최적화 프로그램 CCleaner 공식프로그램을 통한 개인정보 유출 사건 발생

꿈을꾸는 파랑새

컴퓨터에서 최적화 프로그램으로 전 세계적으로 사용되고 있습니다. 그리고 최근에서는 체코의 보안 업체인 Avast(어베스트)가 인수를 했습니다. 최근 CCleaner에서 배포한 프로그램이 악의적인 목적으로 가지는 사용자에게 파일이 조작되어서 시스템 정보를 수집하여 외부로 개인정보가 유출되는 사건이 발생했습니다.

지난 2017년8월15일에 발표가 된 CCleaner 5.33.6162과 CCleaner Cloud 1.07.3191이면 해당 영향을 받는 사용자는 227만 명이며 해당 CCleaner 사용자의 30%에 해당이 됩니다. 해당 변조가 확인된 것은 2017년9월13일에 확인이 되었습니다. 악성 코드는 C&C 서버(command and control)의 주소가 하드 코딩되어 있으며, 컴퓨터 이름, 설치된 소프트웨어 목록 실행 중인 프로세스 목록 네트워크 어댑터 MAC 주소, 시스템 정보 등이 외부 서버로 전송됩니다. 또한, C&C 서버의 폐쇄에 대비해 도메인 생성 알고리즘 (DGA)이 포함되어 있었다고 합니다.
HKLM\SOFTWARE\Piriform\Agomo
일단 해당 CCleaner 5.33.6162가 설치된 경우에는 C:\Program Files\CCleaner\CCleaner.exe(SHA-1:8983a49172af96178458266f93d65fa193eaaef2)이 메모리에 상주하게 되고 해당 CCleaner가 실행이 되면 메모리에 상주하게 되고 실행 후 10분 동안은 악성코드는 작동은 하지 않습니다. 10분 정도 지나고 나면

더 자세한 분석 내용

HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo\TCID 데이터 값을 체크해서 프로그램이 실행 그리고 관리자 권한을 가지고 있느냐 없느냐에 따라서 실행 여부가 결정이 되는 방식을 취하고 있습니다. 그리고 미국에서 있는 C&C 서버(216.126.225.148)로 앞서 이야기한 컴퓨터 이름, 설치된 소프트웨어 목록 실행 중인 프로세스 목록 네트워크 어댑터 MAC 주소, 시스템 정보 등이 외부 서버로 전송됩니다. 그리고 도메인 생성 알고리즘(DGA)규칙에 따라 ab1145b758c30.com (52.23.205.85)서버로 쿼리를 요청을 합니다.

해당 보안 사고는 일단 전문가분들의 분석에 의하면 일단 추가로 악성코드는 다운로드 및 설치는 이루어지지 않았습니다.

일단 해결방법은 간단합니다. 현재 CCleaner에 접속을 해서 해당 프로그램을 설치하면 됩니다. 물론 일부 해외 유저들 분들은 포터블에도 영향을 받는다고 합니다.

일단 그리고 나서 혹시나 악성코드에 감염된 것이 아니냐고 생각을 한다고 하면 백신프로그램을 최신업데이트로 유지한 채 바이러스 검사를 하면 될 것입니다. 일단 사용을 하는 버전이 CCleaner 5.33.6162과 CCleaner Cloud 1.07.3191이면 해당 부분을 사용하고 계시는 분들은 최신 버전으로 업데이트를 진행을 하시면 될 것입니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://jongamk.tistory.com 핑구야 날자 2017.09.20 07:17 신고

    최적화 프로그램에 대해 잘 알고갑니다

  2. Favicon of https://ssppmm.tistory.com 판다(panda) 2017.09.20 10:58 신고

    CCleaner 자주 사용한 프로그램이였는데.. 이것도 개인정보를 유출하는군요..

  3. Favicon of https://prolite.tistory.com IT세레스 2017.09.21 19:02 신고

    저도 최근에 들은 소식이지만 사용하시는 분들은 빨리 업데이트 해야겠군요.!

  4. Favicon of https://rdsong.com 알송달송IT세상 2017.09.23 17:40 신고

    윈7 쓸때 자주 활용했는데 윈10 쓰면서 거의 사용을 안해 봤네요...

    • Favicon of https://wezard4u.tistory.com Sakai 2017.09.24 17:00 신고

      간단하게 사용을 할것 같으며 기본적인 윈도우를 사용을 해도 상관이 없을것 같습니다.

  5. Favicon of https://ana4you.tistory.com 안아쥬 2017.10.09 21:49 신고

    우와 티스토리 엄청 잘 꾸미셨네요. 어떻게 하신거에요? 대박이다~ 전 어떻게 하는줄 몰라서 아직 헤매고 있답니다. 페이지도 페이지지만 정보도 참 다양하고 많은걸 알고 계시는 것 같네요. 부러워요~~ 다들 저마다의 매력을 가진 티스토리를 가지고 있지만 초보인 제가 보기엔 여긴 완전 하나의 다른 세계의 또다른 홈페이지네요. ^^ rss가뭔지도 모르겠궁..흠.. 좋은 정보 감사해용~^^/

    • Favicon of https://wezard4u.tistory.com Sakai 2017.10.10 23:12 신고

      고찬입니다.저보다 더 잘 블로그를 운영하시는분들이 많이 있습니다.