日前知名系统清理工具Piriform CCleaner的开发商内网遭到攻击并被黑客在8月16日发布的5.33中添加后门。 [出自:jiwo.org]

被添加后门的版本在发布后30天内共计获得600多万次下载，其中潜在额恶意程序感染了至少 200 万台电脑。

当用户下载含有恶意程序的代码后将会自动与攻击者的远程服务器进行连接并提交系统的版本以及软件信息。

但跟踪分析结果表明虽然感染恶意程序的电脑很多但基本未造成什么损失， 因为黑客并未下发其他操作指令。

开发商私下悄悄联系被感染的用户：

由于捷克安全软件Avast已经在早些时候收购了Piriform公司， 因此本次事件后续的处理有 Avast 人员参与。

在经过分析后 Avast 发现攻击者挑选了数百台电脑下发新的指令，这些电脑归属于8个不同的公司或者组织。

该公司研究人员认为这次攻击主要针对中国台湾、 日本、 英国、 德国以及美国等国家地区的大型科技公司。

但是该公司不愿意直接透露受到新指令攻击的公司名单，只是悄悄地私下联系了这些公司提醒可能遭到攻击。

CC被当做跳板攻击大型公司：

值得注意的是尽管受感染的电脑达到了200多万台，但是这次黑客的目标并不是使用 CCleaner 的吃瓜群众。

有证据表明包括微软、谷歌、思科、微星、友讯、Intel、三星、索尼以及已被谷歌收购的HTC 均遭到感染。

思科安全研究人员称本次攻击似乎是特别具有针对性的， 攻击者想通过CCleaner来攻击大型科技公司内网。

在9月15日至9月15日期间攻击者的服务器资料显示有 70 万台电脑与其连接， 部分电脑的信息已经被上传。

被上传的信息包括电脑的 IP 地址、上线时间、名称、网域等，这些将被攻击者用来挑选下个阶段的受害者。

而下个阶段的攻击程序在构造上极其复杂， 其使用单独的C&C远程服务器对攻击程序进行独立控制和操纵。

第三阶段的攻击程序则是会在受害者电脑上加载新的恶意程序，  但由于结构复杂目前研究人员还在分析中。

中国似乎再次背锅：

虽然还不知道攻击者发动此次攻击的最终目的， 但某公司研究人员称这次攻击可能与中国的黑客组织有关。

其论点在于这次的后门程序与中国有关黑客团队的源代码有重叠部分， 即包含了两个后门程序有相同代码。

第二个论点看起来就有点荒谬和可笑了， 因为他们发现服务器上使用的是中国的时区因此认为与中国有关。

此前美国某些机构在开发恶意代码时故意在代码中增加中文字符或者是 俄文字符借此来诬陷中国和俄罗斯。

所以源代码重叠和时区类的问题到底是真的与中国有关、 还是攻击者用来混淆视听转移视线的就不好说了。