Serangan itu dijelaskan dengan demikian oleh para peneliti di Cisco Talos: “versi CCleaner 5.33 yang ditandatangani secara sah…juga mengandung multi-tahap payload malware yang naik di atas instalasi CCleaner.”Perusahaan induk CCleaner, Piriform (yang baru-baru ini dibeli oleh perusahaan antivirus jahat Avast), mengakui masalah itu segera sesudahnya.
Karena CCleaner mengklaim memiliki jutaan unduhan per minggu, itu berpotensi menjadi masalah yang berat.
Apa yang Dilakukan Malware?
Malware tidak secara aktif merusak sistem, tetapi itu mengenkripsi dan mengumpulkan informasi yang dapat digunakan untuk merusak sistem Anda di masa depan. Secara khusus, menurut Piriform, itu menciptakan pengidentifikasi unik untuk komputer dan dikumpulkan:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Anda dapat membaca lebih banyak info teknis tentang serangan di blog Cisco Talos dan di blog Piriform.
Apakah Saya Terkena Dampak?
Untungnya, sepertinya malware ini hanya memengaruhi sebagian pengguna CCleaner tertentu. Secara khusus, itu terpengaruh:
- Pengguna menjalankan versi aplikasi 32-bit (bukan versi 64-bit)
- Pengguna yang menjalankan versi 5.33.6162 CCleaner atau CCleaner Cloud 1.07.3191, dirilis pada 15 Agustus 2017
Karena banyak pengguna cenderung menggunakan versi 64-bit dari aplikasi, dan CCleaner Free tidak secara otomatis memperbarui, ini adalah kabar baik bagi banyak orang.
(Memperbarui: Beberapa hari setelah berita ini pecah, payload kedua ditemukan yang memengaruhi pengguna 64-bit - tetapi itu adalah serangan yang ditargetkan terhadap perusahaan teknologi, jadi tidak mungkin sebagian besar pengguna rumahan terpengaruh.)
Jika Anda menggunakan Windows versi 32-bit dan berpikir Anda mungkin telah mengunduh CCleaner selama jangka waktu yang terpengaruh, berikut cara memeriksa versi apa yang Anda miliki. Buka CCleaner dan lihat di sudut kiri atas jendela - Anda akan melihat nomor versi di bawah nama program.
HKLMSOFTWAREPiriform
dan lihat apakah ada label kunci
Agomo:MUID
. Jika kunci itu ada, itu berarti Anda memiliki perangkat lunak yang terinfeksi pada sistem Anda pada satu titik waktu.)
Apa yang harus saya lakukan?
Meskipun tidak ada hal berbahaya yang ditemukan, Cisco Talos merekomendasikan untuk memulihkan sistem Anda ke keadaan sebelum 15 Agustus 2017 dari cadangan jika Anda terpengaruh. Anda mungkin harus menjalankan pemindaian antivirus dan MalwareBytes pada sistem Anda dan cadangan Anda untuk memastikan tidak ada malware yang tersisa terinstal.
Sebagai alternatif, kata mereka, Anda dapat menginstal ulang Windows sepenuhnya - ya, itu adalah sedikit opsi nuklir, tetapi ini satu-satunya cara untuk sepenuhnya mengetahui sistem Anda bersih setelah acara seperti ini.
