CCleaner 5.33 had backdoor die malware kon downloaden - update

Dit artikel wordt steeds bijgewerkt met nieuwe informatie. Voor het laatst op 26 september. Lees de updates onderaan dit artikel.

De populaire pc schoonmaker CCleaner heeft een maand lang een backdoor bevat. De 32-bits versie van CCleaner 5.33 voor Windows is van 15 augustus tot en met 12 september besmet geweest met malware. De achterdeur in CCleaner was in staat om een tweede kwaadaardige component te downloaden die op zijn beurt schadelijke acties kon uitvoeren. Op beperkte schaal is deze tweede fase van de aanval ook uitgevoerd bij enkele grote technologiebedrijven. Consumenten pc's lijken niet getroffen door deze extra malware. Wel is informatie van getroffen systemen verzameld en verstuurd naar een server van de kwaadwillenden.

Ontdekker van de achterdeur in CCleaner is Cisco Talos, de beveiligingsafdeling van Cisco. De backdoor moet volgens Cisco Talos in het installatiebestand van CCleaner zijn gestopt door mensen die toegang hebben verkregen tot de ontwikkelomgeving van CCleaner of het netwerk van CCleaner gehackt hebben. Hoe dit alles is gebeurd is onduidelijk. Volgens Piriform lopen de onderzoeken nog en in afwachting daarvan wil het bedrijf geen speculaties doen.

Ruim twee miljoen mensen hebben de besmette versie 5.33 gedownload. Alleen mensen met 32-bits Windows zijn getroffen. Pc-informatie, zoals computernaam en geïnstalleerde software, zijn ontvreemd bij de aanval. Maar volgens Avast, dat CCleaner onlangs overnam, is de tweede fase van de aanval, waarbij malware werd gedownload die schadelijke acties kon uitvoeren, niet uitgevoerd.

Hoe kun je controleren of jij besmet bent?
Kijk bovenaan in CCleaner of je de 32-bits versie van CCleaner 5.33 voor Windows hebt.

Geen 32-bits (zoals in de afbeelding)? Dan lijkt er niets aan de hand te zijn. Wel 32-bits, maar zit je nog voor versie 5.33? Ook niks aan de hand. 32-bits en versie 5.33: je hebt een besmette versie. 32-bits en versie 5.34, je bent besmet geweest, maar nu is het volgens Piriform in orde.

Wat te doen als je getroffen bent?
Producent Piriform raadt als oplossing aan om de laatste versie van CCleaner (momenteel 5.34) te installeren. Cisco Talos gaat een stap verder en adviseert om Windows terug te zetten naar de toestand van voor 15 augustus via Systeemherstel of Windows opnieuw te installeren. Veel virusscanners detecteren inmiddels de backdoor in CCleaner 5.33 (zie hieronder) dus een volledige scan uitvoeren met je anti-virus programma is ook aan te raden.

Dit hele incident is extra pijnlijk omdat CCleaner net overgenomen is door anti-virus producent Avast - dat blijkbaar de beveiliging van de ontwikkelomgeving en/of downloadservers van Piriform niet op orde had (gebracht).

Update 19 september:
De backdoor in CCleaner 5.33 wordt inmiddels door veel grote virusscanners herkend. Symantec (Norton), Bitdefender, Kaspersky, Emsisoft, F-Secure, Malwarebytes, McAfee, Microsoft (Windows Defender, Security Essentials), Sophos, Qihoo en TrendMicro detecteren de schadelijke toevoeging in CCleaner 5.33. Opvallend is dat Avast en AVG (wier moederbedrijf nu eigenaar is van CCleaner) de backdoor (nog) niet lijken vinden in CCleaner 5.33...

Avast geeft in een nieuwe verklaring meer openheid van zaken. De techsite BleepingComputer geeft een samenvatting.

Update 20 september
Inmiddels herkennen Avast en AVG ook de backdoor in CCleaner 5.33. Duidelijk is nu dat ook het  installatiebestand van 64-bits CCleaner 5.33 besmet is (want dat is hetzelfde als voor 32-bits: er is maar één installer voor zowel 32-bit als 64-bit), zolang je echter niet de 32-bit versie installeert wordt de backdoor niet geactiveerd.

Update (2) 20 september
Ook het zip-bestand van de portable versie van CCleaner 5.33 is - in tegenstelling tot berichten op het web - besmet. Wij hebben de download van de portable zip-versie van CCleaner 5.33 gescand via VirusTotal en de meeste virusscanners geven een besmetting aan.

Net als bij het gewone installatie-bestand zijn bij de portable versie een 32-bit en 64-bit variant van CCleaner ingepakt. De 64-bit variant is schoon, maar de 32-bit versie - ook van portable CCleaner 5.33 - is geïnfecteerd.

Het installatiebestand of de portable zipversie van CCleaner 5.33 weggooien (of in quarantaine laten zetten door je virusscanner) lijkt dus aan te raden.

Update 21 september
Eigenaar Avast heeft bekendgemaakt dat de ontwikkelomgeving van CCleaner naar zijn beveiligde infrastructuur is overbracht. Ook medewerkers van Piriform worden naar het - beter beveiligde - netwerk van Avast overgezet.

Inmiddels is CCleaner 5.35 verschenen, dat opnieuw digitaal ondertekend is vanwege het malware echec.

Update (2) 21 september
Cisco Talos, dat de backdoor ontdekte, laat inmiddels bewijs zien dat de backdoor toch op beperkte schaal aanvullende malware (een nieuwe backdoor) geïnstalleerd heeft. Minstens twintig keer is de nieuwe malware verstuurd. Dit zijn natuurlijk kleine aantallen, maar toch. De criminelen waren vooral uit op het binnendringen en aanvallen van grote techbedrijven zoals Cisco zelf, Sony, Samsung, HTC, VMWare, Google, Microsoft, LinkSys en meer, stelt Security.nl.

Avast bevestigt dit verhaal van Cisco en stelt dat minstens 20 pc's (maar mogelijk een paar honderd) binnen acht grote technologiebedrijven getroffen zijn door de aanvullende malware. Deze bedrijven zijn op de hoogte gesteld door Avast. Consumenten-pc's lijken niet besmet met de door de backdoor in CCleaner gedownloade extra malware, de criminelen lijken zich specifiek gericht te hebben op grote bedrijven met hun aanval.

Update 26 september
Avast heeft inmiddels meer informatie verzameld over het incident. Logbestanden van de server van de aanvallers bleken grotendeels gewist te zijn, maar zijn via een backup server teruggevonden. Hieruit kon worden afgeleid dat veertig pc's van technologiebedrijven als Samsung, Sony, Asus, Intel en NEC besmet zijn met door de backdoor in CCleaner extra gedownloade malware, zo meldt Security.nl. Deze tweede fase van de aanval - waarbij via het achterdeurtje nieuwe schadelijke software binnengehaald werd - lijkt dus zeer gericht zijn ingezet door de criminelen. Voorzover nu bekend lijken consumenten-pc's niet getroffen te zijn door deze tweede aanval.

Heb jij CCleaner 5.33 voor Windows gedownload tussen 15 augustus en 12 september? En heb jij CCleaner 5.33 nog op je pc staan? Laat het weten in de reacties! En welke oplossing kies jij: CCleaner verwijderen, laatste versie CCleaner installeren of Windows terugzetten/opnieuw installeren?

Deel dit artikel: 


Ook op GratisSoftware.nl:

Reacties

Sinds de overname door Avast had ik bewust de updates geweigerd in afwachting op nieuws wat er ging gebeuren. Maar dit nieuws slaat werkelijk alles.
Vandaag definitief verwijderd en komt er niet meer op.
Nu nog een tooltje om te zien of mijn systeem ook echt schoon is, Windows terug zetten van voor de datum hem ik weinig zin in.

defintief verwijderen en niet meer gebruiken slaat nergens op!! of ga je ook niet meer naar nu.nl of televaag...? daar zaten ook tijden in de advertenties veel ergere slechte zooi...

Advertenties zie ik niet door Ublock of door Opera.
Ik zie ook geen enkele reden om op advertenties te klikken, dat slaat volgens mij nergens op.
Overigens is het maar de vraag of je iets op schiet met dit soort cleaners.

Ja ik heb deze versie deze periode op mijn pc gehad, zorg er altijd voor dat alle programma's up to date zijn. Had twijfels omdat er na de overname door Avast al speculaties waren dat het twijfelachtig is hoe Avast met de privacy van hun klanten omgaat. Heb versie 5.33 er toch opgezet en nu recent versie 5.34. Vandaag besloten definitief afscheid te nemen van Ccleaner. Er zijn alternatieven, en wat mij betreft heeft 't nu afgedaan.

Na verder lezen lijkt het vooral om de 32 bits versie te gaan (ik gebruikte de 64 bits versie), maar na het debacle met mozilla thunderbird en het gedoe met de laatste 2 versies ben ik er klaar mee. Las dat maar 1 anti-virus scanner de back door had gevonden. Ook malwarebytes heeft m niet getraceerd. Hoe weet je nu nog of je systeem niet besmet is?

Ik heb een systeem-image van voor 15 augustus terug gezet. Was weinig moeite.

Dit was bij piriform te lezen
•It stored certain information in the Windows registry key HKLM\SOFTWARE\Piriform\Agomo:
◦MUID: randomly generated number identifying a particular system. Possibly also to be used as communication encryption key.
◦TCID: timer value used for checking whether to perform certain actions (communication, etc.)
◦NID: IP address of secondary CnC server
Deze 3 sleutels en de map agomo heb ik verwijdert en ccleaner opnieuw geinstalleerd op mijn desktop 32 bit Op de laptop niet aanwezig

Bij opnieuw scannen van reistersleutels was er een Locky sleutel te verwijderen

Gewoon Windows Disk Cleanup gebruiken. Disk Cleanup zit standaard in elke Windows versie. Disk Cleanup maakt je PC mischien niet 100% schoon, maar werkt goed genoeg en er zit ook zeker geen backdoor in.

Ik heb alle versies van Ccleaner gehad, tot en met de meest actuele. Mijn bitdefender internet security 2018 (professioneel, dus betaald pakket.) Is geen enkele keer aangeslagen, dus ik twijfel een beetje aan het verhaal, dat er Malware mee zou liften?

Verder scan ik vrij regelmatig met Super antispyware en soms ook met de software Malwarebytes.

Die programma´s zijn ook geen verdachte zaken tegengekomen. Ook is er niets in quarantaine geplaatst. Ik denk dat ze wellicht gelijk hebben bij Piriform? Misschien een valse positief, o.i.d.? Ik vind Ccleaner nog altijd de beste register cleaner van allen.

Misschien dat je scanner het niet opmerkt omdat de besmette versie gewoon voorzien was van het digitale certificaat.

Ik las net hier, dat de 64 bits versie van CCleaner niet geraakt zou zijn door Malware?! Misschien, als dat zo is, zou het kunnen zijn, dat ik daarvan gevrijwaard gebleven ben?

Even gekeken. Inderdaad; ik heb de 64 bits versie geïnstalleerd staan dus wellicht mazzel.

the Windows registry key HKLM\SOFTWARE\Piriform\Agomo:

even checken of die aanwezig zijn

Ik heb geen last, ivm de overname door Avast had ik de updates stil gezet en niet de besmette versie gekregen.

gebruik gelukkig 64bit versie en daar zit de key niet in

Lees dan ook : CCleaner 5.31.6105 herstelt fout wissen data Firefox/Thunderbird https://www.gratissoftwar... en CCleaner 5.32 lost enkel fouten op na echec vorige maand https://www.gratissoftwar...

Afgezien van dat ik een 64-bit Windows versie heb dus niet ben geraakt.
Ik blokkeer o.a. CCleaner in de firewall en de 'ping' (naar Google?) bij installatie.
Ik installeer verder behalve de antivirus alle software altijd handmatig.
Is al vaker verstandig gebleken.

Ik draai op 64-bits Windows 7 en er is zojuist een 'Backdoor.Agent.ABXs (B)' gevonden in 'CCleaner'..33

Bij mij precies hetzelfde.

De portable versie schrijft en schreef niet naar het register, dus dat scheelt weer. Gewoon maar weer verder met de huidige versie 5.34.

Vraag n.a.v. bovenstaande opmerking door 'Postbus': Kan Redactie met zekerheid zeggen dat de CCleaner portable versie 5.33 save is?

We hebben net het portable CCleaner 5.33 zip-bestand gescand met VirusTotal en dat wordt door de meeste virusscanners als besmet gezien:
https://www.virustotal.com/#/file/e710744b3cdd16bd...

Artikel is aangevuld.

Redactie hartelijk dank voor uw uitzoekwerk en de info update!
Is het wellicht een idee dat u updates van software eerst checkt en daarna met een (risico-)advies op de site plaatst.

Dat zou geen zin hebben gehad, want de backdoor in CCleaner werd pas een maand na verschijnen ontdekt en door virusscanners gedetecteerd...

Wat moet je ook met zo'n totaal overbodig en risico verhogend programma, zolang er geen echte reden is om te "cleanen". Er bestaat ook nog zoiets als Schijfopruiming en zelfs dat is in het algemeen misschien nuttig na installatie of verwijdering van programma's of app's.

"Het achterdeurtje zat verstopt in het installatieprogramma van CCleaner.", aldus NOS.nl; zie: https://nos.nl/artikel/21...

CCleaner v5.33.6162 – 64-bit – gescand met Emsisoft anti-virus:
"Backdoor.CCHack (A)" met hoog risicolevel gevonden.

CCleaner "Version History v5.34.6207 (12 Sep 2017)
Browser Cleaning
- Firefox: Internet History cleaning rule no longer removes Favicon content
General
- Minor GUI improvements
- Minor bug fixes"
https://www.piriform.com/...

Een meegeleverde Backdoor onder het matje geveegd als een Minor Bug??
Riekt naar Volkswagen en de NSA!

Heel vreemd, dit! Ik heb Ccleaner, de huidige 64 bits versie die ik nog heb staan, met Virus total scan (62 verschillende engines) gescand en slechts eentje geeft een klein twijfelgeval. Dit kreeg ik als bericht; WIN32/BUNDLED.TOOLBAR.GOOGLE.D POTENTIALLY UNSAFE. (De rest scant gewoon alles schoon en veilig. Wat moet je nu geloven? Ccleaner eraf gooien of het voordeel van de twijfel aan Piriform geven? Zeg het maar! Ik weet het niet meer.

Pagina's

Reageren

Controlevraag tegen spam
rusl_nd