CCleaner är ett systemverktyg som är utformat för att ta bort oönskade filer från en dator. Programvaran tar bort tillfälliga filer som äter upp diskutrymme och ogiltiga registernycklar i Windows. Under städningen raderas även skadliga filer som är gömda i datorn. I januari 2017 gav CNET programmet betyget ”Mycket bra”.
Men i september 2017 hittades skadlig programvara i CCleaner. Hackare tog den äkta programvaran och stoppade in skadlig kod avsedd att stjäla data från användare. De förvandlade ett verktyg avsett att städa rent datorn från dold skadlig programvara till ett allvarligt hot mot känslig och personlig information.
Förstå hotet
Den skadliga programvaran bestod av två trojaner, Trojan.Floxif och Trojan.Nyetya, instoppade i den kostnadsfria versionen av CCleaner version 5.33.6162 och CCleaner Cloud-version 1.07.3191. Man tror att hackarna utnyttjade CCleaners programuppbyggnad för att föra in skadlig programvara.
Enligt olika rapporter, kan den skadliga programvaran samla in specifika data från en infekterad dator, inklusive IP-adresser och information om installerad och aktiv programvara, och skicka den till en tredjepartsserver i USA.
CCleaners moderbolag, Avast Piriform, hittade skadlig programvara den 12 september 2017 och vidtog omedelbart åtgärder för att avhjälpa problemet. Inledningsvis trodde företaget att det var begränsat till ovanstående versioner som kördes på ett 32-bitars Windows-system och att en hämtning av uppgraderade versioner av programmet skulle lösa problemet. Man tror att mer än 2 miljoner användare smittades. .
Tyvärr upptäckte företaget snart att smittan var allvarligare än man ursprungligen trott. En utlösare i ett andra steg upptäcktes av Cisco Talos. Denna utlösare riktade sig mot runt 20 av världens största teknikföretag, däribland Google, Microsoft, Cisco och Intel, och infekterade 40 datorer.
Enligt Wired, ”säger Cisco att de fick tag på en digital kopia av hackarnas C&C-server (command-and-control) från en icke namngiven källa som är involverad i CCleaner-utredningen. Servern innehöll en databas med varje bakdörrsförsedd dator som hade ’ringt hem’ till hackarnas dator mellan den 12 och 16 september”.
Även om det inte finns några definitiva bevis som identifierar den skyldiga parten bakom CCleaner Malware har utredarna hittat en länk till en kinesisk hackergrupp som kallas Axiom.
CCleaner Malware innehåller samma kod som verktyg som används av Axiom, och en tidsstämpel på en smittad server matchar en kinesisk tidszon. Men tidsstämplar kan ändras eller modifieras, vilket gör det svårt att precisera ursprunget.
I kombination med valet av tekniska mål väcktes oro för att CCleaner Malware kunde vara en del av en statligt sponsrad attack. Utredning om ansvaret för hackningen pågick ännu under slutet av 2017.
Hur blir man av med CCleaner Malware?
När CCleaner Malware hittades första gången fick användarna rådet att uppgradera till den senaste versionen av programmet, baserat på uppfattningen att det var en isolerad händelse och att senare versioner var säkra. Men upptäckten av det andra stegets utlösare komplicerade borttagningen och skyddet.
Att ha en katastrofåterställningsplan kan vara det enda sättet att verkligen se till att datorn är fri från CCleaner Malware. Utredarna rekommenderar en återställning av systemet till en säkerhetskopierad version från innan den 15 augusti, när det första infekterade verktyget släpptes.
Den infekterade versionen av CCleaner bör avinstalleras och antivirusskanningar utföras för att säkerställa att systemet är rent. Om du väljer att installera om CCleaner bör det vara den senast tillgängliga versionen, eller åtminstone version 5.34 eller högre.
CCleaner är känt för att vara ett utmärkt verktyg för att eliminera skadliga program som döljer sig djupt i datorsystem, men incidenten med CCleaner Malware bevisar att inte ens de program som skapats för att skydda våra datorer från hot är immuna mot hackare.
Relaterade artiklar:
- Vad är annonsprogram?
- Vad är en trojan?
- Fakta och vanliga frågor om virus och skadlig programvara
- Skräppost och nätfiske