Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Malware, Piriform, Avast, CCleanup, Supply chain attack

CCleaner infekterad

CCleaner i vissa 32-bitarsversioner är infekterad med bakdörr.

Vad har hänt?

CCleaner från Avast, en populär programvara för systemunderhåll som i december 2016 hade över 2 miljarder nedladdningar [1] har visat sig vara infekterad med en bakdörr som möjliggör kommunikation med command and controlserver. [2]

Spridningen har skett genom Avasts egna nedladdningservrar där installationsprogrammet för CCleaner har blivit komprometterat.
Installationsprogrammet är signerat med ett giltigt certifikat utfärdat till Piriform, företaget som ursprungligen utvecklat CCleaner men numera uppköpta av Avast.

Om den skadliga koden har installerats av en användare som är inloggad som admin så profileras systemet och informationen skickas till C2-servern. Efter detta kan ytterligare skadlig kod installeras på det utsatta systemet.
Om installationen skett av en användare som inte har adminstrativa rättigheter så avbryts exekveringen av den skadliga koden emedan det ursprungliga CCleaner körs vidare. Den skadliga koden finns kvar och utför samma kontroll nästa gång programmet startas.

Hur vet jag om jag är påverkad?

CCleaner version 5.33.6162 och CCleaner Cloud version 1.07.3191 utgiven mellan den 15 augusti och 12 september 2017 har befunnits skadliga. Endast 32-bitarsversionerna av programmet är påverkade, dvs att 64-bitars är inte infekterade.

Indikatorer

Hashsummor

6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9

Domännamn

ab6d54340c1a[.]com
aba9a949bc1d[.]com
ab2da3d400c20[.]com
ab3520430c23[.]com
ab1c403220c27[.]com
ab1abad1d0c2a[.]com
ab8cee60c2d[.]com
ab1145b758c30[.]com
ab890e964c34[.]com
ab3d685a0c37[.]com
ab70a139cc3a[.]com

IP-adresser

216[.]126[.]225[.]148

Rekommendationer

CERT-SE rekommenderar återställa system där CCleaner har installerats hos en användare med adminrättigheter till ett läge före 15 augusti 2017 eller att helt ominstallera systemet om återställning ej är möjlig samt kontrollera integriteten på närliggande system om möjligt.

I fallet där CCleaner har blivit installarat i kontext av en användare utan adminrättigheter så rekommenderas antivirusskanning samt ominstallaiton av CCleaner.

Källor

[1] https://www.piriform.com/
[2] http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html