Videre til indholdet
  • Aktiv
  • Alvorlighedsgrad: Middel
  • Malware
  • Windows
  • Verificeret · nov 2017

CCleaner 5.33 virusHvordan fjernes den?

En trin-for-trin fjernelsesguide til berørte enheder. Følg den verificerede fremgangsmåde nedenfor — de fleste læsere gennemfører den på under 10 minutter.

Olivia Morelli · Senior sikkerhedsredaktør

Korrupt CCleaner v5.33-version bringer malware til 2.27 millioner brugere

CCleaner virus

CCleaner virus definerer en beskadiget v5.3 version af et velkendt anti-malware værktøj, kaldet CCleaner. Ved at anvende angreb af typen Advanced Persistent Threat (APT) har gerningsmændene formået at krænke distributionsnetværket og levere malware i forklædning af en certificeret CCleaner 5.33-version.

Malwaren, der fik navnet Floxif Trojan, formåede at overbevise over 2 millioner brugere om, at de havde downloadet en valideret CCleaner version 5.33 og CCleaner Cloud 1.07.3191. Angrebet begyndte den 15. august og varede indtil den 15. september 2017, da sikkerhedseksperter har formået at opdage forbrydelsen.

Opdatering, 28. september 2017. Selvom Avast, der nu ejer værktøjet oprindeligt oprettet af Piriform, har udtalt, at malwaren blev fjernet, ser det ud til, at cyberkriminelle fortsatte angrebet. Den første fase af CC Cleaner-virusangrebet startede antagelser om, at hovedmålet var almindelige brugere. Floxif Trojan, der opfører sig som en bagdørsvirus, blev programmeret til at indsamle oplysninger om ofre og sende dataene til en fjernserver.

På grund af overbelastningen af serveren crashede databasen. Dette førte malware-udviklerne til at genopbygge databasen og indlede en anden fase af angrebet. Det afslørede derefter, at almindelige brugere kun var et mellemled til at målrette efter de store virksomheder: Microsoft, Sony, Samsung, Cisco, VMware, D-Link, Linksys, HTC.

En nylig analyse afslørede, at over 700.000 enheder blev smittet, og ca. 20 virksomheder er blevet inficeret med malware inden for et tidsrum på 4 dage. Telekommunikations- og sociale netværksselskaber er blandt de mest berørte mål. Virksomhederne i Japan og Taiwan rapporterede at have det største antal inficerede computere – henholdsvis 10 og 13.

Hovedfakta om Piriform malware (Floxif):

  • Floxif CCleaner Trojan blev indlejret i 32-bit versionen af CCleaner 5.33.6162 og CCleaner Cloud 1.07.3191. Gerningsmændene tilføjede malwaren i den vigtigste eksekverbare fil af softwaren, kendt som CCleaner.exe.
  • Den ondsindede version var offentligt tilgængelig til download mellem den 15. august 2017 og den 15. september 2017. Virksomheden, der ejer rettighederne til softwaren, rapporterede, at ca. 2,27 millioner mennesker installerede og brugte den kompromitterede version af PC optimeringssoftwaren.
  • Den kompromitterede version installerede en bagdør til offerets computere, der var i stand til at overføre visse data til C&C-serveren.
  • Inficerede brugere skal straks opdatere til 5.34 version af softwaren og foretage begynde at ændre adgangskoder og andre følsomme data, som de kriminelle kan have fået adgang til.
  • To IP-adresser – 216.126.225.163 og 216.126.225.148 – er forbundet til hackerne.

Forskning tyder på, at en opdatering måske ikke er nok, da de kriminelle har inkluderet en tidligere uopdaget nyttelast. Ofre rådes til at genoprette deres computer fra sikkerhedskopier, for at slette malwaren helt.

Den kompromitterede version af CCleaner 5.33 omfattede en ondsindet nyttelast, der indeholdt en Domain Generation Algorithm (DGA) og evnen til at kommunikere med Command & Control (C&C) server. Virussen brugte denne forbindelse til at overføre alle slags data fra offerets computer, herunder, men ikke begrænset til:

  • Computerens navn;
  • Liste over installerede programmer;
  • Liste over netværksadaptere;
  • Unikke ID'er;
  • Liste over aktive processer.

For at beskytte din computer og fuldføre CCleaner virusfjernelsen, skal du opdatere fra v5.33 til v.34 MED DET SAMME. Eftervirkningen af malwaren er imidlertid mærkbar, når man regner at den har kunne score op til 2 milliarder downloads pr. måned, kunne situationen have været værre.

CCleaner malware

Desuden kan den kompromitterede version have bragt mere malware til din computer (som den angiveligt har kunne gøre), så vi anbefaler kraftigt at scanne din computer med anti-malware-software, for at fjerne CCleaner Floxif Trojan-rester og andre farlige programmer på én gang. FortectIntego eller MalwarebytesMalwarebytes hjælper dig med at gøre dette hurtigere.

CCleaner malware begynder sin anden nyttelast

Researchere fra Talos Intelligence har rapporteret en anden CCleaner virus-nyttelast, der var rettet mod et begrænset antal højt profilerede teknologifirmaer, baseret på deres domæner. De kriminelle forsøgte at gå på kompromis med en af de største virksomheder, herunder:

Akamai, Intel, Microsoft, Google, Samsung, Sony, VMware, HTC, Linksys, D-Link, Cisco.

Den anden nyttelast begynder med en installatør kaldet GeeSetup_x86.dll. Når den er aktiveret, finder den ud af, hvilken version systemet på computeren er – 32 eller 64-bit og smider derefter sin trojan på den. Versionen til 32-bit hedder TSMSISrv.dll, og den anden hedder EFACli64.dll. Det ser ud til, at ondsindede aktører har forsøgt at stjæle intellektuel ejendoms fra de børsnoterede teknologifirmaer.

Overførsel af trojan-bagdøren

Som vi tidligere har nævnt, blev originale servere af CCleaner kompromitteret under cyberangrebet, og det betyder, at malwaren var tilgængelig for alle, der downloadede softwaren fra Piriforms hjemmeside.

Den opdaterede version blev udgivet den 15. august 2017, hvilket betyder, at dette var datoen, hvor brugerne begyndte at downloade den kompromitterede version på deres computere ubevidst.

Zondervirus.nl advarer om, at det samme kunne have været tilfældet for alle, der installerede en opdatering til PC optimeringssoftware mellem 15. august og 15. september 2017.

Er CCleaner sikker?

Bemærk, at Piriform CCleaner-programmet i sig selv ikke er en virus. Det er en helt legitim software, som du kan bruge, men ondsindede aktører brugte ulovlige metoder til at bryde ind i virksomhedernes servere og injicere ondsindede scripts i denne software.

Lige da sikkerhedseksperterne opdagede CCleaner virus, udstedte Avast en officiel erklæring, der opfordrede brugere og virksomheder til at opdatere til 5.34-versionen. Der er dog stadig mangel på information om, hvordan gerningsmændene har formået at fortsætte angrebet.

For at sikre, at din computer er sikker fra skadelig software, skal du afinstallere programmet, scanne systemet med MalwarebytesMalwarebytes eller et alternativt sikkerhedsværktøj og geninstallere CCleaner 5.34-versionen. Lad os nu diskutere muligheder for at fjerne CCleaner malware.

Udfør CCleaner virus fjernelse

Forskning tyder på, at det måske ikke er nok at fjerne CCleaner-virus ved at opdatere det til 5.34-versionen. Siden den anden nyttelast blev opdaget, anbefaler vi en grundlæggende rengøring af din computer.

Derfor anbefaler vi dig at gendanne din computer fra en sikkerhedskopi (oprettet før installationen af malwaren) og derefter dobbelttjekke din pc med anti-malware-software. Du kan finde instruktioner om, hvordan du rengører din computer nedenfor.

Når du har afsluttet CCleaner-fjernelsen, skal du beskytte de konti, du har haft adgang til, mens den ondsindede version af computeroptimeringssoftwaren kørte på din pc. Vi anbefaler kraftigt, at du ændrer dine adgangskoder ved hjælp af en enhed, der ikke er blevet kompromitteret – ideelt set din telefon.

Vær den første til at kommentere

UdenVirus.dk
Privatlivsindstillinger

Vi bruger cookies til at forbedre din oplevelse og analysere trafikken. Nogle cookies muliggør indlejret indhold som videoer og opslag fra sociale medier. Vælg, hvad du tillader — du kan altid ændre det senere.