoor In CCleaner Security App With 2 Billion Downloads -- 2.3 Million Infected

"2.27 million is certainly a large number, so we're not downplaying in
any way. It's a serious incident. But based on all the knowledge, we
don't think there's any reason for users to panic," Vlcek added. "To the
best of our knowledge, the second-stage payload never activated... It
was prep for something bigger, but it was stopped before the attacker
got the chance." He said Cisco Talos wasn't the first to notify Avast of
the issues, another unnamed third party was.

同氏は、「Cisco TalosはAvastに最初に通報したのではなく、別の無名な第三者 通報した」と語った。

これ、最初に見つけたの、Avastではなく Cisco Talos 全然関係ないセキュリティリサーチチームじゃね?
CNETさん間違えてませんか? ・ω・

記事その3

・Avastの最高技術責任者 は Cisco Talos が 最初にAvastではなく別のセキュリティベンダーに報告したことに不満を持っている?
アバストと AVG は去年合併された
個人情報保護機能を目玉にしていたAVGは、2015年から 個人情報販売始めた
CCleaner の Piriform社 が AVGに買収されたのは今年の7月
・個人情報収集のマルウェアの実コードがコンパイルされたのは 8月1日(後述)
・AVG も Avast も該当ファイルを検出できない(9/19現在) (後述)

|。・ω・) 。 o (あっ…(察し))

おすすめ

14件のフィードバック

  1. ななし より:

    細かい事ですが、CCCleaner ではなくCCleaner ですよ。

  2. ななし より:

    細かい事ですが、CCCleaner ではなくCCleaner ですよ。

  3. 鉄人(´・👄・`) より:

    >>・個人情報収集のマルウェアの実コードがコンパイルされたのは 8月1日(後述)
    >>・AVG も Avast も該当ファイルを検出できない(9/19現在) (後述)
    誠に申し訳ありませんが
    >>|。・ω・) 。 o (あっ…(察し)) 
    で自分自身で完結しないでくださいよ。
    専門に見ているものでは無いから、黒翼猫さんが何を考えてるか分かりませんよ。

  4. 鉄人(´・👄・`) より:

    >>・個人情報収集のマルウェアの実コードがコンパイルされたのは 8月1日(後述)
    >>・AVG も Avast も該当ファイルを検出できない(9/19現在) (後述)
    誠に申し訳ありませんが
    >>|。・ω・) 。 o (あっ…(察し)) 
    で自分自身で完結しないでくださいよ。
    専門に見ているものでは無いから、黒翼猫さんが何を考えてるか分かりませんよ。

  5. Felicsjp より:

    >>同氏は、「Cisco TalosはAvastに最初に通知するのではなく、別の名前のない第三者に通知した」と語った。
    原文をそのまま訳すとこんな感じ。
    同氏は「 Avastに最初に通知したのはCisco Talosではなく、別の名前の知らない第三者だった」と語った。
    Prinformの親会社Avast のblogによれば最初に報告したのはMorphisec っていう会社だそうですよ。
    https://www.google.co.jp/amp/s/blog.avast.com/update-to-the-ccleaner-5.33.1612-security-incident%3fhs_amp=true

  6. Felicsjp より:

    >>同氏は、「Cisco TalosはAvastに最初に通知するのではなく、別の名前のない第三者に通知した」と語った。
    原文をそのまま訳すとこんな感じ。
    同氏は「 Avastに最初に通知したのはCisco Talosではなく、別の名前の知らない第三者だった」と語った。
    Prinformの親会社Avast のblogによれば最初に報告したのはMorphisec っていう会社だそうですよ。
    https://www.google.co.jp/amp/s/blog.avast.com/update-to-the-ccleaner-5.33.1612-security-incident%3fhs_amp=true

  7. 黒翼猫 より:

    情報 ありがとうございます

  8. 黒翼猫 より:

    情報 ありがとうございます

  9. 翻訳者 より:

    翻訳が生業の者です。貴ブログはたいへんありがたい存在でときおり拝読していますが、このエントリは和訳がどうも微妙なので(わからないところを飛ばして勝手に日本語を組み立ててませんか?)、直訳しておきますね。
    Cisco Talos wasn’t the first to notify Avast of the issues, another unnamed third party was.
    Avastに対し、その問題について知らせたのは、Cisco Talosが最初ではなかった。また別の、名前が挙げられていないサードパーティである。
    ※notify Avast of the issuesという英文は、どこをどう読んでも、「問題について、Avastが最初に通報した」にはなりません。「問題について、Avast*に*最初に通報した」です。いずれにせよ、CNET Japanの記事がおかしいというのは、おっしゃるとおりです。

  10. 翻訳者 より:

    翻訳が生業の者です。貴ブログはたいへんありがたい存在でときおり拝読していますが、このエントリは和訳がどうも微妙なので(わからないところを飛ばして勝手に日本語を組み立ててませんか?)、直訳しておきますね。
    Cisco Talos wasn’t the first to notify Avast of the issues, another unnamed third party was.
    Avastに対し、その問題について知らせたのは、Cisco Talosが最初ではなかった。また別の、名前が挙げられていないサードパーティである。
    ※notify Avast of the issuesという英文は、どこをどう読んでも、「問題について、Avastが最初に通報した」にはなりません。「問題について、Avast*に*最初に通報した」です。いずれにせよ、CNET Japanの記事がおかしいというのは、おっしゃるとおりです。

  11. 翻訳者 より:

    (続きです)
    ちなみに私、その5.33を見事踏み抜いていました。CCleanerは1ヶ月に1度くらいしか使わないのですが、使うたびに手動でアプデしてます。先月下旬にアプデして、その時に1回使ったきりでした。バックドアのニュースを見て「まずはアンインストールしなければ」とWindowsの「スタート」からUninstall CCleanerを選ぼうとすると、アイコンが表示されていない。確かにあるはずなのにおかしいなと、タスクバーに入れてあったCCleaner本体のアイコンをダブルクリックしたら、応答しない……無効にされていたようです。
    結局、「コントロールパネル」からアンインストールし、その後Malwarebytesでマルウェア検索をかけたら、ゴミ箱の中のCCleaner 5.33のインストーラーがTrojan.Floxifとして検出されました。それを完全に削除して、最後に「復元」で問題のCCleanerを入れる前に戻し、それから復元したことによって古くなってしまった各種ソフトを最新にして……と、かれこれ2時間くらいはこの問題に費やすことになりました。
    CCleanerを使っていなかった8月末から今までの間にも、別のソフト(SuperAntiSpyware)で1週間に1度はマルウェア検索していたのですが、CCleanerのバックドアは検出されませんでした。もちろん、Avastのアンチウイルスは常時稼動していますが反応せず……というわけで、報道されなかったら気づかなかったと思います。
    長々と失礼しました。
    ※ちなみにMorphisecはイスラエルの会社です。アメリカにも拠点はありますが、同社のブログは英語の文法ミスがあり、ネイティヴ・スピーカーの書いたものには見えません。

  12. 翻訳者 より:

    (続きです)
    ちなみに私、その5.33を見事踏み抜いていました。CCleanerは1ヶ月に1度くらいしか使わないのですが、使うたびに手動でアプデしてます。先月下旬にアプデして、その時に1回使ったきりでした。バックドアのニュースを見て「まずはアンインストールしなければ」とWindowsの「スタート」からUninstall CCleanerを選ぼうとすると、アイコンが表示されていない。確かにあるはずなのにおかしいなと、タスクバーに入れてあったCCleaner本体のアイコンをダブルクリックしたら、応答しない……無効にされていたようです。
    結局、「コントロールパネル」からアンインストールし、その後Malwarebytesでマルウェア検索をかけたら、ゴミ箱の中のCCleaner 5.33のインストーラーがTrojan.Floxifとして検出されました。それを完全に削除して、最後に「復元」で問題のCCleanerを入れる前に戻し、それから復元したことによって古くなってしまった各種ソフトを最新にして……と、かれこれ2時間くらいはこの問題に費やすことになりました。
    CCleanerを使っていなかった8月末から今までの間にも、別のソフト(SuperAntiSpyware)で1週間に1度はマルウェア検索していたのですが、CCleanerのバックドアは検出されませんでした。もちろん、Avastのアンチウイルスは常時稼動していますが反応せず……というわけで、報道されなかったら気づかなかったと思います。
    長々と失礼しました。
    ※ちなみにMorphisecはイスラエルの会社です。アメリカにも拠点はありますが、同社のブログは英語の文法ミスがあり、ネイティヴ・スピーカーの書いたものには見えません。

  13. 黒翼猫 より:

    ご指摘ありがとうございます
    すみませんが、初出の誤訳を 修正した際、間違って挿入した部分を消し忘れただけです
    (そのまま読むと、わからなくて適当に訳したというよおり、変な日本語になってると思います)
    後の記事にも書いてる内容が真実です

  14. 黒翼猫 より:

    ご指摘ありがとうございます
    すみませんが、初出の誤訳を 修正した際、間違って挿入した部分を消し忘れただけです
    (そのまま読むと、わからなくて適当に訳したというよおり、変な日本語になってると思います)
    後の記事にも書いてる内容が真実です

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です