Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Avast: 730.000 systemen draaien nog besmette CCleaner, maar lopen geen risico

Door , 66 reacties

Avast, het beveiligingsbedrijf dat CCleaner-ontwikkelaar Piriform heeft overgenomen, heeft gereageerd op het nieuws dat de software een backdoor bevatte. Momenteel zouden nog 730.000 systemen de ge´nfecteerde versie van CCleaner draaien, maar geen risico lopen.

Dat laatste baseert Avast op de mededeling dat de command-and-controlservers sinkholed zijn door eigen mensen en door Talos. Dat bedrijf legde maandag uit dat de malware gebruikmaakt van een algoritme om domeinnamen aan te maken om zo met de c2-server te communiceren als directe communicatie niet mogelijk is. Het bedrijf wist alle mogelijke domeinen in handen te krijgen om zo te voorkomen dat de aanvallers een payload naar besmette systemen kunnen sturen. Maandag meldde Avast dat de geïnfecteerde versie aanwezig was op 2,27 miljoen systemen.

In de blogpost claimt het bedrijf dat er geen schade is bij klanten van Piriform. Daarnaast refereert het aan de Equifax-hack en beweert het dat 'consumenten en de media zeer gevoelig zijn door de late melding van dit incident'. Avast meldt bovendien dat het ervan uitgaat dat de aanvallers wellicht al sinds 3 juli toegang hadden tot de systemen van Piriform, dus voordat de overname plaatsvond. De kwaadaardige versie van CCleaner werd op 15 augustus verspreid en was te downloaden tot 12 september, zo bleek maandag.

Avast zegt van de malware op de hoogte te zijn gebracht door beveiligingsbedrijf Morphisec, dat een eigen blogpost aan het incident heeft gewijd. Daarin schrijft het dat op 20 en 21 augustus de eerste kwaadaardige CCleaner-installaties detecteerde. Vervolgens meldde het zijn bevindingen op 12 september aan Avast. Daarna kon op 15 september de c2-server offline gehaald worden, terwijl Talos zich bezighield met zijn eigen onderzoek en de eerdergenoemde domeinen in handen kreeg.

In zijn reactie spreekt Avast het door Talos gegeven advies tegen dat geïnfecteerde systemen hersteld moeten worden naar een datum voor 15 augustus of een herinstallatie nodig hebben. Het bedrijf zegt dat de tweede component van de malware nooit is geactiveerd. Daarbij baseert het zich op eigen gegevens, afkomstig van ongeveer dertig procent van de CCleaner-gebruikers die ook beveiligingsproducten van Avast gebruiken. Wat er bij de overige zeventig procent is gebeurd, blijkt niet uit de berichtgeving van Avast.

Het is niet duidelijk wie achter de aanval zit; Piriform wilde daar maandag geen aannames over doen. Intussen heeft Kaspersky de backdoor geanalyseerd en laat het in een tweet weten dat de malware code bevat die eerder is gebruikt in tools van een van de groepen die vallen onder de 'Axiom-paraplu'. Axiom werd eerder in verband gebracht met China. Ondanks deze aanwijzing is het zeer moeilijk om een verantwoordelijke partij aan te wijzen.

Door Sander van Voorst

Nieuwsredacteur

19-09-2017 • 11:41

66 Linkedin Google+

Reacties (66)

Wijzig sortering
Hoe zit het eigenlijk met de security suites op deze machines? Is er nog een merk welke deze besmetting wel meteen detecteerde?

[Reactie gewijzigd door Martinspire op 19 september 2017 16:33]

Wat ik kan opmaken uit eerdere berichten detecteren de volgende pakketten/programma's de besmetting (nu dan, van tevoren niet):
  • ESET
  • Malwarebytes
  • ClamAV
Je kan het ook handmatig checken:

http://blog.talosintellig...-distributes-malware.html
The malware also compares the current system time to the value stored in the following registry location:

HKLM\SOFTWARE\Piriform\Agomo:TCID

If the value stored in TCID is in the future, the malware will also terminate execution.

[Reactie gewijzigd door AnonymousWP op 19 september 2017 11:54]

CCleaner gedeinstalleerd voor nu.
Net Malwarebytes gedownload en gedraaid en ja hoor ik heb een infectie met verdachte PUP's en registersleutels.

Ik gebruik malwarebytes gewoonlijk alleen voor noodgevallen en Windows defender als mijn hoofd AV. Defender pikt natuurlijk niks op.
Ik raad iedereen die ccleaner geinstalleerd heeft deze te deinstaleeren en een scan te draaien met een van de av's die de infectie wel detecteert. Je kan maar beter niet te lang rondlopen met zo'n infectie.

[Reactie gewijzigd door parryfiend op 19 september 2017 12:17]

Uit oplettendheid, had jij de 32-bit versie van CCleaner ge´nstalleerd? 64-bit versies schijnen namelijk geen problemen te hebben ondervonden voor wie dat nog niet wist. Ik denk dat op dit moment de meest betrouwbare check is om op die registersleutel te controleren zoals AWP hierboven zegt. Ook op basis van dit bericht:

Users that are unsure whether they were affected by this and whether their data may have been sent to the C2 server can check for the presence of the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo. This key was not created by any clean versions of CCleaner, just by the infected ones.

https://blog.malwarebytes...ds-from-official-servers/
Beide gebruiken dezelfde installer en die bevatte nou juist de backdoor. Er zijn geen aparte x64 downloads.

edit: wordt tegengesproken door Piriform

[Reactie gewijzigd door Ge Someone op 20 september 2017 13:28]

Klopt dat er geen aparte x64 downloads zijn. Dat is ook niet wat ik impliceerde. Dat het alleen in de installer zit is op zijn minst tegenstrijdig met wat Piriform gisteren zelf meldde:

It was the application that was the issue, not the installer.

https://forum.piriform.co...owtopic=48869#entry286414
Goed punt, ik dacht de 64 bit versie maar ik weet het niet zeker meer?
De registersleutel is ook weg na deinstalatie. Malwarebytes heeft wel wat registersleutels in quarataine gezet maar die hebben allemaal betrekking op Internet Explorer (scopes) en zijn niet niet dezelfde als welke Anonymus WP postte. Hmm....
Als je een 64-bit Windows installatie hebt dan is het onder normale omstandigheden zo dat de 64-bit versie van CCleaner wordt gestart. Zelfde geldt voor Windows 32-bits.
Was 64 bit CCleaner dan.
Systeem lijkt schoon voor nu na deinstalatie?. Sleutel registerwaarde is ook niet aanwezig

[Reactie gewijzigd door parryfiend op 19 september 2017 13:29]

Defender pakte hem bij mijn wel. Is je defender wel up to date ?
Alles staat op auto update bij mij.
Laatste scan was 15/9?
Defender had toen niets gevonden.

Nieuwe scan loopt nu.
Laat nog weten wat die nog vind.

edit: geen bedreigingen gevonden in uitgebreide scan.

[Reactie gewijzigd door parryfiend op 19 september 2017 18:57]

Red flag up,
Idem, maar hier geen problemen door/dankzij CCleaner.
Ziet er wel netjes uit Malwarebytes, maar weer verwijderd, is een extra risico.

Red flag down, alles weer terug naar normale verdediging:
-defender
-CCleaner
-HitmanPro.Alert
-http://winhelp2002.mvps.org/hosts.zip

Afkloppen, maar sinds Windows1.0 (op de IBM AT) nog nooit een probleem gehad.
Wel een keer op de Novell servers, maar die bestaan niet meer :-)
PUP is de afkorting voor een 'Potentially Unwanted Program'

dat is niet wat hier gaande is ;)
Kasperksy dectecteerd hem ook prima:
Event "Malicious object detected" happened on computer xxxxxxx in the domain xxxxx on dinsdag 19 september 2017 15:13:32 (GMT+01:00)
Result: Detected: Backdoor.Win32.InfeCleaner.a
User: xxxxxxxxxxxxxxx (Active user)
Object: C:\Program Files\ccleaner\CCleaner.exe
Reason: Local databases
Database release date: 19-9-2017 11:50:00
C:\Program Files\ccleaner\CCleaner.exe
Weer een voorbeeld dat het niet (alleen) in de installer zit.
Ik denk niet dat virusscanners hier een melding van gaven, want anders was het probleem eerder wel opgevallen bij Avast.
Beveiligingssoftware controleert vaak ook alleen op bekende veiligheidsproblemen.
Net een scan met AVAST gedaan en die vindt niets!!!
Daarna een scan met de Emsisoft Emergency kit en...bingo! Gevonden en onschadelijk gemaakt.
Hoe kan het dat AVAST zijn eigen malware niet ziet?
Momenteel wel hoor, al moet ik zeggen dat het wel laat is terwijl het zo overduidelijk in de media te zien is en er ongetwijfeld meteen van wisten, maar dat zag ik bij veel meer AV's.

Setup: https://www.virustotal.co...fdb7933cf6030ff/detection
CCleaner.exe: https://www.virustotal.co...a8218b9f432f0a9/detection

Detectie: Win32:TlsHack-A [Trj]
Naar NOS:

Bovendien is er op dit moment maar ÚÚn virusscanner die het achterdeurtje detecteert. Alleen gebruikers van het vooral op Linux populaire ClamAV zijn beschermd.
Mijn NOD32 pakt hem gewoon hoor.

Vanmorgen gelijk tijdens het opstarten.
Sophos gaf bij mij vandaag een melding dat CCleaner was geinfecteerd en had de executable al netjes opgeruimd.

Gelijk de rest ook maar gedeinstalleerd. Ik vroeg me al af wat er aan de hand was :)

[Reactie gewijzigd door Laurens-R op 19 september 2017 15:40]

Ben ik de enige die het verdacht vind dat de backdoor zogenaamd gericht was op alleen 32-bit systemen die bijna niet eens gebruikt worden.

De mensen daarachter zaten op een goudmijn. Of het zijn de meest domme hackers van de wereld of..

Ze konden hardstikke veel schade aanrichten met 1 simpele ransomware erbij zetten en niemand die doorhad waar het vandaan kwam.
Voor zover ik heb begrepen is het een misverstand klopt het toch dat alleen 32bit Windows hier last van had. De besmetting zat in de installer. Dat is nu eenmaal een 32bit executable, maar dat was geen relevante informatie.

edit: de ccleaner 32bit executable (in de gesigneerde installer) was alleen besmet, volgens Piriform op hun forum.

[Reactie gewijzigd door Ge Someone op 20 september 2017 13:33]

Wat Ge Someone zegt de installer is 32 Bits het programma daarintegen kan prima 64 Bits zijn ofwel 32 Bits. Bijzonder dat juist dit bedrijf besmet is geraakt maar wel goed dat ze het snel en eerlijk naar buiten brachten.
Ik had de x64 variant van de betreffende besmette versie (5.33.6261) ge´nstalleerd staan op verschillende (~4) Windows 10 machines, maar op geen van allen heb ik de registerwaarden kunnen vinden die volgens het Talos rapport duiden op besmetting.
Zowel onder de 64-bits registerlocaties als onder de Wow64 nodes, waar normaal gesproken de 32-bits applicaties hun registerwaardes schrijven.
Op een 32-bits Windows 7 SP1 machine hebben we die wel kunnen vinden.

Met een steekproef van N=5 (waarvan slechts 1 32-bit machine) is het niet te zeggen of het alleen de 32-bits executable of machines trof, maar in mijn ervaring is dat wel het geval. :)
Uit voorzorg toch CCleaner gede´nstalleerd en MBAM aan het draaien...
Misschien was het idee dat gebruikers van 32-bitsystemen wellicht niet de meest technologisch ingestelde mensen zijn?
Mijn vader is afgelopen januari overleden helaas. Maar tot dan gebruikte hij nog steeds Windows 10 en dan de 32 BITS versie.
Weet je waarom niet om dat hij niet hoorde tot de meest technologisch ingestelde mensen.
Nee hij maakte gebruik van een paar oude Dbase versies die alleen maar draait onder de 32 bits versie.
Zouden die oude versies trouwens niet kunnen draaien in een vm met tweeŰndertig bits op een host van vierenzestig bits?
Nooit geprobeerd. Nu niet meer van toepassing.
Hoe zit het eigenlijk met als je van versie 5.33 een update hebt gedaan naar 5.34. Blijft dan de ge´nfecteerde register sleutel in het register zitten of wordt die soms direct verwijderd d.m.v. de update? :?

-Edit-
Met andere woorden: Hoe weet je zeker of je nu wel of niet bent ge´nfecteerd?

[Reactie gewijzigd door whogivesashit op 19 september 2017 12:10]

Dat kan je makkelijk checken: start > regedit > Local Machine > Software > Piriform > check of "Agomo:TCID" aanwezig is. Als die sleutel aanwezig is, ben je ge´nfecteerd.

[Reactie gewijzigd door AnonymousWP op 19 september 2017 12:10]

Dat snap ik, maar dan lees ik weer een bericht op het officiŰle Piriform forum geschreven door 1 van de hoofd admins dat als je een update doet naar versie 5.34 dan zal de kwaadwillige malware ook verwijderd worden ( zie https://forum.piriform.co...?showtopic=48869&p=286414 ).
Daarom vraag ik mij nog steeds af of de ge´nfecteerde sleutel daadwerkelijk verwijderd wordt na de update. Want als dat wel gebeurd hoe kom je er dan Řberhaupt nog achter of je wel of niet ge´nfecteerd bent geraakt.

[Reactie gewijzigd door whogivesashit op 19 september 2017 12:32]

Ik snap je verwarring. Ben zelf ook een beetje verward, of ik nou per se met Malwarebytes wat moet verwijderen, of dat ik nu clean ben (omdat de sleutel niet aanwezig is en omdat ik 5.34 draai).

Ik denk dat de map "Piriform" gewoon wordt overschreven met 5.34.

[Reactie gewijzigd door AnonymousWP op 19 september 2017 12:31]

Dus min of meer gezegd kan ik de nieuwe update over de geinfecteerde versie laten lopen en alles moet dan opgelost zijn? Gaat het echt dan zo simpel om malware te laten verdwijnen van je computer? Ik twijfel toch wel min of meer of daad werkelijk de malware volledig van je geinfecteerde computer verwijderd is.

En een systeemherstel doen naar een punt voor 15 augustus? Is dan de malware ook verwijderd zonder dat je de nieuwe update installeert?

[Reactie gewijzigd door silverchaoz op 19 september 2017 13:56]

Ik denk dat het vrij makkelijk is, zolang je 64-bit OS draait en nooit de 32-bit executable hebt gedraaid zal het risico (aanname) waarschijnlijk 0 zijn geweest, al kreeg ik ook geen register sleutels bij het draaien van de 32-bit executable op een x64 Windows 7 OS in een VM.

Zat je op een 32-bit OS dan zal er vast wat aanwezig zijn geweest als je op de 5.33 versie zat aangeboden via hun eigen site in die periode.
Heeft deze tooling sowieso nut?
Even los van deze trojan, heb ik bij die programmaatjes die je pc zogenaamd sneller maken altijd een bijsmaak naar placeboware met eventueel een adware supplement maar het volume downloads lijkt toch te suggeren dat het wel een populair programma is. (en dus te suggereren dat het iets doet)

[Reactie gewijzigd door Ton Deuse op 19 september 2017 12:03]

Ja hoor. Deze tool gebruik ik zelf ook en bij anderen, om het weer eens het een en ander op te schonen na het vele updaten van programma's etc. Registry-cleaner gebruik ik niet.

Het programma vertraagd alleen je pc als je "automatisch onderhoud" hebt aanstaan, omdat hij dan constant draait. Je moet het programma incidenteel draaien, niet constant.

Bovendien gebruik ik het ook om al die rommel uit Windows 10 te slopen, zoals "Weer" en al dat soort ongein die ik niet gebruik. Heb je dus ook geen PowerShell scriptjes meer nodig.

[Reactie gewijzigd door AnonymousWP op 19 september 2017 12:07]

Registry cleaner is een beetje tricky geloof ik. Soms denkt CCleaner dat dingen weg mogen die eigenlijk nog in gebruik zijn
Denk ik ook. Alleen obsessief gezien klinkt het goed, maar vanwege de reden die je opgeeft gebruik ik die functie niet (meer) :p.
Ja, met de register cleaner ben ik ook gestopt. Doet meer kwaad dan goed.

Als er iets mis is in het register kun je beter googlen en handmatig te werk gaan.

Ik gebruik CCleaner voor de temp files enzo.

[Reactie gewijzigd door TheDeeGee op 19 september 2017 15:07]

Ja, gooit de tijdelijke bestanden weg en leegt de prullenbak.
Niet bestaande links worden uit het register gehaald.
Makkelijker dan zelf doen.
Wel bestaande links worden soms ook weggegooid. Vooral als het om file extensies gaat. Die bestaan meestal gewoon. Verder weet ik niet precies waarom je je register zou willen opschonen.
CCleaner doet niets wat je zelf ook niet zou kunnen. Cookies verwijderen, schijf opruiming etc.
Het enige handige is dat het in een interface zit.Het is dan ook niet zozeer een booster maar een cleaner. De naam stond 'vroeger' dan ook voor Crap Cleaner (weet niet of dat nog steeds zo is).
En duizenden noemen het in Nederland CC Cleaner ;)
CCleaner helpt mij altijd erg goed bij het vrijmaken van schijfruimte. Vind vaak tot enkele GB aan tijdelijke bestanden.

Bij het eerste gebruik wel even goed kijken, standaard verwijderd hij bijv ook je geschiedenis en cookies van je browser. Als je dit niet uitvinkt moet je overal opnieuw inloggen en ben je al je geschiedenis kwijt.
Voor diegenen die een alternatief zoeken: BleachBit doet het ook vrij aardig en is wel open source.
Tevens: Puran Utility, veel tools in 1 en gratis!. :) voor de belanghebbenden

[Reactie gewijzigd door prinsvlad op 19 september 2017 13:18]

Puran Utility? Een bloated tool van een of ander India's bedrijf, tevens niet open source? Nee daar heb ik niet veel vertrouwen in.
Net Malwarebytes gedraaid op een 64bits met Windows 10 Pro abonnement op een prof versie van Cleaner ook besmet.
Registerwaarde HKLM\SOFFTWARE\WOW6432NODE\PRIFORM\AGOMO I TCID
Registersleutel HKLM\SOFFTWARE\WOW6432NODE\PRIFORM\AGOMO
Dus alles is besmet????
Cleaner verwijdert en meteen abonnement opgezegd
Oh.. eerste keer dat ik dit lees. 64-bit versie zou volgens alles niet schadelijk moeten zijn. Heb je misschien 's CCleaner.exe gestart via diens map ipv CCleaner64.exe?
Dat is een beetje overkill voor iets wat ze niet zelf in de hand hadden.
Abonnement heb ik zelf nooit genomen, aangezien het ook zonder abonnement gewoon werkt voor 1 gebruiker.

[Reactie gewijzigd door Balder1984 op 19 september 2017 14:33]

Al deze tooltjes gebruik je echt beter niet.

Elke tooling die ik over de loop van de jaren zo al gebruikt heb, die eerst goed was, is uiteindelijk opgekocht en zelf adware geworden,


Gewoon een beetje voeling met internet/computers en meer kan je al echt niet doen om je PC vrij vrij te houden.


PS: Junkware Removal Tool (JRT) werkt momenteel nog degelijk om al die meuk buiten te gooien bij familie en vrienden.
Een paar dagen geleden Ccleaner geupdate naar V5.34, maar gisteren kwam Malwarebytes toch met een popup van "Bedreiging tegengehouden", wijzend naar Ccleaner.exe. Ik had de geinfecteerde versie, maar die is al een paar dagen weg. Is dit Malwarebytes die de restanten opruimt of...?
Had ik inderdaad ook, geen reg keys maar enkel de executable...
.... Daarin schrijft het dat op 20 en 21 augustus de eerste kwaadaardige CCleaner-installaties detecteerde. Vervolgens meldde het zijn bevindingen op 12 september aan Avast.
Dat is een behoorlijk lange tijd voor software die in zulke grote getale aanwezig is op systemen.
Misschien had dat ook wel iets sneller gemogen!

[Reactie gewijzigd door nexhil op 19 september 2017 14:19]

Hoe zit het met de slim versie die overigens nu niet meer te downloaden is?
Overigens was ik die periode op vakantie, maar toch voor de zekerheid een true image backup terug gezet van juli.

[Reactie gewijzigd door Barfman op 19 september 2017 14:47]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*