【タイムライン】
2017/08/15 | Ver5.33 リリース (マルウェアを含む) |
↓ | 汚染されたバージョンが公開されていた期間 |
2017/09/12 | Ver5.34 リリース (改善版) |
2017/09/13 | Talos が問題を発見 |
【概要】
- CC_InfectionBase(0x0040102C)への呼び出しで__scrt_get_dyn_tls_init_callbackで正規のCCleaner v5.33インストーラを中断します
- 2段階の悪質なペイロードを復号化する
- PIC(位置独立コード)PEローダー
- マルウェアペイロードとして機能するDLL
- 実行可能ファイルのヒープを作成し、復号化されたデータをコピーする(マルウェア)
- ヒープ上でPEローダーを呼び出す
- PEローダーとDLLの初期メモリコピーを消去し、割り当てられたメモリを解放し、ヒープを破壊します。
- 正規のインストールを続行します
- 現在のユーザーの管理権限に対する実行権限を確認して、実行を継続します。
- システムをプロファイルし、後でCnCを送信するためにシステム情報を収集します。
- 収集したデータを暗号化する
- HTTPS POST経由でCnC接続を確立します
- CnC応答からのEncryptedInstallIDを検証します。
- POST中に送信された値と一致すると、CnCペイロードを復号化します。
【公開情報】
◆CCleaner Malware (IBM X-force, 2017/09/19)
https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae
【インディケータ情報】
■ハッシュ情報(MD5)
MD5 | 追加日 |
---|---|
75735db7291a19329190757437bdb847 | 2017/09/19 |
2d29b4a7ca69060f23d3b63331fcc042 | 2017/09/19 |
出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae
■ハッシュ情報(Sha256)
Sha256 | 追加日 |
---|---|
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff | 2017/09/19 |
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 | 2017/09/19 |
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 | 2017/09/19 |
出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae
■URL
URL | 追加日 |
---|---|
ab3d685a0c37.com | 2017/09/20 |
ab1145b758c30.com | 2017/09/20 |
ab6d54340c1a.com | 2017/09/20 |
ab890e964c34.com | 2017/09/20 |
ab70a139cc3a.com | 2017/09/20 |
ab1abad1d0c2a.com | 2017/09/20 |
ab8cee60c2d.com | 2017/09/20 |
ab2da3d400c20.com | 2017/09/20 |
ab1c403220c27.com | 2017/09/20 |
aba9a949bc1d.com | 2017/09/20 |
ab3520430c23.com | 2017/09/20 |
出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae
■IP
IPアドレス | 追加日 |
---|---|
216.126.225.148 | 2017/09/20 |
出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae