マルウェアの詳細
ttp://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
マルウェア本体は32bit版ccleaner.exe
開発者に発行されていた有効な証明書を使用してデジタル署名されていたため開発環境、ビルド環境に問題があった可能性
内部の犯行またはそれらにアクセスできるアカウントに攻撃を受けたか
マルウェア動作のフローチャート
ttps://i.imgur.com/5UHJYuU.png
実行から600秒経過かつ現在のアカウントが管理者権限である場合にシステム情報を収集し外部へ送信

avastのコメント
ttps://blog.avast.com/update-to-the-ccleaner-5.33.1612-security-incident
avastは買収完了前にpiriformにセキュリティ侵害が発生していたことを強く疑っている(根拠はhttps通信用SSL証明書のタイムスタンプが2017/7/3)
一部のメディアでは影響を受けたシステムは8月15日以前にロールバックするか再インストールする必要があると報じているが、我々はその必要はないと考えている
ccleanerユーザーの約3割はavastを実行しており、そこから得られたデータを分析した結果、第2段階のペイロードは実行されていないと考えられる
つまり、システム内に存在する唯一の悪意あるコードはccleaner.exeのみであり、システムの再インストールやロールバックは必要ない