Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

CCleaner-installer bevatte een maand lang backdoor - update

Door , 217 reacties

Piriform meldt dat de Windows-installer van de populaire opschoonsoftware CCleaner ongeveer een maand lang malware in de vorm van een backdoor bevatte. De installer was te downloaden via de site van de ontwikkelaar, die recentelijk is overgenomen door Avast.

Piriform schrijft dat de geïnfecteerde versie van CCleaner het nummer 5.33.6162 draagt en geschikt is voor 32bit-Windows-systemen. Daarnaast was versie 1.07.3191 van CCleaner Cloud getroffen. Het bedrijf meldt dat het bij de malware om een backdoor gaat, die uit twee componenten bestaat. De eerste component had als doel om informatie over het geïnfecteerde systeem te verzamelen en deze terug te sturen naar een command and control-server in het beheer van de aanvallers. Daarbij ging het om informatie als de naam van de computer, draaiende processen, geïnstalleerde software en de mac-adressen van de eerste drie netwerkadapters.

De malware was in staat om vervolgens een tweede component binnen te halen en code uit te voeren, aldus het bedrijf. Cisco's beveiligingsonderdeel Talos, dat de malware naar eigen zeggen ontdekte, meldt niet precies wat de mogelijkheden ervan zijn, maar schrijft alleen dat 'het uitvoeren van verschillende kwaadaardige acties' mogelijk was. Piriform claimt dat er geen aanwijzingen zijn dat de payload van de tweede component daadwerkelijk is uitgevoerd en claimt dat activatie ervan 'zeer onwaarschijnlijk is'. Waarom dat zo is, meldt het bedrijf niet.

Zowel Piriform en Talos vermelden dat de code van de malware erop was gericht om detectie te voorkomen of in ieder geval te bemoeilijken. Talos claimt dat de kwaadaardige software aan het licht kwam tijdens de bètatest van een nieuw beveiligingsproduct. In zijn analyse schrijft het bedrijf dat het aannemelijk is dat de aanvallers toegang moeten hebben gehad tot de ontwikkelomgeving van Piriform om zo de kwaadaardige code aan de installer toe te voegen. Er was een geldig certificaat voor de installer aanwezig.

De kwaadaardige versie van CCleaner was te downloaden tussen 15 augustus en 12 september. Voor de Cloud-versie ging het om de periode tussen 24 augustus en 15 september, aldus Piriform. Het bedrijf raadt gebruikers aan om een update van de CCleaner-software uit te voeren. Talos gaat een stap verder en raadt gebruikers die de kwaadaardige versie hebben geïnstalleerd om hun Windows-systeem terug te draaien naar een tijdstip voor 15 augustus of een herinstallatie door te voeren.

Piriform schat dat drie procent van zijn CCleaner-gebruikers is getroffen. Op zijn website schrijft het bedrijf dat er 2 miljard downloads tot nu toe hebben plaatsgevonden en dat er 5 miljoen installaties per week plaatsvinden. Piriform zegt geen aannames te willen doen over de identiteit van de aanvallers en werkt samen met Amerikaanse opsporingsdiensten. Het bedrijf is recentelijk overgenomen door beveiligingsbedrijf Avast, dat eveneens een onderzoek uitvoert. Bij de huidige aanval gaat het om een zogenaamde supply chain attack, waarbij een legitiem product wordt voorzien van kwaadaardige code. Hetzelfde was bijvoorbeeld te zien bij de verspreiding van de NotPetya-malware via de boekhoudsoftware MeDoc.

Update, 12:42: Avast zegt tegen Forbes dat naar schatting 2,27 miljoen gebruikers de kwaadaardige versies hebben geïnstalleerd. De uitspraak dat de tweede component van de malware niet was uitgevoerd, baseert het bedrijf op een scan van geïnfecteerde computers waarop zijn software is geïnstalleerd. Tweaker temp00 meldt dat de aanwezigheid van een bepaalde registervermelding kan duiden op infectie.

 Verloop van de malware, volgens Talos

Door Sander van Voorst

Nieuwsredacteur

18-09-2017 • 11:27

217 Linkedin Google+

Reacties (217)

Wijzig sortering
Uit: http://blog.talosintellig...-distributes-malware.html
en http://www.piriform.com/n...-for-32-bit-windows-users
maak ik op dat de aanwezigheid van de volgende registry key:
HKLM\SOFTWARE\Piriform\Agomo:MUID
een indicatie kan geven of je ge´nfecteerd bent.

[Reactie gewijzigd door temp00 op 18 september 2017 12:34]

Kan deze sleutel niet op mijn systeem vinden, maar wie zegt dat de backdoor deze registersleutels niet zelf wist na een bepaalde periode/actie?

Alle alarmbellen zijn hier aan het rinkelen, maar ik heb echt geen idee wat te doen. De informatie is dusdanig summier en onduidelijk. Piriform/Avast laat klanten echt in de kou staan. We hebben oplossingen nodig!
Volgens de door temp00 genoemde bronnen is HKLM\SOFTWARE\Piriform\Agomo:MUID gebruikt om een waarde genaamd "InstallID" op te slaan. Als deze waarde niet bestaat wordt het aangemaakt.

De volgende sleutels worden gebruikt, als geen van deze op je pc staan ben je niet geinfecteerd:
MUID: randomly generated number identifying a particular system. Possibly also to be used as communication encryption key.
TCID: timer value used for checking whether to perform certain actions (communication, etc.)
NID: IP address of secondary CnC server
PS, ben niet goed bekend met de bb-codes van Tweakers. Excuses voor eventuele verkeerde markups.

[Reactie gewijzigd door axe0 op 18 september 2017 15:39]

Had je ondertussen een normale virusscanner draaien? Want dan kan er weinig gebeurd zijn (tenzij je die niet up to date hield).
Natuurlijk wel. Maar dat wil niet zeggen dat deze backdoor tot vandaag niet ongehinderd zijn gang heeft kunnen gaan. Geen enkele virusscanner kan 0days detecteren. Na vandaag zullen virusscanners langzaam aan wel definities bijwerken zodat ze sporen kunnen detecteren. Het spreekwoordelijke kat-en-muisspel.

Heuristics kan inderdaad wel dingen tegenhouden, heb je een punt.

[Reactie gewijzigd door Tigerblood op 18 september 2017 16:35]

Geen enkele virusscanner kan 0days detecteren.
Je bedoelt een scanner die puur op basis van signatures werkt. Virusscanners zijn echter verder ontwikkeld dan deze jaren-90 methode, zie bijvoorbeeld Kaspersky's Automatic Exploit Prevention, en soortgelijke trucendozen vind je tegenwoordig in de meeste degelijke virusscanners en 'security suites'.

Ook wordt steeds meer gebruik gemaakt van traffic patterns: security firms e.a. merken dat er bijvoorbeeld opvallend veel verkeer ontstaat richting verdachte Chinese subnets vanuit een bepaald programma, waarbij dat programma gelijk als verdacht wordt aangemerkt. Vervolgens wordt dit programma in de scanner beperkt tot uitvoeren zonder admin rechten of zelfs geheel geblokkeerd om zoveel mogelijk schade te beperken. Daarmee bescherm je wellicht net de eerste slachtoffers niet, maar heb je wel een groot deel van de klanten afgeschermd (mits ze updaten natuurlijk).
Waar baseer je dat op? Slechts enkele virusscanners detecteren dit als malware.
Het gaat niet om het detecteren van de openstaande keukendeur, het gaat om het detecteren van een indringer in je systeem. Een beetje virusscanner heeft tegenwoordig genoeg heuristiek in huis om te merken dat er na het gebruik van de backdoor dingen op het systeem gebeuren die niet horen. Anders zou men nu alleen maar backdoors maken, volgens jouw redenering ben je dan altijd ondetecteerbaar.
Dan zou je toch verwachten dat malware als bijvoorbeeld notpetya zich niet zo ver zou verspreiden. De praktijk is blijkbaar anders.

Edit:
notpetya is eigenlijk een slecht voorbeeld omdat dit soort malware door heuristische methodes nog tegen te houden is.
Maar ik zie bijna dagelijks trojans die slecht worden gedetecteerd en gebruik maken van legitieme windows processen. Die worden echt niet zo makkelijk door heuristische methodes gestopt. Dat blijkt in de praktijk.

[Reactie gewijzigd door Harper op 18 september 2017 21:52]

Euhm ik vermoed dat jij niet goed weet hoe deze malware werkt.

Ik wil je gerust een eigen programmaatje doorsturen die je volledige systeem open stelt aan mij en ook als "backdoor" gekwalificeerd zou kunnen worden. Command and control via twitter, communicatie via imgur of dergelijke. Geen enkele antivirusscanner of heuristics gaat dat ook maar opmerken.

Het enige dat zou kunnen gebeuren is dat je firewall je inlicht dat een programma verbinding wil maken met internet of dat Symantec bv. waarschuwt dat er heel weinig mensen deze EXE hebben. Maar in het geval van CCleaner zou dat bv. al niet het geval zijn.

Een antivirus wordt nogal overschat ;-)
Dat vind ik wel een interessant experiment, stuur maar een wetransfer oid naar piet@mailinator.com, dan vis ik hem daar weer uit.
Hier hetzelfde, Ze verschaffen helemaal geen duidelijkheid. Ze zouden een removel tool moeten uitbrengen. Nu ik heb de key niet gevoncen (ik had Ccleaner wel al verwijderd) en Bitdefender heeft nooit problemen gemaakt. Zelfs de originele installer (die in de download map staat) vertoont bij een scan geen probleem. Bij het opnieuw downloaden van Ccleaner blokkeert Bitdefender de download.

Ik heb ook een Asus router waar de Aiprotection aanstaat. Ook daar is er niks verdacht opgedoken.
blijkbaar filtert deze malware ook op bestandsnaam en blokkeerd bepaalde bestandsnamen zoals 'cheatengine-i386.exe'
dus copieer een .exe , hernoem hem naar cheatengine-i386.exe en voer het uit.
als je de melding krijgt dat het bestand niet gevonden is ben je geinfecteerd
Je vraagt je af hoe zoiets kan gebeuren ik gebruik ccleaner al een hele lange tijd, ook al is het maar voor alle rotzooi van je harde schijf te krijgen.Het is een goed programma maar ook bij de betere programma,s zie je wel dat er iets fout kan gaan.
Gelukkig heb de x 64 variant.

[Reactie gewijzigd door rjmno1 op 18 september 2017 14:43]

ik ook windows 10 64-bit, maar wel malware geconstateerd via CCleaner.
malwarebytes detecteerd het..
https://nl.malwarebytes.com/
Zojuist getest, na een upgrade naar de laatste versie van CCleaner (5.34.6207) is de threat niet meer zichtbaar in Malwarebytes.
Dat is omdat op een 64-bit OS je bij de installatie beide 32-bit en 64-bit versies ge´nstalleerd krijgt, echter de shortcut linkt normaliter enkel naar CCleaner64.exe, welke geen problemen geeft bij executie.

Overigens wordt de setup zelf (ccsetup533.exe) en CCleaner.exe (32-bit variant) dus beiden gedetecteerd, logisch, want de installatie pakt het malafide bestand ook uit, en dat kan beter voorkomen worden.
Oh, dan maar als een haas even mijn registry opschonen met... eh... CCleaner.
Oh, dan maar als een haas even mijn registry opschonen met... eh... CCleaner.
Het opschonen van je registry is vooral een verspilling van tijd en resources
De registry is in essentie een soort database met geindexeerde tabellen die qua performance nauwelijk beinvloed wordt door de grootte van die tabellen

[Reactie gewijzigd door TWyk op 20 september 2017 11:01]

Op http://blog.talosintellig...-distributes-malware.html staat de volgende opmerking:

On September 13, 2017 while conducting customer beta testing of our new exploit detection technology, Cisco Talos identified a specific executable which was triggering our advanced malware protection systems. Upon closer inspection, the executable in question was the installer for CCleaner v5.33, which was being delivered to endpoints by the legitimate CCleaner download servers.

Dit doet vermoeden dat wie de portable versie gebruikt geen risico heeft gelopen. Wat vooral een slechte zaak is, dat dit intern bij Piriform al op 12 september bekend was en er pas op 18 september over communiceerde naar buiten.
Dit doet vermoeden dat wie de portable versie gebruikt geen risico heeft gelopen. Wat vooral een slechte zaak is, dat dit intern bij Piriform al op 12 september bekend was en er pas op 18 september over communiceerde naar buiten.
Dat vermoeden is waarschijnlijk onjuist. De malware zit in de 32 bits executable van CCleaner.exe, niet in de installer. Op VirusTotal is te zien dat diverse virusscanners de 32bit CCleaner v5.33 executable als malware aanmerken. Voor de 64 bit versie is dat niet het geval.

edit: linkje gecorrigeerd

[Reactie gewijzigd door Tribits op 18 september 2017 13:18]

Okee, dat is een aanwijzing. Wat ik verwarrend vind is dat Talos en Tweakers spreekt over een probleem in de installer: ''Upon closer inspection, the executable in question was the installer for CCleaner v5.33''
Piriform noemt dat nergens.

Wat bovenstaande verwarring versterkt is dat de SHA256 van CCleaner.exe (niet CCleaner64.exe) ÚÚn van de schadelijke sleutels draagt namelijk: 6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9

Dus zowel de installer als de 32-bit installatie zijn schadelijk wanneer we puur en alleen kijken naar de File Hashes.

Corrigeer me als ik fout zit.

[Reactie gewijzigd door croiky op 18 september 2017 15:16]

Het zou op zich kunnen dat het setup bestand zelf ook besmet is en dat daarom sommige virusscanners het als virus detecteren, maar in dat geval lijkt het mij weer onwaarschijnlijk dat 64 bit systemen buiten schot zouden blijven. Vandaar mijn aanname dat het setup bestand alleen aangemerkt wordt als besmet omdat het de besmette 32 bit exe bevat. Andere mogelijkheid is dat deze malware domweg niet werkt op 64 bit systemen, hoewel mij dat minder waarschijnlijk lijkt.
Inmiddels is er een officieel antwoord dat als het nog niet duidelijk was deze discussie wel zal samenvatten:

The only version affected is the 32-bit binary of CCleaner v5.33.6162. It was the application that was the issue, not the installer. If you’re using a 64-bit version of CCleaner, then you’re unaffected although we recommend updating to the latest version. There is also no effect to the Mac or Android versions.

https://forum.piriform.co...?showtopic=48869&p=286414

Zoals ik het hier voor me heb kan men als x64 gebruiker in een onwaarschijnlijk geval toch CCleaner.exe (32-bit dus) hebben gestart na release van de schadelijke versie. Rechtse klik>Eigenschappen en je ziet wanneer ie voor het laatst is geopend. Let op: NIET dubbelklikken/uitvoeren als je nog op 5.33.6162 zit.

[Reactie gewijzigd door croiky op 18 september 2017 18:54]

Ik draai Win10 x64.

Bij mij heeft Malwarebytes Nyetya gedetecteerd in de x64 versie van ccleaner.exe.
Ccleaner.exe is de 32 bits versie. De 64 bits versie is ccleaner64.exe (zie je screendump)

[Reactie gewijzigd door etrans op 18 september 2017 20:50]

Toch vreemd dat die x86 versie dan in mijn "Program Files" staat. Je zou hem verwachten in "Program Files (x86).

Bovendien heb ik nooit gevraagd om een 32 bits versie. Waarom zou ik? Ik draai, net als de rest van de wereld, al >10 jaar 64 bits software.

Maar goed... ik heb de Cisco Talos blogpost doorgenomen om een idee te krijgen van wat ik moet doen.

Ik heb geen system restore points, omdat ik niet had gedacht ze ooit nodig te hebben. Talos heeft alvast wel alle DGA domeinen gesinkholed. Verder maken ze nog melding van een IP adres (216[.]126[.]225[.]148), dat ik voor de zekerheid ga blocken in mijn firewall.

[update]

Malwarebytes blokkeert uit zichzelf al traffic naar dat IP adres.

[Reactie gewijzigd door Codin the Coder op 18 september 2017 21:04]

Niet elke applicatie zet het in de juiste x86/x64 folder, sterker nog ik denk dat de developer daar zelf controle over heeft.

Genoeg 64-bit games hebben zowel hun 32 en 64 bit executable in Program Files x86 voor het gemak.
" Ik draai, net als de rest van de wereld, al >10 jaar 64 bits software."
Aparte wereld waar jij in leeft dan
Valt mee, maar de wereld is groter dan jij denkt heb ik het idee
Nvm, gevonden.

[Reactie gewijzigd door TheDeeGee op 19 september 2017 10:17]

Wat vooral een slechte zaak is, dat dit intern bij Piriform al op 12 september bekend was en er pas op 18 september over communiceerde naar buiten.
Mwah, 5 dagen vind ik op zich nog wel meevallen.
Je kan beter even goed onderzoek doen en controleren of er niet nog toegang is tot de servers bijvoorbeeld en/of er niet nog meer producten dan enkel die versie van CCleaner ge´nfecteerd zijn, plus wat bewijs verzamelen voor 't geval je de daders kan vinden, dan meteen te releasen terwijl dat misschien halve informatie is of het probleem (nog) niet oplost of zelfs paniek veroorzaakt omdat er geen fix is.

Ja in een ideale wereld waarschuw je direct, maar soms is heel even eerst kijken beter dan halsoverkop een persbericht de wereld in te sturen. 5 dagen is dan nog best redelijk. En ja ik ben me er volledig van bewust dat in die 5 dagen tijd veel kan gebeuren en het lek voor veel mensen ongemerkt is gebleven, maar als blijkt dat er nog veel meer problemen zijn is het beter die eerst even te adresseren zodat je in ÚÚn keer alles pakt dan te haasten. Die mening zal wellicht niet al te populair zijn, maar ik vind het best redelijk eigenlijk. 5 dagen is dan prima, als we 't nou hebben over meerdere weken dan gaat de vlieger al niet meer op. ;)

[Reactie gewijzigd door WhatsappHack op 18 september 2017 12:22]

Het viel al op dat in de free versie er een popup verscheen voor een zeer dringende update terwijl automatisch updaten niet in de free versie zit en de changelog eigenlijk niks noemenswaardigs liet zien.

Dat dit ook gebeurd is met een versie die verscheen net na de overname door Avast lijkt ook geen toeval.

Vraag me nog wel af of er een verschil zit in een download direct van Piriform of vanaf FileHippo waar ook vanaf de Piriformsite naar doorgelinkt wordt voor de free versie.

[Reactie gewijzigd door sambalbaj op 18 september 2017 12:36]

Zojuist hier ook een popup toen ik op CCleaner klikte: keuze tussen verder gaan met de trial of upgraden.
Raar, ik heb juist altijd de gratis versie geinstalleerd. Precies weer in het midden van de genoemde periode, versie 5.33 maar volgens mij wel de 64bit versie.

Op de site van CCleaner heb ik bij de downloads nooit echt een keuze gezien tussen 32bit en 64bit. Het lijkt me dat daar gewoon de 64 bit gedownload wordt als je Windows 64 bit is? Op Filehippo is het wellicht wel anders, maar ik probeer altijd direct van de eigen fabrikant te downloaden waar mogelijk.
Op een 64-bit OS worden beiden executables, CCleaner.exe en CCleaner64.exe ge´nstalleerd, echter alleen CCleaner.exe is gedetecteerd als malware en de boosdoener.

Normaliter wordt op een 64-bit OS gewoon de 64-bit variant opgestart, echter heb ik geen idee wat het zou doen als je de 32-bit variant zou starten.
Heb dat net even bekeken op Windows 7 x64, zolang CCleaner64.exe in de map zit wordt de 64-bit versie alsnog gestart, zo niet dan de 32-bit versie. (met V5.33 uit het artikel)

Echter ik zie nergens geen Agomo register sleutels opdoemen of andere vreemde dingen, misschien mis ik iets.

Overigens werd de ge´nfecteerde setup gewoon via piriform hun eigen mirror beschikbaar gesteld, daarvan heb ik de setup nog.
Beiden de setup en CCleaner.exe worden in ieder geval door MBAM gedetecteerd.

Setup: https://www.virustotal.co...fdb7933cf6030ff/detection
CCleaner.exe: https://www.virustotal.co...a8218b9f432f0a9/detection
Aha okee, bedankt. MBAM had gelukkig ook niets gevonden hier. Maar die draaide ik pas toen ik CCleaner al had gedeinstalleerd. En met regedit vond ik niets met zoeken op 'Agomo' en zag ik de genoemde schadelijke entries bij de sleutel HKLM\SOFTWARE\Piriform\ niet staan. Tenminste, als ik goed heb gegekeken, want ik zag HKLM niet staan maar wel zoiets als HKey_Local_Machine wat volgens mij hetzelfde is. Ik ga er vanuit dat de 32bit variant hier nooit is opgestart.

[Reactie gewijzigd door Slingeraap2 op 19 september 2017 10:54]

Precies, dat automatisch updaten viel me al op. Ik was er al blij mee. Dat mogen ze wat mij betreft wel blijven doen.
Vraag me nog wel af of er een verschil zit in een download direct van Piriform of vanaf FileHippo waar ook vanaf de Piriformsite naar doorgelinkt wordt voor de free versie.
Van CCleaner's eigen website:
"Based on further analysis, we found that the 5.33.6162 version of CCleaner and the 1.07.3191 version of CCleaner Cloud was illegally modified before it was released to the public, and we started an investigation process. "

Lijkt me dus dat dat niet uitmaakt.
Heb even de versie van Filepuma getest, en die was wel degelijk ook besmet.
5 dagen waarbij ook nog een weekend zit. En ook dus eerst nog uitgezocht moet worden wat er nu werkelijk precies aan de hand is en waar mogelijk het probleem door is ontstaan.. Overdrijven is ook een kunst door te zeggen 'al op 12 september bekend en pas op 18 september over communiceerde naar buiten', overigens staat er in jouw quote zelfs 13 september kwam HIJ er achter, dus toen moest die nog communiceren met de makers van CCleaner.. Dan vind ik het zelf heel erg snel.
@All,

Het is misschien verstandig om een aantal algemene punten onder de aandacht te brengen.

Algemeen
Het is verstandig om even de registry te doorzoeken op de term "Agomo", zoals eigenlijk al aangegeven is door @temp00 en verder duidelijk is op de pagina http://blog.talosintellig...-distributes-malware.html .

Daarmee krijgt men een indicatie of het systeem besmet is of besmet is geweest, maar het is geen enkele garantie dat besmetting afwezig is indien de zoekterm "Agomo" niet in de registry staat.

Het is niet verstandig om te vertrouwen om de diverse anti-virus scanners, laat staan om meerdere van die scanners tegelijkertijd te laten draaien: vaak werken ze elkaar tegen, waardoor soms evidente virussen gemist worden.

Een scan met ÚÚn of meerder virus-scanners is dus niet een oplossing om te bepalen of de CCleaner backdoor aanwezig was of nog aanwezig is.

Piriform en CCleaner
Piriform heeft een update uitgebracht, de laatste versie is 5.34.6207 op het moment van schrijven.

Het heeft er alle schijn van dat de meest recente update alle eerdere bestanden heeft verwijderd, zoals het eigenlijk hoort te gaan met een goede update (dit was in het verleden niet altijd het geval met een aantal updates van CCleaner).

Mocht men toch een beetje twijfelen, verwijder CCleaner gewoon in zijn geheel en installeer vervolgens de laatste (en veilige) versie van CCleaner.

Backup en herstel
De oude en onveilige versie van CCleaner kan in een backup procedure opgeslagen zijn.

Ga dus niet zomaar een Windows backup herstellen!

Men dient eerst de laatst opgeslagen versies van CCleaner programma's te controleren: als de datum van de meest recent versie van CCleaner in de backup voor 15.08.2017 ligt, dan is er geen probleem.

De onveilige versies van CCleaner kunnen ergens in de periode van 15.08.2017 t/m heden (!) in de Windows backups beland zijn........

..............verwijder daarom alle versies van CCleaner die na 15.08.2017 zijn opgeslagen.


Hopelijk helpt het bovenstaande een (klein) beetje.......

......... en thanx to @temp00 !
Mijn NOD32 verwijderde tijdens het opstarten Win32/CCleaner.A

En in het register is niets meer te vinden, ook heb ik CCleaner verwijderd.

Zit ik dan goed?
@TheDeeGee

Of je goed zit? Ja en nee.

Het dient vooropgesteld te worden dat de meest recente (bij voorkeur 64-bit) versie van CCleaner rustig op jouw Windows systeem mag staan.

Ja, je zit goed, in de zin dat het geen kwaad kan om CCleaner te verwijderen.

Nee, je zit niet goed, in de zin dat het geen garantie biedt dat het systeem niet ge´nfecteerd is gedurende de periode dat de oude (kwetsbare) versie van CCleaner ge´nstalleerd was.

Persoonlijk zou ik jou aanraden om in de Windows Firewall al het inkomend en uitgaand traffic naar het IP adres 216.126.225.148 te blokkeren.

Verder is een goede, volledige scan van jouw systeem altijd aan te raden: gebruik bij voorkeur meerdere virus scanners achter elkaar (en verwijder specifieke virus scanners als ze gebruikt zijn, dit omwille van het feit dat de meeste virus scanners elkaar niet "mogen" en zelfs soms als virus aanmerken).

Hoe dan ook, maak je niet al te druk over de kwetsbaarheden van CCleaner.

In principe had je het allang kunnen merken aan de CPU, memory & network usage als jouw systeem daadwerkelijk ge´nfecteerd was met malware: het is vrij zeldzaam als de kwetsbaarheid in CCleaner zal leiden tot "stap 2", het binnenhalen van de echte malware.

Hopelijk helpt het bovenstaande een beetje.........
Bedankt voor je uitgebreide uitleg :)

Heb nadat NOD32 alarm gaf nog gescanned met Immunet, en die heeft ook niets meer gevonden.

Verder gebruik in Windows 10 Pro 64-Bit.
Ha, daar hebben we wat aan! In plaats van: interessant te den op dit forum! _/-\o_ _/-\o_
Ik had deze versie ook ge´nstalleerd, en heb CCleaner zojuist verwijderd. Wat kan ik nog meer doen of te zorgen dat het compleet van mijn systeem is verwijderd? Systeemherstel is helaas geen optie.
Volgens deze bron kan je controleren of je ge´nfecteerd bent: http://blog.talosintellig...-distributes-malware.html
The malware also compares the current system time to the value stored in the following registry location:

HKLM\SOFTWARE\Piriform\Agomo:TCID

If the value stored in TCID is in the future, the malware will also terminate execution.
Bedankt, ik heb geen map genaamd Piriform daar, en dus ook niet een met de naam Agomo:TCID.
Ik zie dat het hier om de 32-bit versie van de software gaat. Er is slechts ÚÚn enkele installer. Bepaald deze zelf welke software geinstalleerd wordt?

Ik heb het thuis op de PC staan, maar kan nu niet checken in welke Program Files deze geinstalleerd is..
Goede vraag. Ik heb had zelf de 64-bit versie met hetzelfde versienummer. Blijkbaar wordt dit door de installer zelf bepaald want ik heb hier niet specifiek voor gekozen. Maar volgens Priform was alleen de 32-bit versie besmet. Dus kun je er dan vanuit gaan dat je veilig zit als je de 64-bit versie hebt draaien? Ik vraag me dan ook af wat de impact was aangezien tegenwoordig vrijwel iedereen een 64-bit OS heeft.
Vroeg me hetzelfde af of je met de 64-bit versie wel nog goed zit. In het Talos rapport zien we dat de volgende hashes problematisch zijn bevonden:

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

Mijn download van versie 5.33.61.62 (64-bit) laat dmv ComputeHASH Utility de volgende info zien:

File : ccsetup533.exe
Size : 9,34 MB
CRC32 : 82d92490
MD5 : 75735db7291a19329190757437bdb847
SHA1 : c705c0b0210ebda6a3301c6ca9c6091b2ee11d5b
SHA256 : 1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff

Voorlopige conclusie is (dankzij oplettende Tribits hieronder) niet safe!

Edit: nav het eerste bericht van temp00, op mijn PC met Win7 x64 in ieder geval geen enkele registervermelding van Agomo gevonden.

[Reactie gewijzigd door croiky op 18 september 2017 13:45]

Die bovenste hashes zijn SHA256 hashes, de SHA1 hash die jij geeft komt overeen met de tweede hash in het lijstje van Talos.
Komt dat ook gewoon niet mede door het feit dat het een universele installer is? De tool controleert namelijk of je 32 of 64 bit draait. Als je 64 bit hebt ben je alsnog veilig van de infectie. Dat hij niet doorhad dat de hashes ander waren is niet erg in dit geval. Maar wel noodzakelijk om scherp te zijn voor zulke dingen.
Als je 64 bit hebt ben je alsnog veilig van de infectie.
Het ontgaat me maar waarop baseer jij dit?
Op het nieuwsartikel? Piriform vermeld dit en bij Talos is dit ook vermeld.
Ah okeeeee.. Als 64-bit draaiert loop ik vooralsnog niet over van die teksten. Dacht dat jouw conclusie uit je post zou moeten zijn op te maken of misschien had je diepgaande kennis waar ik niet bij kom.
De enige kennis die ik extra had was dat ik een stuk tekst extra heb gelezen. Ik ga vanavond zeker ook even controleren.

Edit: Windows 10 Pro 64-bit. Geen Agomo key in registry, en CCleaner heeft een update gelijk uitgevoerd toen ik het opstartte.

[Reactie gewijzigd door Phntm op 18 september 2017 18:58]

Vreemd dan want ik draai Windows 10 Pro - 64-Bit en kreeg mooi een melding van NOD32.

Win32/CCleaner.A - Object: C:\Program Files\CCleaner\CCleaner.exe
Win32/CCleaner.B - Object: Werkgeheugen = CCleaner.exe

Komt dus uit de 64-Bit Program Files en niet x86.
Essentieel! Daarmee maakt m'n verhaal een 180. Heb de post aangepast.

[Reactie gewijzigd door croiky op 18 september 2017 13:48]

Edit: nav het eerste bericht van temp00, op mijn PC met Win7 x64 geen enkele registervermelding van Agomo gevonden. Nog safer :*) Check deze zaken ook zou ik zeggen.
Positief om te weten dat het dan ook zegt zo is dat 64 bit vrij is van deze key. Zodra ik thuis ben vanavond ook maar even controleren voor de zekerheid!
Exact. Ik draai een 64-bit OS, samen met het gros van de bevolking. Maar hier wordt verder niet over gerept...
Hier precies hetzelfde probleem. Ik heb deze versie ge´nstalleerd op twee 64bits Windows 7 systemen. Heb ik nu wel of niet een probleem?
Wie gebruikt er overigens nog een 32 bits OS? Dat moet wel een erg kleine minderheid zijn.
Het gaat in dit geval om de installer. Zoals je zegt is er maar ÚÚn installer, dus dat is een x86 (32bit) programma.
Helder. Vanavond kijken of ik een rollback kan doen. En anders ga ik maar trouw opnieuw installeren.
Beide, maar op een 64bit systeem wordt Ccleaner64.exe gestart.

[Reactie gewijzigd door Dutch_CroniC op 18 september 2017 18:32]

Wat ik mij dan afvraag is hoe kan het zo zijn dat er een malware backdoor in de software kan komen :?
Door de download te infecteren? Quite obvious, really. :P
Nee, dat werkt niet. De download is gesigned; als je die wijzigt klopt de signature niet meer. Het moet gebeurd zijn in het build proces, voordat de signature aangemaakt werd.
Wat mij opviel bij een van de downloads is dat er extra 3rd party software werd meegeleverd, die bekend staat als niet betrouwbaar (reimage). Tijdens het installatie proces kon je deze gewoon uitvinken.
Dit was de eerste keer dat er op deze manier iets meegeleverd werd met ccleaner, dus ik gok dat het ook deze malware betreft.
Iemand een zelfde ervaring gehad?
Je krijgt af en toe optie om Google chrome te installeren erbij ja, maar om daarvoor nu een herinstallatie van je pc te doen.
Ik gebruik geen Chrome maar zou er niet voor mijn pc herinstalleren.
Nee, het enige wat aangeboden wordt is Google Chrome en een Google Toolbar.
Indien je beide al hebt, dan wordt het niet aangeboden, tenzij ze outdated zijn.
Via piriform.com heb ik nog nooit die Reimage meuk erbij gehad, dan moet je het haast wel ergens anders vandaan hebben geplukt.

Zelf pak ik altijd via de Buildspagina de Slim versie, komt meestal wel wat later dan als ze een nieuwe release hebben uitgebracht, dan pak ik de zip variant.
De signature staat op de website toch? Dus je kan beter de software van site1 downloaden en de signature checken op site2.
Ik denk niet dat hij doelt op iets als een shasum die bij een download staat vermeld, maar op Code Signing; het proces waarbij automatisch wordt gecontroleerd of de software inderdaad is uitgegeven door de ontwikkelaar en in de tussentijd niet is gewijzigd - en dat gaat een stuk verder dan enkel een hash van de binary genereren. Windows en MacOS controleren daar op, om unsigned apps te starten moet je vaak eerst door een aantal waarschuwingen heen manoeuvreren.
Daarom twijfel ik aan de ontwikkelaars, je gaat mij niet vertellen dat ze 2 versies van source maintainen. een 64 en 32 bit, zover mijn kennis rijkt is dit niet vaak het geval en vertrouw ik de 64bit ook voor geen meter!
??

Ik heb geen idee waar jouw reactie op slaat. Ikzelf bouw x86/x864/ARM voor Windows en Linux vanuit dezelfde source, dus waarom Piriform twee source versies zou moeten hebben voor 2 builds ontgaat me.
Dan is de download toch ge´nfecteerd? :) In welke stap dat is gebeurd is om het even; achteraf of in de builder. Maar je hebt ergens wel gelijk en ik snap de verwarring, de verwoording laat te wensen over omdat het kan suggereren dat het bestand pas achteraf op de server is aangepast.
[...] In welke stap dat is gebeurd is om het even; achteraf of in de builder. [...]
Het is wel degelijk een groot verschil.
Bij het achteraf toevoegen is de hosting-site waarschijnlijk gehackt geweest.
Bij het build-proces is er een vele malen groter probleem en wel dat het hele product in gevaar is omdat je eigenlijk geen weet van hebt wat 'ze' nog meer allemaal hebben kunnen doen.
Voor zover ik weet is ccleaner niet open source, dus dan zou je -na zo'n inbraak- ook malware kunnen krijgen die geoptimaliseerd is om niet gedetecteerd te worden en dus staat ccleaner dan weer op achterstand.
Ik zeg ook niet dat er geen verschil is in welke stap het is uitgevoerd, louter dat het eindresultaat hetzelfde is. Maar zoals ik al zei: de woordkeuze had beter gekund of een betere toelichting was noodzakelijk, gezien het nu heel duidelijk multi-interpretabel is en voor verwarring zorgt. :) En ik snap ook waarom.
ccleaner is toch niet signed?
Zojuist gechecked, mijne is wel degelijk signed door Piriform Ltd. Echter dat certificaat mogen ze nu wel gaat intrekken.

[Reactie gewijzigd door Cilph op 18 september 2017 12:03]

Website gehackt bijvoorbeeld, en dan de download van de software vervangen.
Nee, werkt niet - dan mist de signature.
Daar zijn certificaten voor om je executable te signen... maar in dit geval is het voor het signen al gebeurd (dus vermoedelijk een hack van de ontwikkelomgeving)
Volgens het artikel:
In zijn analyse schrijft het bedrijf dat het aannemelijk is dat de aanvallers toegang moeten hebben gehad tot de ontwikkelomgeving van Piriform om zo de kwaadaardige code aan de installer toe te voegen. Er was een geldig certificaat voor de installer aanwezig.
Meer dat twee regels lezen is moeilijk tegenwoordig: 8)7

In zijn analyse schrijft het bedrijf dat het aannemelijk is dat de aanvallers toegang moeten hebben gehad tot de ontwikkelomgeving van Piriform om zo de kwaadaardige code aan de installer toe te voegen. Er was een geldig certificaat voor de installer aanwezig.

[Reactie gewijzigd door satya op 18 september 2017 12:58]

Ben zelf geen pro maar zover ik het weet heeft dat t maken met anonymous data collection.

Poorten kunnen open gelaten worden voor het doorsluizen van data. Een beetje behendig persoon kan erachter komen welke poorten dat zijn en daar naar toe malware instellen.

Ps
Dit is echt in layman termen geprobeerd uit te leggen met geen garantie dat het klopt
Ik heb de ge´nfecteerde versie geinstalleerd op 29/08. Heb die installer gescanned op virussen, maar noch Malwarebytes, noch de Windwos 10 virusscanner vinden iets.
Heb die nu CCleaner terug verwijdert en de nieuwe versie ge´nstalleerd.
Een volledige virusscan van mijn PC komt clean terug. Ben ik nu safe?
Dat ligt er aan wie je het vraagt. Talos raadt aan een restore naar vˇˇr 15 aug. te doen, of een re´nstall te doen. Piriform niet.
Sorry maar wat voor een ruk oplossing is dat dan? Dat kan alleen als je hele goede losse incrementele backups hebt van documenten, programmas en dus ook je register. Anders ben je een maand aan werk en prgramma updates kwijt. Nu is dat laatste niet zo'n ramp natuurlijk. Maar de huis tuin en keuken gebruiker die Ccleaner gebruikt zal dit waarschijnlijk never nooit niet hebben.
Ja, het is een ruk oplossing. Ik zie dat Piriform het een beetje downplayed. Zij hebben het alleen over dat het stukje code dat de backdoor installeert uit de nieuwe software is. Ze reppen met geen woord over de stappen die gebruikers moeten nemen die al ge´nfecteerd zijn.

Talos raadt aan een reinstall of een backup terug te plaatsen. Van wat ik heb gelezen is de backdoor waar ze het over hebben bovenop de installer van ccleaner geplaatst. Er wordt dus een afzonderlijk stukje code uitgevoerd, deze draait ook in een eigen proces. De software updaten doet volgens mij dan weinig. Tenzij Piriform een backdoorfix in zijn nieuwe installer heeft opgenomen die de registry wijzigingen en DLL installatie ongedaan maakt. Ik ga liever voor het onzekere, want de gebruikers die geen reinstall / restore doen zijn mogelijkerwijs op een later moment alsnog slachtoffer. Ik neem het risico niet
Wat ik overigens niet snap is hoe ze nu kunnen garanderen dat het niet nog eens gebeurt. Lijkt mij vrijwel niet haalbaar als je OTAP compromised is in zo'n korte tijd. Ik hoop dat avast hier van bovenaf wat licht op kan schijnen met een goede trial voor het viruspakket. Dat iig die infectie gratis gerepareerd kan worden.
Net gekeken. Ik heb twee herstelpunten op 12-9 na een Windows update. Enige optie die voor mij overblijft is een complete reinstall.

Wat ik nog het ergste vind is dat Piriform er nogal luchtig over lijkt te doen. Terwijl dit zeer serieus is.

Nu heb ik goede backups ( ook verspreid ) van al mijn belangrijke bestanden. Maar een Windows re-install kost mij snel 2 dagen voordat alles er weer fatsoenlijk op staat en alles weer is ingeregeld. :(
Ik had (thank god) niet trouwe geŘpdatet. Ik zit veilig. Mijn vriendin had een verse install, met precies de aangedane versie. Malware Bytes heeft een scan gedaan. Enkel de installer leek een probleem te zijn. Verder geen referenties kunnen vinden voor de malware. Ik twijfel wat te doen met haar laptop..
Moeilijk te zeggen. Hangt ervan af of je uberhaupt er door geraakt bent door de 2e payload of niet. Enige wat volgens mij complete duidelijkheid zou geven zijn een aantal tooltjes die erg zwaar zijn (ben ff helaas namen vergeten), maar diegene waar ik over praat moet je zelf of al erg goed in professioneel systeembeheer thuis zijn of er een opleiding voor volgen.. Zou zeggen wacht ff de nieuwe ronde van definition updates af.
Volgens mij niet, de mallware wordt achteraf binnen gehaald :-(
Heb je een 32bit systeem of 64bit systeem, want dat maakt dus ook uit, meeste windows 10 installaties zijn volgensmij gewoon 64bit.
Heb je een 32bit systeem of 64bit systeem, want dat maakt dus ook uit, meeste windows 10 installaties zijn volgensmij gewoon 64bit.
Ooops, daar heb ik dus over gelezen (in artikel): heb 64-bit versie (Win10 Home).
Niet helemaal waar, van wat ik begrijp. Het is een 32-bit installer (er is maar 1 installer beschikbaar op de site) en de trojan zit verbonden aan deze installer.
Toevallig heb ik zojuist de nieuwe versie ge´nstalleerd. Ik kan mij niet herinneren welke versie de vorige software was. Weet iemand van jullie of ik dit op een of andere manier kan achterhalen welke software ik voorheen gedraaid heb?

//Edit:

Voor de mensen die willen weten welke versie CCleaner zij voorheen ge´nstalleerd hadden, dan kun je dat checken via systeemherstel.

Windows 10:
Ik heb toevallig 'Deze pc' op mijn bureaublad staan -> rechter muisknop op 'Deze pc' -> 'Eigenschappen' -> dan krijg je 'Configuratiescherm\Alle Configuratiescherm-onderdelen\Systeem' te zien -> links in het venster klik op 'Systeembeveiliging' -> 'Systeemherstel' -> 'Een ander herstelpunt selecteren', volgende -> Rechtsonder: 'Meer herstelpunten weergeven' -> Kies en selecteer een datum -> Zodra je dat hebt gedaan kun je op 'Zoeken naar programma's die worden be´nvloed' klikken. In dit lijstje zie je (ik in ieder geval) welke versie CCleaner voorheen ge´nstalleerd was.

[Reactie gewijzigd door GiGaN00B op 18 september 2017 13:20]

Dat was dus versie 5.33, die de kwaadaardige code bevatte: downloads: CCleaner 5.33.6162

Goed ook dat Piriform ook de downloadlink offline heeft gehaald: http://download.piriform.com/ccsetup533.exe
Het lastige is dat dit de beschikbaarheid op downloadsites niet direct be´nvloedt. Sommige sites als filepuma, techspot en neowin bieden deze versie nog aan.

Dit geldt trouwens niet voor alle download Sites. Majorgeeks en filehippo bieden al 5.34.6207 aan. Argeloze gebruikers kunnen nog dus nog steeds tegen de foute versie aanlopen.

Hopelijk is het een kwestie van (korte) tijd dat ook deze laatste sites alleen de nieuwe versie aanbieden.

Reden te meer om alleen downloads bij de makers zelf op te halen.
Jup, dat is best balen ja. Alleen als je als doorsnee-gebruiker intypt op Google "CCleaner", krijg je sowieso eerst de originele site, en bij lange na niet die van filepuma, techspot of neowin.
Mee eens, een gebruiker moet p**p in de ogen hebben om structureel langs de Piriform site heen te kijken. Maar ze zijn er, tot mijn verbijstering soms zelfs. Misschien een relatie met IQ of zoiets :/ . Misschien een mooi onderwerp voor wat onderzoek. Hoe komen mensen op het internet aan hun informatie of data.

[Reactie gewijzigd door teacup op 18 september 2017 12:35]

Hoeft niet perse 5.33 te zijn. Hier 5.29.6033 nog draaien.
Misschien zou je erachter kunnen komen door Windows een paar dagen terug te zetten?
Chicane600, voorheen had ik 5.28 ge´nstalleerd zie ik @ systeemherstel (zonder systeemherstel te doen hehe). Thx.
Ik had dus deze versie ge´nstalleerd staan en heb zojuist de update uitgevoerd. Terug draaien van het systeem is niet mogelijk. Dus wat kun je nu verder nog doen om te bepalen of je ge´nfecteerd bent/lid bent van een botnet? Er wordt niets vermeld over eventuele anti-virus mogelijkheden die de infectie kunnen herkennen.

[edit]Ccleaner is tegenwoordig van Avast. Dan verwacht je toch een beetje meer informatie zoals hoe je kunt herkennen of je ge´nfecteerd bent. Hebben ze de malware niet geanalyseerd?

[Reactie gewijzigd door 3raser op 18 september 2017 12:15]

32 of 64 bit versie? Lees het artikel er op na de ge´nfecteerde versies worden genoemd.
En dat blijkt ook vrijwel niet te kloppen (aangezien de installer altijd 32 bits is want er is er maar 1)

croiky in 'nieuws: CCleaner-installer bevatte een maand lang backdoor - update'
Ben heel benieuwd naar de eigenschappen en acties van dit virus. Ik heb de ge´nfecteerde versie 5.33 geinstalleerd op 2 pc's van anderen via een usb-stick en ben nu hÚÚl benieuwd of het zich na activatie via usb-devices kan verspreiden.
Tsja, zit een beetje in hetzelfde schuitje.. Wachten op een update van Microsoft, of antivirusproduct X.
even Stinger downloaden?
Kun je toelichten waarom je dat aanraadt? Ik neem aan dat je doelt op McAfee Stinger?
Stinger bevat een zeer beperkt pakket van de allerbekendste virussen en juist niet een breed scala aan mogelijkheden om verdachte aanpassingen op je systeem te detecteren.
Als ik besmet ben, heeft Windows Defender het in ieder geval niet ontdekt.
Nee, daarom zeg ik dat je of kan wachten op een update van Defender, of een ander antivirusproduct wat je gebruikt.
Want? Laatste paardenmiddel is een schone Windows-installatie doen. Maar ga jij ook een volledige reinstall doen bij elke scheet? Vind ik niet nodig als er na 1 dag de eventuele infectie kan worden verwijdert (het is maar 3% die zijn ge´nfecteerd..).
De eerste component had als doel om informatie over het ge´nfecteerde systeem te verzamelen en deze terug te sturen naar een command and control-server in het beheer van de aanvallers.
Dus bij iemand met een firewall die ook uitgaand verkeer controleert zou er al een alarm moeten afgaan waarbij gelijk het ip van die server bekend wordt? Ik gebruik al jaren geen Windows meer dagelijks maar het lijkt mij erg onwaarschijnlijk dat ze zelf de eersten zijn die dat hebben opgemerkt.Tenzij ze het aantal gebruikers of installaties sterk overdrijven.
Lijkt me er een beetje vanaf te hangen welke firewall je hebt... Sommige zijn nogal meegaand zelfs als ze uitgaand verkeer controleren, terwijl andere pakketten dan weer voor zo ongeveer elk verbinding een alarm doen afgaan tenzij die toestemming al heeft....
Omgevingen met zulke beveiliging draaien waarschijnlijk ook niet alles als administrator ;)
1 2 3 ... 6


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*