Versjoner av CCleaner inneholdt skadevare

Publisert: 05.10.2017

CCleaner har inneholdt ondsinnet kode i deres orginale 32 bit programvare

Vi ønsker å informere om at CCleaner har inneholdt ondsinnet kode i deres orginale 32 bit programvare. CCleaner er et program for brukere til å gjøre rutinemessig vedlikehold på sine maskiner. Det har funksjonalitet som fjerning av midlertidige filer, gjøre anaylser av systemet, optimalisering av systemet og applikasjoner.

Piriform som er distrubutør av CCleaner har publisert en bloggpost om hendelsen. [1] Det er ikke kjent hvordan den ondsinnede koden har kommet med i deres orginale versjoner av CCleaner. CCleaner.exe filen for 32 bit som ble publisert 15. august inneholdt en to-stegs bakdør som har mulighet for ekstern kjøring av vilkårlig kode.

Berørte versjoner av CCleaner:

  • CCleaner versjon 5.33.6162
  • CCleaner Cloud version 1.07.3191

Piriform anbefaler alle å oppdatere til versjon 5.34 eller nyere hvor bakdøren skal være fjernet. [1]

Talos [2] og Piriform [1] har begge skrevet om hendelsen og går litt dypere inn på hvordan skadevaren fungerer.

Vi i NorCERT anbefaler alle som har CCleaner versjon 5.33 til å oppdatere til versjon 3.4, eller nyere versjoner av CCleaner.

  1. https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
  2. http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html