26Aug
CCleaner, het ongelofelijk populaire hulpprogramma voor pc-onderhoud, is gehackt om malware te bevatten. Hier leest u hoe u weet of u bent getroffen en wat u moet doen.
De aanval werd zo beschreven door onderzoekers van Cisco Talos: "de legitieme ondertekende versie van CCleaner 5.33..Ook bevatte het een meertraps malware-payload die bovenop de installatie van CCleaner reed. "Het moederbedrijf van CCleaner, Piriform( die onlangs werd overgenomen door het vreselijke antivirusbedrijf Avast), erkende het probleem kort daarna.
Aangezien CCleaner beweert miljoenen downloads per week te hebben, is dat potentieel een ernstig probleem.
Wat doet de malware?
De malware heeft systemen niet actief geschaad, maar wel informatie gecodeerd en verzameld die kan worden gebruikt om uw systeem in de toekomst te beschadigen. Volgens Piriform heeft het met name een unieke ID voor de computer gemaakt en verzameld:
- Naam van de computer
- Lijst met geïnstalleerde software, inclusief Windows-updates
- Lijst met actieve processen
- MAC-adressen van eerste drie netwerkadapters
- Aanvullende informatie of deproces wordt uitgevoerd met beheerdersrechten, of het nu een 64-bits systeem is, enz.
U kunt meer technische informatie over de aanval lezen op de blog van Cisco Talos en op het blog van Piriform.
Had ik hier last van?
Gelukkig lijkt het erop dat deze malware alleen een bepaalde subset van CCleaner-gebruikers treft. Dit had met name betrekking op:
- Gebruikers die de 32-bits versie van de toepassing gebruiken( niet de 64-bits versie)
- Gebruikers met versie 5.33.6162 van CCleaner of CCleaner Cloud 1.07.3191, uitgebracht op 15 augustus 2017
Sinds veelgebruikers maken waarschijnlijk gebruik van de 64-bits versie van de applicatie en CCleaner Free wordt niet automatisch bijgewerkt, dit is goed nieuws voor veel mensen.
( Update : Enkele dagen nadat dit nieuws brak, werd een tweede payload ontdekt die invloed had op 64-bit-gebruikers, maar het was een gerichte aanval tegen technische bedrijven, dus het is onwaarschijnlijk dat de meeste thuisgebruikers werden getroffen.)
Als u dat bentop een 32-bits versie van Windows en denkt dat je CCleaner hebt gedownload tijdens het betreffende tijdsbestek, hier is hoe je kunt controleren welke versie je hebt. Open CCleaner en kijk in de linkerbovenhoek van het venster - u zou een versienummer onder de programmanaam moeten zien.
Als die versie vóór versie 5.33.6162 is, wordt dit niet beïnvloed en moet u de nieuwste versie nu handmatig downloaden. Als die versie 5.34 of later is, wordt uw huidige versie niet beïnvloed, maar als u CCleaner hebt bijgewerkt tussen 15 augustus en 12 september en op een 32-bits systeem staat, is dit mogelijk nog steeds het geval.(Als u vertrouwd bent met het register, kunt u de Register-editor openen en naar HKLM \ SOFTWARE \ Piriform navigeren en zien of er een sleutel is met het label Agomo: MUID. Als die sleutel bestaat, betekent dit dat u de geïnfecteerde software op uw computer hadsysteem op een bepaald moment.)
Wat moet ik doen?
Hoewel er niets onmiddellijk schadelijks is ontdekt, beveelt Cisco Talos aan om uw systeem vóór 15 augustus 2017 te herstellen vanaf een back-up als u hiervan de gevolgen ondervindt. U moet waarschijnlijk een antivirus- en MalwareBytes-scan uitvoeren op uw systeem en uw back-ups om ervoor te zorgen dat er geen malware wordt geïnstalleerd.
Als alternatief kunnen ze Windows volledig opnieuw installeren, ja, het is een beetje een nucleaire optie, maar het is de enige manier om volledig te weten dat je systeem schoon is na een evenement als dit.