Permalänk

CCleaner virus

Hej läste för någon dag sen att CCleaner hade ett virus inuti sig och jag tänkte inte mer på det tills jag kom på att jag hade de programmet med den aktuelle versionen installerad. Har inte använt det på länge men aktiveras viruset så fort det är installerat? Gjort fullständiga virusskanningar 1 gång i veckan men det var först idag som Norton hittade viruset?

Jag kom att tänka på allt jag varit inloggad på alltifrån att jag köpt saker, mail, facebook, bettingkonto, steam, origin, sweclockers med mera. Måste jag nu byta lösenord på allt?

Hur kan ett seriöst företag klanta till sig och släppa med ett virus i sin mjukvara?

Permalänk
Avstängd

Vilken version rör det sig om? Jag har just nu V.5 34 6207 (64bit)

Läste även om det är endast 32-bitar varianten som har detta virusfenomen i sig.

Visa signatur

-Stäng av snabbstart i ditt Windows.

Permalänk
Inaktiv

5.33 32bit och sen motsvarande cloud version. 64 bitars borde vara säkra.

Permalänk
Medlem

Enligt pressmeddelandet har säkerhetshål konstaterats i 32-bitars versionerna av CCleaner v5.33.6162 och CCleaner Cloud v1.07.3191.

Angående vilken data/information som hamnat på orätta vägar via säkerhetshålet skriver företaget: "The compromise could cause the transmission of non-sensitive data (computer name, IP address, list of installed software, list of active software, list of network adapters) to a 3rd party computer server in the USA. We have no indications that any other data has been sent to the server. Working with US law enforcement, we caused this server to be shut down on the 15th of September before any known harm was done."

Grov översättning: Man betecknar datan/informationen såsom ”icke-känslig”, och menar att det handlar om 'namnet på din dator', 'IP-adress', 'vilken mjukvara som datorn har installerad', och liknande, men att ingen antydan finns för att annan data/information (dina lösenord från webbläsare etc) skickats iväg till den upptäckta servern vilken nu är nedstängd i samarbete med amerikansk polis.

Visa signatur

Citera för svar :)

Permalänk

@anon284015: jag har 64 bit Windows 7 men norton hittade ändå en trojan i CCleaner exe filen.

Permalänk

@dussin: jag hade trojanen, virus då Norton hittade en trojan i CCleaner exe filen men jag har har Windows 7 64 bit.

Permalänk

Kopierat från mitt virusskydd Norton.

Smittad fil: c:\program files\ccleaner\ccleaner.exe

Namn: Trojan Sibakdi

Permalänk
Medlem
Skrivet av SvenskGaming:

@OldFatGamer: jag har 64 bit Windows 7 men norton hittade ändå en trojan i CCleaner exe filen.

Skrivet av SvenskGaming:

@dussin: jag hade trojanen, virus då Norton hittade en trojan i CCleaner exe filen men jag har har Windows 7 64 bit.

Bara för att ditt OS är 64 bit innebär det inte att alla program är det, du kan köra ett 32 bit program på ett 64 bit OS.
Högst troligt har du alltså kört 32 bit versionen av CCleaner.

Permalänk
Inaktiv
Skrivet av SvenskGaming:

@dussin: jag hade trojanen, virus då Norton hittade en trojan i CCleaner exe filen men jag har har Windows 7 64 bit.

Isåfall har jag blivit felinformerad. Flera sidor påstår att det endast gäller 64 bitars versionen. Fast det kan ju vara så att install filen innehåller både 32 och 64 bitars.

har iaf kört både ClamAV, Malwarebytes, Bit defender och kollat reg edit samt uppdaterat CC till 5.34 på totalt 3 datorer. Hittade inte det man skall hitta i regedit ifall man är drabbad, antivirus hittade heller inget. Så jag antar att jag är OK

Permalänk

@anon284015: Ja läste också på flera sidor att det ska gälla 32 bitar versionen kan säga att det inte stämmer eftersom jag har Windows 7 64 bit.

Permalänk
Medlem
Skrivet av SvenskGaming:

@OldFatGamer: Ja läste också på flera sidor att det ska gälla 32 bitar versionen kan säga att det inte stämmer eftersom jag har Windows 7 64 bit.

Som redan påpekats ovan kan du både installera och köra 32-bitars mjukvara även med ett 64-bitars OS. Jag skulle våga mig på att påstå att den överväldigande majoriteten av den mjukvara du kör är just 32-bitars.

Det gäller alltså huruvida du har en 32- eller 64-bitars version av CCleaner, inte av Windows.

Visa signatur

Ryzen 3700X | Asus X570-F | 32GB Kingston Fury Renegade | RX 7800 XT | Fractal Design R6C | Noctua NH-D15 | Corsair RM650x | 6TB SSD av varierad kvalisort | Asus VG279QM | Ducky One 2 | CM MM720

Permalänk
Medlem
Skrivet av SvenskGaming:

@dussin: jag hade trojanen, virus då Norton hittade en trojan i CCleaner exe filen men jag har har Windows 7 64 bit.

Windows Defender sparkade bakut inom en timme efter att jag skrev tidigare inlägg i denna tråd. Tänkte inte på att uppdatera inlägget.

"Backdoor:Win32/Floxif" med global varningsnivå "Allvarlig".

Man har identifierat att delar av koden i CCleaner kringgår UAC när mjukvaran startas, vilket är "mindre bra" när någon lyckats göra vidare fördärvliga tillägg i CCleaner.

Windows 10 Pro x64.
(Minns ej) ver av CCleaner x64.

Har följdaktligen dumpat CCleaner.

Visa signatur

Citera för svar :)

Permalänk

@dussin: för mig hände det inget förutom att virusskyddet hittade trojanen, viruset. Men vi hade inte samma trojan, virus? Men jag har inte märkt av att datorn varit seg eller så.

http://provirusesremoval.com/remove-ccleaner-5-33-virus/

Här står om några symptom datorn borde ha men inget av dessa hade min dator.

Permalänk
Moderator
NintendOrakel

Jag hade x64 bits professional hittade inget men avinstallerade ändå.
De flesta sidor jag använder har jag länkat till telefonen för att logga in på med.

Permalänk
Medlem
Skrivet av SvenskGaming:

@dussin: för mig hände det inget förutom att virusskyddet hittade trojanen, viruset. Men vi hade inte samma trojan, virus? Men jag har inte märkt av att datorn varit seg eller så.

http://provirusesremoval.com/remove-ccleaner-5-33-virus/

Här står om några symptom datorn borde ha men inget av dessa hade min dator.

Vet inte vad du menar skall hända. Detta är en bakdörr (som ger "Obehörig/a åtkomst") där data/information skickas iväg eller hämtas från din dator - som i detta fall till en fulserver i USA - utan att du är medveten om att det sker eller vad det är för data/information som har hamnat på orätta vägar.

Jag upplever att företaget tonade ned allvaret, vilket kan tyda på att man gör sig redo för att erkänna något allvarligare om ett par dagar.

För mig är detta hurusom tillräckligt allvarligt och har helt dumpat mjukvaran.

Ingen större förlust, minns inte ens varför jag installerat CCleaner; använder ju alltid "Diskrensning" i alla fall.

Som @Tiamat påpekar kan man se även detta fall som en påminnelse att använda tvåfaktorsautentisering för sådant som är viktigt.

Visa signatur

Citera för svar :)

Permalänk

@dussin: så alla mina lösenord, bankkort, osv som jag varit inloggad, köpt saker med riskerar att bli kapade? steam, origin, facebook och mail

Permalänk
Medlem
Skrivet av SvenskGaming:

@dussin: så alla mina lösenord, bankkort, osv som jag varit inloggad, köpt saker med riskerar att bli kapade? steam, origin, facebook och mail

Säkerhetshål är konstaterat.

Det är bekräftat att data har kunnat överföras från användarnas datorer till en fulserver i USA.

Veterligen är det inte utrett vilken typ av information/data som faktiskt finns på den där fulservern som varit mottagare, eller om bovarna haft tillgång till den, osv.

Eftersom UAC varit kringgått och att användare beskriver hur deras Skyddsprogram identifierat olika varianter av malware i förbund med CCleaner/Cloud så vet ju ingen riktigt vad det är för fulkalas som pågått, om det arbetat i kedja, eller hur det ens gick till.

Företaget har i pressmeddelande dock bedömt att det är ”okänslig” data som kunnat överföras via säkerhetshålet, och att inga indikationer finns för att någon ”känslig” data hämtats från användarnas datorer.

Om du är orolig så säkerställ att ingen fulkod finns kvar på datorn, eller än bättre använd en icke-utsatt dator, och byt dina lösenord etc. Säkra upp saker med tvåfaktorsautentisering inför ”nästa gång”. Men detta är du såklart medveten om och har redan vidtagit dessa åtgärder

Visa signatur

Citera för svar :)

Permalänk
Medlem

Jag tog det säkra och avinstallerade CCleaner, gjorde en fullständig antimalware, antispyware & antivirus scan på allt. Versionen jag hade på hårddisken var v5.33 x64.
Versionen som inte är smittad är v5.34, den skall enligt Avast vara ren. Jag har själv använt v5.33 ( möjligen just den versionen med bakdörren ) en gång i veckan, men än har inte mitt bankkonto blivit länsad, inga konstiga e-mail kommit, ingen har skrivit på mina konton på sociala medier att jag har "kommit ut" som homo ( för att undvika missförstånd : jag är av det manliga könet och jag gillar kvinnor ) eller mysko spel lagts till i mina spelkonton här och var. Jag har 2-stegsverifikation på det viktigaste, och det finns inga som helst tecken på att någon har försökt med någonting alls.
Läs mer i länkarna nedan, det borde räta ut ett par frågetecken

Här är info om CCleaner bakdörren, på svenska: https://techworld.idg.se/2.2524/1.688985/ccleaner-bakdorr

Här är info från Avast, ägare av Piriform & CCleaner, på engelska : https://blog.avast.com/update-to-the-ccleaner-5.33.6162-secur...

Visa signatur

Cooler Master ATCS840 | Cooler Master Silent Pro Gold 1200W | Fractal Design Newton R3 1000W
ASUSTeK Z9PE-D8 WS | 2x Intel Xeon E5-2697 v2 | Kingston 128 GB DDR3 ECC | Gigabyte Geforce GTX 1070 Ti
BOINC : asteroids | einstein | enigma | milkyway | seti | universe | TheSkyNet POGS

Permalänk
Medlem
Visa signatur

HTPC: Silverstone Sugo SG05W Vit, Asus H110I-Plus, G4560, Corsair Vengeance LPX 2133 MHz 2x4GB, Samsung 870 EVO 500GB, Toshiba N300 2x10TB, MSI GeForce GT 1030 Passive OC 2GB, (& 16 enkortsdatorer med div användningsområden). Har ett "par" andra stationära datorer åxå. LG OLED 65CX. Shield 2019 Pro.

Permalänk
Medlem

"Piriform släppte snabbt Ccleaner 5.34 som avlägsnar bakdörren, och du som använder en tidigare version bör alltså omedelbart uppdatera denna"

Bara dra in senaste så är det pluggat.

Visa signatur

| Ryzen 2600 | * | 16 GB DDR4 | EVGA 1060 6GB SC | * |
| Steam - Toivo |

Permalänk
Inaktiv

Hade 64-bitars CC och datorerna verkar rena, känns som att man gick säker denna gång. kör alltid 64-bitars versioner av all programvara om det finns.

Permalänk

@Techs: inget speciellt har hänt på min facebook, youtube, mail, bank, steam heller så jag har förmodligen inte blivit kapad.

Permalänk
Medlem

Jag kör med CCleaner free och updaterar och kör den ganska sällan ( 4-5 nya versioner mellan jag drar ner en ny ), men självklart lyckades jag dra ner den med trojanen i

Windows defender hittade och raderade den och även i mappen installationsfilen låg. Jag kollade i registret och hittade inte dom sakerna som nämnts som lades till där. Jag kör ju 64 bitars win10 och 64 bit versionen av CC så jag har förmodligen inte blivit "drabbad" som så, men 32 bits exen finns i samma installer så Defender rensade bort skräpet.

Jag har ju haft skitet installerat ett bra tag innan antivirus/malware-programen hittade det. Även om dom säger i sin damagecontrol vad som skickats är okritiska saker och att det inte bör ha drabbat 64 bits user känns det inte helt OK att ha en trojan installerad i en månad eller så...

Visa signatur

"We think there is a fundamental misconception about piracy. Piracy is almost always a service problem and not a pricing problem" - Gabe Newell

Permalänk
Inaktiv

Betydligt allvarligare än vad som skrivits om innan.

https://arstechnica.com/information-technology/2017/09/cclean...

Ska man göra en reformat på Windows disken eller göra en reset och välja att inte behålla någonting?

Permalänk
Medlem

Stage2 ska bara ha blivit skickat till företagsmål, troligtvis ingen fara.'

Om du loggar i router / brandvägg kolla om IP adressen som nämndes som IOC finns loggat.
Om du är orolig så är nästa steg att formatera och ominstallera OS.
IOCS är listade så om du kollar hashen på dom filerna vet du om du hade möjlighet att bli kapad http://blog.talosintelligence.com/2017/09/avast-distributes-m...

Permalänk
Inaktiv
Skrivet av spel565:

Stage2 ska bara ha blivit skickat till företagsmål, troligtvis ingen fara.'

Om du loggar i router / brandvägg kolla om IP adressen som nämndes som IOC finns loggat.
Om du är orolig så är nästa steg att formatera och ominstallera OS.
IOCS är listade så om du kollar hashen på dom filerna vet du om du hade möjlighet att bli kapad http://blog.talosintelligence.com/2017/09/avast-distributes-m...

Troligtvis ingen fara? Är du 100% säker? Jag tycker detta är värre än någon Malware de senaste tio åren.

Permalänk
Medlem
Skrivet av anon114264:

Troligtvis ingen fara? Är du 100% säker? Jag tycker detta är värre än någon Malware de senaste tio åren.

Jag är inte 100% säker, men tillsynes riktades attacken mot vissa organisationer och som då fick uppföljningsfilen.

"In this particular example, a fairly sophisticated attacker designed a system which appears to specifically target technology companies by using a supply chain attack to compromise a vast number of victims, persistently, in hopes to land some payloads on computers at very specific target networks. "
Källa: http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern...

Så ja det var en avancerad attack men då den verkar vara någon form av corporate espionage, så är det inte lika farligt för oss. Men det är alltid bra att vara på den säkra sidan...

Permalänk
Inaktiv

Hur många använder faktiskt 32bitars versionen på sin dator hemma? Skall vi kanske klargöra att det faktiskt bara vara 32bitars som var infekterad.

Skickades från m.sweclockers.com

Permalänk

@spel565: kan du försöka förklara lite enklare tack hur jag gör?