Officiële versie van populaire tool CCleaner bevatte backdoor

[porrelaar]

Abbs heeft vast liever een biertje. Alsjeblieft abbs:

 

 

Ik ga er wel van uit dat jij niet meer hoeft te rijden vandaag, want ik zag dat jij de Bob bent in je virtuele systeem:

 

[iEscape]

. . . . en dit erbij . . . . 

[abbs]

Na die race lust (BOB) wel een heel krat

[iEscape]

Alsjeblieft      

18 september 2017 aangepast door iEscape

[abbs]

Na verder testen (wat iEscape ook al schreef) is Ccleaner versie 5.33.6162 (64-bits) ook besmet.

Dus de 32 en 64 bits zijn besmet.

[iEscape]

1 uur terug, iEscape zei:

Dit is het resultaat voor 64-bit Windows bij virustotal.

zie bovenstaande.

[abbs]

5 minuten geleden, iEscape zei:

zie bovenstaande.

Klopt helemaal, (ik scheef erbij wat iEscape ook al schreef) maar wilde even testen als je eerst Ccleaner update dan word de infectie niet meer gevonden.

[iEscape]

[iEscape]

Zie vervolgbericht  >>  Ontwikkelomgeving CCleaner mogelijk al sinds 3 juli gehackt.

 

Reactie/advies van SecGuru_OTX:

Quote

 

 

Na alles nog een keer goed gelezen en getest te hebben is mijn advies om te checken of onderstaande regkey aanwezig is:

 

HKLM\SOFTWARE\Piriform\Agomo:TCID

 

Ook na een eventuele regkey naar versie 5.34 blijft deze regkey bestaan.

 

Indien de regkey aanwezig is:

 

- installeer je computer helemaal opnieuw;

- verander al je wachtwoorden (ook al je online accounts)

- wanneer je een PW manager gebruikt: verander het master wachtwoord

 

Niemand kan aangeven wat de impact is geweest, welke info er is gestolen, en welke eventuele andere programma's er zijn geinstalleerd.

 

Er is niets bekend dus ga uit van het ergste.

 

 

 

 

Het is toch wel erg als men de computer helemaal opnieuw zou moeten installeren

 

[porrelaar]

De registersleutel  HKLM\SOFTWARE\Piriform\Agomo:TCID is aanwezig op een van mijn pc's.

SecGuru_OTX  meent dat die regkey de kwaaie pier is of erop duidt dat je besmet bent (geweest). Maar waarom? Ik zie daarover geen uitleg van SecGuru_OTX. Gezien zijn gebruikersnaam is hij een expert (guru/goeroe) op het gebied van security (beveiliging), maar voor gewone lieden als ik zou hij best wat uitleg mogen geven waarom die sleutel op narigheid wijst.

 

Agomo is software van Piriform waarmee je via de cloud diverse computers kunt schoonmaken, defragmenteren enz.

In dit artikel van 16 augustus 2013 werd Agomo geïntroduceerd: https://www.piriform.com/news/release-announcements/2013/8/16/introducing-agomo

De naam is tegenwoordig gewijzigd naar CCleaner Cloud: http://www.piriform.com/ccleaner-cloud

 

Ik heb helaas erg weinig kennis van het register. Zo weet ik bijvoorbeeld niet of en hoe je kunt nagaan sinds wanneer een bepaalde sleutel aanwezig is in het register.

"De ontwikkelomgeving van de het populaire programma CCleaner was mogelijk al sinds 3 juli gehackt", maar stel nu dat die Agomo sleutel dateert van ver vóór 3 juli 2017? Dan zou hij toch niets met de malware te maken hoeven hebben? Of redeneer ik nu helemaal verkeerd?

 

Ik wacht nog even met het wijzigen van al mijn wachtwoorden. Ik heb alleen al meer dan 100 webaccounts. Slik...

Ik zal wel mijn betaalrekening in de gaten houden, maar die controleer ik toch al wekelijks om te zien of daar geen rare/onbekende afschrijvingen tussen zitten. Is overigens nog nooit voorgekomen.