꿈을꾸는 파랑새

컴퓨터에서 최적화 프로그램으로 전 세계적으로 사용되고 있습니다. 그리고 최근에서는 체코의 보안 업체인 Avast(어베스트)가 인수를 했습니다. 최근 CCleaner에서 배포한 프로그램이 악의적인 목적으로 가지는 사용자에게 파일이 조작되어서 시스템 정보를 수집하여 외부로 개인정보가 유출되는 사건이 발생했습니다.

지난 2017년8월15일에 발표가 된 CCleaner 5.33.6162과 CCleaner Cloud 1.07.3191이면 해당 영향을 받는 사용자는 227만 명이며 해당 CCleaner 사용자의 30%에 해당이 됩니다. 해당 변조가 확인된 것은 2017년9월13일에 확인이 되었습니다. 악성 코드는 C&C 서버(command and control)의 주소가 하드 코딩되어 있으며, 컴퓨터 이름, 설치된 소프트웨어 목록 실행 중인 프로세스 목록 네트워크 어댑터 MAC 주소, 시스템 정보 등이 외부 서버로 전송됩니다. 또한, C&C 서버의 폐쇄에 대비해 도메인 생성 알고리즘 (DGA)이 포함되어 있었다고 합니다.
HKLM\SOFTWARE\Piriform\Agomo
일단 해당 CCleaner 5.33.6162가 설치된 경우에는 C:\Program Files\CCleaner\CCleaner.exe(SHA-1:8983a49172af96178458266f93d65fa193eaaef2)이 메모리에 상주하게 되고 해당 CCleaner가 실행이 되면 메모리에 상주하게 되고 실행 후 10분 동안은 악성코드는 작동은 하지 않습니다. 10분 정도 지나고 나면

더 자세한 분석 내용

HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo\TCID 데이터 값을 체크해서 프로그램이 실행 그리고 관리자 권한을 가지고 있느냐 없느냐에 따라서 실행 여부가 결정이 되는 방식을 취하고 있습니다. 그리고 미국에서 있는 C&C 서버(216.126.225.148)로 앞서 이야기한 컴퓨터 이름, 설치된 소프트웨어 목록 실행 중인 프로세스 목록 네트워크 어댑터 MAC 주소, 시스템 정보 등이 외부 서버로 전송됩니다. 그리고 도메인 생성 알고리즘(DGA)규칙에 따라 ab1145b758c30.com (52.23.205.85)서버로 쿼리를 요청을 합니다.

해당 보안 사고는 일단 전문가분들의 분석에 의하면 일단 추가로 악성코드는 다운로드 및 설치는 이루어지지 않았습니다.

일단 해결방법은 간단합니다. 현재 CCleaner에 접속을 해서 해당 프로그램을 설치하면 됩니다. 물론 일부 해외 유저들 분들은 포터블에도 영향을 받는다고 합니다.

일단 그리고 나서 혹시나 악성코드에 감염된 것이 아니냐고 생각을 한다고 하면 백신프로그램을 최신업데이트로 유지한 채 바이러스 검사를 하면 될 것입니다. 일단 사용을 하는 버전이 CCleaner 5.33.6162과 CCleaner Cloud 1.07.3191이면 해당 부분을 사용하고 계시는 분들은 최신 버전으로 업데이트를 진행을 하시면 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band