CCleaner используется для очистки системного реестра Windows, удаления временных и прочих неиспользуемых файлов. Количество пользователей бесплатной версии CCleaner достигает двух миллиардов человек.
13 сентября 2017 г. эксперты компании Talos обнаружили исполняемый файл, на который среагировали их системы противодействия вредоносному ПО. Оказалось, что речь идет об инсталляторе CCleaner v5.33, скачанном с официального сервера. Разработкой программы занимается компания Piriform, недавно купленная антивирусной компанией Avast.
При более внимательном изучении инсталлятора выяснилось, что помимо самой утилиты CCleaner в нем было спрятан вредоносный модуль, оснащенный алгоритмом генерации доменных имен (Domain Generation Algorithm) и функциями взаимодействия с командными серверами.
Версия 5.33, согласно данным с сайта разработчиков, была выпущена 15 августа 2017 г. и распространялась до 12 сентября, то есть до момента выпуска версии 5.34.
Скомпрометирована среда разработки?Зараженная версия была подписана легитимным сертификатом от Symantec со сроком действия до 10.10.2018. Позднее был найден еще один вредоносный сэмпл, подписанный аналогичным сертификатом на 15 минут позже.
Через два месяца после покупки антивирусной компаний Avast, утилита CCleaner стала распространять вредоносное ПО