CCleaner is een hulpprogramma dat is ontworpen om ongewenste bestanden van een computer te verwijderen. De software ontdoet de computer van tijdelijke files die schijfruimte innemen en onjuiste sleutels uit het Windows-register. Tijdens de schoonmaak elimineert het programma ook schadelijke bestanden die diep in het systeem zijn opgeslagen. In januari 2017 gaf CNET het programma de beoordeling "Zeer goed".
In september 2017 werd echter CCleaner-malware ontdekt. Hackers namen het legitieme programma en voegden er schadelijke code aan toe met de bedoeling om gebruikersgegevens te stelen. Ze veranderden een tool dat is bedoeld om je computer te ontdoen van verborgen malware in een ernstige dreiging voor gevoelige en persoonlijke informatie.
De dreiging begrijpen
De malware bestond uit twee trojans, Trojan.Floxif en Trojan.Nyetya, die waren opgenomen in de gratis versies van CCleaner versie 5.33.6162 en CCleaner Cloud versie 1.07.3191. Men vermoedt dat de hackers de ontwikkelomgeving van CCleaner zijn binnengedrongen om de malware te installeren.
Volgens verschillende rapporten kan de malware bepaalde gegevens van een geïnfecteerd computersysteem verzamelen, waaronder IP-adressen en gegevens uit geïnstalleerde en actieve software, en die doorsturen naar een externe server in de Verenigde Staten.
Het moederbedrijf van CCleaner, Avast Piriform, vond de malware op 12 september 2017 en ondernam onmiddellijk actie om het probleem te verhelpen. Aanvankelijk dacht het bedrijf dat het probleem beperkt bleef tot de hiervoor genoemde versies op 32-bits Windows-systemen, en dat het downloaden van latere versies van het programma het probleem zou oplossen. Vermoedelijk raakten meer dan 2 miljoen computersystemen geïnfecteerd.
Het bedrijf ontdekte echter al snel dat de malware-infectie helaas ernstiger was dan men in eerste instantie had aangenomen. Cisco Talos vond een lading die in een tweede fase werd geactiveerd. Deze lading richtte zich op ongeveer twintig zeer grote technologiebedrijven, waaronder Google, Microsoft, Cisco en Intel, en infecteerde veertig computers.
Volgens Wired zegt Cisco “dat het een digitale kopie van de command-and-controlserver van de hackers heeft gekregen uit handen van een niet nader genoemde bron, die is betrokken bij het CCleaner-onderzoek. Op de server stond een database met alle gekraakte computers die zich tussen 12 en 16 september met het systeem van de hackers in verbinding hadden gesteld.”
Hoewel er geen definitief bewijs is om de verantwoordelijken voor de CCleaner-malware te identificeren, ontdekten onderzoekers wel een link naar de Chinese hackersgroep Axiom.
De CCleaner-malware hergebruikt code uit tools die door Axiom zijn ontwikkeld. Bovendien vond men op een gekraakte server een tijdstempel die overeenkwam met de Chinese tijdzone. Tijdstempels kunnen echter worden gewijzigd, dus het is moeilijk om de bron met zekerheid vast te stellen.
Deze vondsten, gecombineerd met het feit dat technologiebedrijven tot doelwit waren gekozen, gaven aanleiding tot de zorg dat de CCleaner-malware deel uitmaakte van een aanval die door de Chinese staat werd gesteund. Eind 2017 was het onderzoek naar de verantwoordelijkheid voor deze aanval nog in volle gang.
Hoe kun je CCleaner-malware verwijderen?
Toen de CCleaner-malware net was ontdekt, werden gebruikers geadviseerd om de nieuwste versie van het programma te installeren, omdat men geloofde dat het om een op zichzelf staand incident ging en dat latere versies veilig waren. Maar de ontdekking van de tweede lading compliceerde de verwijdering van de malware en de bescherming van de computers.
Een rampenherstelplan is misschien de enige manier om je ervan te verzekeren dat je computer vrij is van CCleaner-malware. Onderzoekers raden aan om computersystemen terug te zetten naar een geback-upte versie van vóór 15 augustus, toen de eerste geïnfecteerde tools werden verspreid.
Je moet de geïnfecteerde versie van CCleaner verwijderen en een anti-virusscan uitvoeren om er zeker van te zijn dat het systeem schoon is. Als je CCleaner opnieuw wilt installeren, neem dan de meest recente versie of in ieder geval versie 5.34 of hoger.
CCleaner staat bekend als een uitstekend tool om schadelijke programma’s te elimineren die zich diep in computersystemen verscholen houden. Maar zoals de situatie met de CCleaner-malware bewijst, zijn zelfs programma’s die zijn bedoeld om onze computers tegen dreiging te beschermen, niet immuun voor hackers.
Gerelateerde artikelen:
- Wat is adware?
- Wat is een trojan?
- Feiten en veelgestelde vragen over computervirussen en malware
- Spam en phishing