Ga naar inhoud

Officiële versie van populaire tool CCleaner bevatte backdoor

Passer
 Delen

Aanbevolen berichten

porrelaar Grootmeester

porrelaar

Geplaatst:
Geplaatst:

Oké, ik heb intussen wat leeswerk gedaan. Ik ga ervan uit dat SecGuru_OTX zijn mening onder andere (of vooral?) baseert op dit blog van Talos: http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

Ik heb mijn best erop gedaan, maar een deel van dat blog gaat me toch echt boven de pet.

Voor gewone mensen (geen ICT-ers) is het korte verhaaltje van BleepingComputer aan te raden: https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/

Na installeren van de nieuwste versie van CCleaner is de Agomo sleutel nog wel aanwezig, maar de waarden daarvan zijn gewijzigd, waardoor de malware verdwenen is:

 

Quote

upgrading to version 5.34 will not remove the Agomo key from the Windows registry. It will only replace the malicious executables with legitimate ones so that the malware is no longer present.

Het bestaan van die Agomo sleutel zou erop duiden dat je in ieder geval besmet bent geweest.

Quote

 

The malware — named Floxif — collects data from infected computers, such as computer name, a list of installed software, a list of running processes, MAC addresses for the first three network interfaces, and unique IDs to identify each computer in part.

The malware could also download and execute other malware, but Avast said it did not find evidence that attackers ever used this function.

 

Hoe erg is het wanneer een computernaam en een lijst van geïnstalleerde software is doorgegeven? Nog geen ramp, lijkt mij. Avast gaat ervan uit dat deze malware geen andere malware heeft gedownload en uitgevoerd, omdat Avast daar geen bewijs voor heeft gevonden.

SecGuru_OTX schrijft echter:

Quote

Niemand kan aangeven wat de impact is geweest, welke info er is gestolen, en welke eventuele andere programma's er zijn geïnstalleerd.

Tja, dat is waar. Je weet niet exact wat deze malware heeft aangericht. Als 'Veiligheid voor alles' je devies is, dan moet je alles doen wat hij aanbeveelt.

Link naar reactie
Delen op andere sites
  • Reacties 30
  • Aangemaakt
  • Laatste reactie

Beste reacties in dit topic

Populaire dagen

Beste reacties in dit topic

Populaire dagen

Populaire berichten

Passer
Passer

't is maar dat je 't weet:     

Geplaatste afbeeldingen

Passer Grootmeester

Passer

Geplaatst:
  • Auteur
Geplaatst:

'k heb Ccleaner ook al jaar en dag en 'k heb net het register laten doorzoeken op Agomo - dit werd niet gevonden. (zal wel te maken hebben met wat Croiky in onderstaande link zegt) - Agomo zit dus bij mij ook niet in regedit > Local Machine > Software > Piriform

 

Verdere info nog op https://tweakers.net/nieuws/129745/avast-730000-systemen-draaien-nog-besmette-ccleaner-maar-lopen-geen-risico.html

 

Hierin:

" Het bedrijf wist alle mogelijke domeinen in handen te krijgen om zo te voorkomen dat de aanvallers een payload naar besmette systemen kunnen sturen "

 

" In zijn reactie spreekt Avast het door Talos gegeven advies tegen dat geïnfecteerde systemen hersteld moeten worden naar een datum voor 15 augustus of een herinstallatie nodig hebben. Het bedrijf zegt dat de tweede component van de malware nooit is geactiveerd. "

 

 

Link naar reactie
Delen op andere sites
iEscape Grootmeester

iEscape

Geplaatst:
Geplaatst:

@porrelaar

 

:top: Wat een leeswerk alles bij elkaar :blush:

3 uren geleden, porrelaar zei:

De registersleutel  HKLM\SOFTWARE\Piriform\Agomo:TCID is aanwezig op een van mijn pc's.

De registersleutel HKLM\SOFTWARE\Piriform\Agomo:TCID is hier niet aanwezig, ik gebruik géén CCLeaner Cloud.

 

ScreenShot587.jpg.137ffc53e3044363a07af98cc0ecfe8e.jpg

 

3 uren geleden, porrelaar zei:

Ik heb helaas erg weinig kennis van het register. Zo weet ik bijvoorbeeld niet of en hoe je kunt nagaan sinds wanneer een bepaalde sleutel aanwezig is in het register.

Ik ook niet, dat is voor mij tien bruggen te veel om overheen te springen :rofl:

 

59c13b14037d7_Schermafbeelding2017-09-19om17_43_53.jpg.5aae546bd95106e763ce425050832700.jpg

 

Dit lijkt mee ook om te verwaarlozen.

 

Op een laptop heb ik net CCleaner verwijderd, ik weet niet of het nut heeft, heb een schermafbeelding gemaakt van een achtergebleven register gegeven dat verwijderd is door RevoUninstaller Pro.

 

ScreenShot590.jpg.c973794fafa85d34ad4e88a626df17d4.jpg

 

ScreenShot591.jpg.a5b53d4b7c9a1c8610546ecc03286d75.jpg

 

Na het verwijderen is HKLM\SOFTWARE\Piriform\CCleaner ook verwijderd.

 

ScreenShot592.jpg.c6c98faed447d5ea0acab5e2f36b78ea.jpg

 

 

Link naar reactie
Delen op andere sites
porrelaar Grootmeester

porrelaar

Geplaatst:
Geplaatst:

Wil ik wel doen, maar dat had jij natuurlijk ook zelf kunnen doen. Gewoon de nieuwste versie van CCleaner downloaden en dan dat setup bestand uploaden naar VirusTotal...

Hier het rapport van ccsetup534.exe: https://www.virustotal.com/nl/file/cbc2f423d035cf315ac724e61287420013c517cf3d95dbdfa673179436184e64/analysis/1505851504/

Detectieverhouding: 1/62. Alleen ESET-NOD32 slaat aan, en dat is enkel vanwege de gebundelde Google Toolbar. En je kunt gewoon dat vinkje voor Google weghalen tijdens de installatie. Niks aan de hand dus. Nota bene: Emsisoft maakt dus geen bezwaar tegen dit installatiebestand. Vreemd dat EIS dat bij jou wel deed. Nog vreemder dat EIS bij jou pas reageerde toen dat bestand al in de prullenbak zat. Dan is die reactie veel te laat, lijkt mij.

 

Dan ook nog de scan van het uitvoerend bestand CCleaner.exe (v5.34.6207) in C:\Program Files\CCleaner: https://www.virustotal.com/nl/file/78dfb77d886f541686bc3a894f34e147c899fb440fa0ed2b336e84458e175952/analysis/1505851899/

Uitslag: detectieverhouding: 0/64.

 

En nu ga ik gauw verder kijken naar Matt Damon in The Martian...

Link naar reactie
Delen op andere sites
iEscape Grootmeester

iEscape

Geplaatst:
Geplaatst:
8 minuten geleden, porrelaar zei:

Wil ik wel doen, maar dat had jij natuurlijk ook zelf kunnen doen. Gewoon de nieuwste versie van CCleaner downloaden en dan dat setup bestand uploaden naar VirusTotal...

 

1 uur terug, iEscape zei:

Ik heb versie 5.34 gedownload maar niet geïnstalleerd, en net verwijderd.

en vervolgens zie de schermafbeelding :xd:

 

Thanks :top:

Link naar reactie
Delen op andere sites
Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Ontwikkelomgeving CCleaner mogelijk al sinds 3 juli gehackt

De ontwikkelomgeving van de het populaire programma CCleaner was mogelijk al sinds 3 juli gehackt, zo laat Avast weten, het anti-virusbedrijf dat de tool en ontwikkelaar Piriform op 18 juli overnam. Gisteren maakte Piriform bekend dat aanvallers een backdoor aan CCleaner hadden toegevoegd.

Het ging om CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191 voor 32-bit Windows die van 15 augustus tot 12 september via de officiële downloadservers werden aangeboden en over een geldig certificaat beschikten. De backdoor stuurt informatie over het systeem, zoals ip-adres, mac-adressen, computernaam, of het proces met adminrechten draait en geïnstalleerde software, naar een remote server en is in staat om code uit te voeren die door de server wordt teruggestuurd.

De besmette versies van CCleaner werden in de vier weken dat ze werden aangeboden door 2,27 miljoen gebruikers gedownload. Inmiddels zijn er nog 730.000 gebruikers met een besmette versie van CCleaner. Volgens Avast moeten deze gebruikers naar de nieuwste versie upgraden, maar lopen ze geen risico aangezien de server waarmee de backdoor communiceerde uit de lucht is gehaald. Cisco adviseerde getroffen gebruikers om hun systeem opnieuw te installeren of te herstellen naar een staat van voor 15 augustus, maar dat is niet nodig, aldus Avast. De backdoor-server werd namelijk uitgeschakeld voordat die kwaadaardige code naar besmette systemen kon terugsturen.

Inmiddels is de ontwikkelomgeving van Piriform naar de infrastructuur van Avast gemigreerd en zullen alle Piriform-medewerkers naar het interne it-systeem van Avast worden verhuisd. Hoe de aanvallers toegang tot de ontwikkelomgeving van CCleaner wisten te krijgen is nog niet bekendgemaakt. CCleaner is een zeer populaire tool die cookies, tijdelijke bestanden, surfgeschiedenis, logbestanden, applicatiedata en andere bestanden kan verwijderen. Het is in totaal meer dan 2 miljard keer gedownload en heeft wereldwijd 130 miljoen gebruikers.

 

bron: security.nl

 

 

 

Link naar reactie
Delen op andere sites
iEscape Grootmeester

iEscape

Geplaatst:
Geplaatst:
Op 19-9-2017 om 15:19, porrelaar zei:

Je weet niet exact wat deze malware heeft aangericht. Als 'Veiligheid voor alles' je devies is, dan moet je alles doen wat hij aanbeveelt.

Quote

Er zou dan ook geen aanvullende malware op systemen zijn geïnstalleerd en slachtoffers hoefden volgens beide bedrijven hun systeem niet opnieuw te installeren, zoals sommige securitybedrijven en experts adviseerden.

Vervolgbericht  >>  Backdoor in CCleaner installeerde aanvullende malware.

 

Link naar reactie
Delen op andere sites
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.