CCleaner 是一個公用程式,其設計用於刪除電腦中不需要的檔案。這個軟體會刪除佔用磁碟空間的暫存檔案和無效的 Windows 登錄機碼,在清理過程中,埋藏在系統中的惡意檔案也會一併刪除。2017 年 1 月,CNET 給予這個程式「非常好」的評分。
然而,就在 2017 年 9 月,CCleaner 惡意軟體被發現。駭客竊取了這個合法程式,插入設計為竊取使用者資料的惡意程式碼。他們將本來是清除電腦中潛在惡意軟體的工具,變成了嚴重威脅敏感和個人資訊的工具。
瞭解這項威脅
這個惡意軟體由 Trojan.Floxif 和 Trojan.Nyetya 兩個木馬程式組成,並插入到 CCleaner 版本 5.33.6162 和 CCleaner Cloud 版本 1.07.3191 的免費版本中。據傳,駭客入侵了 CCleaner 的建置環境來插入惡意軟體。
根據多份不同的報告指出,這個惡意軟體能從受感染的電腦系統收集特定資料,包括 IP 位址以及已安裝且使用中軟體的資訊,然後將其傳送到位於美國的第三方伺服器。
CCleaner 的母公司 Avast Piriform 於 2017 年 9 月 12 日發現該惡意軟體,並立即採取措施緩解該問題。起初,公司認為這僅限於在 32 位元 Windows 系統上執行的上述版本,下載該程式的升級版本就會解決問題。據說,當時受感染的使用者超過 200 萬人。
遺憾的是,公司很快就發現惡意軟體感染情況遠比最初料想的嚴重。接著 Cisco Talos 發現了第二階段酬載。該酬載瞄準了約 20 家最大的科技公司,包括 Google、Microsoft、Cisco 和 Intel,並造成 40 台電腦受感染。
根據 Wired 的報導,「Cisco 表示,其從參與 CCleaner 調查的未具名消息來源取得一份駭客命令控制 (C&C) 伺服器的數位副本。該伺服器含有一個資料庫,記錄了 9 月 12 日至 16 日期間『回撥』至駭客機器的每一台後門電腦。」
儘管沒有明確的證據指出 CCleaner 惡意軟體的責任方,但調查人員發現其與中國駭客組織 Axiom 有所關聯。
CCleaner 惡意軟體與 Axiom 使用的工具共享程式碼,受感染伺服器上的時間戳記與中國時區相符;然而,時間戳記是可以更改或變造的,所以很難找出源頭。
再加上選擇科技公司作為攻擊目標,這引發了人們的擔憂,認為 CCleaner 惡意軟體可能是由某國家在背後支持的攻擊。截至 2017 年底,對駭客攻擊責任歸屬的調查仍在進行中。
如何擺脫 CCleaner 惡意軟體?
當 CCleaner 惡意軟體首次被發現時,基於相信這是單一事件,因此建議使用者升級到該程式的最新版本,並認為後續版本是安全的。然而,隨著第二階段酬載的發現,使得移除及保護變得複雜。
或許,制定災難恢復計劃是唯一能真正確保電腦擺脫 CCleaner 惡意軟體的方法。調查人員建議將系統還原到 8 月 15 日之前的備份版本,因為當時是發佈首批受感染工具的日期。
為確保系統乾淨無病毒,您應解除安裝受感染版本的 CCleaner 並啟動防毒掃描。如果您決定重新安裝 CCleaner,亦應安裝可用的最新版本,或版本至少為 5.34 或更高。
CCleaner 被公認為是消除深藏在電腦系統中惡意程式的優秀工具,但正如 CCleaner 惡意軟體事件所證明的那樣,即使是用來保護我們電腦免於威脅的程式,也無法免疫於駭客的攻擊。
卡巴斯基安全軟體在 2021 年榮獲了兩項 AV-TEST 獎項,分別是網路安全產品最佳性能和保護。在所有測試中,卡巴斯基安全軟體都表現出對網路威脅的出色性能和保護。
