Nätkriminella angrep CCleaner 5.33

Sabotageprogram förklätt som antisabotageprogram

CCleaner, ett välkänt och populärt verktyg för att rensa datorer från annonsprogram och andra typer av sabotageprogram och för att upprätthålla processer i optimerat skick, har drabbats av en nätattack. Alla användare som laddade ner versionen 5.33 mellan den 15:e augusti och 12:e september, riskerar att angripas av Floxif-viruset.

Över 2 miljoner användare i USA, Ryssland och Västeuropa uppskattas ha drabbats. Programmet är särskilt populärt i dessa delar av världen. Ävenom det bara var 32-bit-systemen som drabbades, rekommenderas alla användare att uppdatera programmet till den senaste versionen.

Vad orsakar Floxif-viruset?

IT-forskare har upptäckt att Floxif-viruset samlar in tekniska uppgifter om offret och skickar dessa till sin kommando- och kontrollfjärrserver. Cisco Talos-forskare, vilka var de som identifierade viruset, har också noterat att viruset skickar begäran till den specifika IP-adressen 216.126.225.148.

I början väckte den korrupta versionen inga misstankar då den var skriven av den giltiga digitala signaturen. Därför kunde viruset spridas som en förtäckt 5.33-versionen (utgiven av Piriform som är den ursprungliga utvecklaren av programmet, nu ägd av Avast).

Den infektion som låg inbäddad i programmet väntade sedan 601 sekunder innan den aktiverades, detta för att undvika ”sandboxing”. Intressant är att Floxif-viruset endast kan aktivera sig själv via administrativ behörighet.

Efter att viruset har laddats ner och kört igång uppdateringsprocessen, lokaliserar och ersätter det den befintliga CBkdr.dll-filen med en identisk men korrupt version. Förutom att spåra information och skicka denna till sin server, utförde viruset inga andra aktiviteter.

Nätsäkerhetsexperter har sina aningar om hur viruset lyckades att inte bli upptäckt av antisabotageprogrammet Avast. Vissa misstänker att angriparen kan ha kommunicerat med en insider som hade tillgång till programutvecklingen.

Är det säkert att ladda ner CCleaner nu?

Medan installeraren för 5.33-versionen fortfarande finns tillgänglig, har viruset raderats. Avast kom redan den 13:e september ut med 5.34-versionen.

Då vanliga användare inte hade någon chans att förhindra attacken då viruset var förklätt som en legitim programversion, kan följande tips komma till nytta:

• skydda din dator med ett par olika antisabotageprogram
• ladda ner dem från officiella webbsidor och installera den senaste versionen så fort den finns tillgänglig