Angrepet ble beskrevet slik av forskere ved Cisco Talos: "Den legitime signerte versjonen av CCleaner 5.33…Også inneholdt en multi-trinns malware nyttelast som redet på toppen av installasjonen av CCleaner. "CCleaner morselskap, Piriform (som nylig ble kjøpt av forferdelig antivirusfirma Avast), anerkjente problemet kort tid etterpå.
Siden CCleaner hevder å ha millioner av nedlastinger per uke, er det potensielt et alvorlig problem.
Hva gjør malware?
Malware skadet ikke systemene aktivt, men det krypterte og samler informasjon som kan brukes til å skade systemet ditt i fremtiden. Spesielt, ifølge Piriform, skapte den en unik identifikator for datamaskinen og samlet:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Du kan lese mer teknisk informasjon om angrepet på Cisco Talos 'blogg og på Piriforms blogg.
Ble jeg berørt?
Heldigvis ser det ut til at denne malware kun påvirket en viss delmengde av CCleaner-brukere. Spesielt påvirket det:
- Brukere som kjører 32-bitersversjonen av programmet (ikke 64-bitersversjonen)
- Brukere som kjører versjon 5.33.6162 av CCleaner eller CCleaner Cloud 1.07.3191, utgitt 15. august 2017
Siden mange brukere sannsynligvis bruker 64-bitersversjonen av programmet, og CCleaner Free ikke oppdateres automatisk, er dette gode nyheter for mange mennesker.
(Oppdater: Noen dager etter at denne nyheten ble brutt, ble det oppdaget en ny nyttelast som rammet 64-biters brukere, men det var et målrettet angrep mot tekniske bedrifter, så det er usannsynlig at de fleste hjemmebrukere ble påvirket.)
Hvis du er i en 32-biters versjon av Windows, og tror du kan ha lastet ned CCleaner i den berørte tidsrammen, kan du sjekke hvilken versjon du har. Åpne CCleaner og se i øverste venstre hjørne av vinduet. Du bør se et versjonsnummer under programnavnet.
HKLMSOFTWAREPiriform
og se om det er en nøkkel merket
Agomo:MUID
. Hvis nøkkelen eksisterer, betyr det at du hadde den infiserte programvaren på systemet ditt på et tidspunkt.)
Hva burde jeg gjøre?
Selv om ingenting umiddelbart skadelig ble oppdaget, anbefaler Cisco Talos å gjenopprette systemet til en stat før 15. august 2017 fra en sikkerhetskopi hvis du ble berørt. Du bør antagelig kjøre en antivirus- og MalwareBytes-skanning på systemet ditt, og sikkerhetskopiene dine for å sikre at ingen malware er igjen installert.
Alternativt sier de at du kan installere Windows helt igjen - ja, det er litt av et kjernevalg, men det er den eneste måten å helt vite at systemet ditt er rent etter en hendelse som dette.
