Op maandag 18 september 2017 is het nieuws naar buiten gekomen dat een versie van Ccleaner (populaire opschoonsoftware) is geïnfecteerd met een backdoor. Het gaat om de versie tussen 15 augustus 2017 en 12 september 2017. Ik heb mij vooral bezig gehouden met de download versie en niet met de cloudversie.

Let op! Er kunnen geen rechten of consequenties aan mijn artikel worden verbonden. Er loopt een onderzoek van het Avast Threat Labs naar deze infectie. Daarna kunnen we pas echt zeggen wat het risico is/was.

Hierbij een korte samenvatting van mijn ervaringen en een leidraad:

  • In de installer van Ccleaner (altijd 32 bit) wordt Win32/CCleaner.A trojaans paard gedecteerd
  • In file Ccleaner.exe (32 bit) wordt de volgende infectie gedetecteerd: Variant van Win32/CCleaner.B trojaans paard

Op veel PC’s waar versie 5.33.0.6162 is aangetroffen werd de 2e payload (infectie) niet geactiveerd. Dit kan de volgende oorzaken hebben:

  • Windows is 64 bit, ccleaner 64 bit is gestart. De infectie zit uitsluitend in de 32 bit versie
  • Er zijn lokale administrator rechten nodig om uit te voeren. Mogelijk wordt dit geblokkeerd door UAC (user access control) van Windows
  • Moderne virusscanners hebben vaak een heuristische beveiliging. Mogelijk dat de threat daardoor geen toegang heeft.

Priform claimt dat het voldoende is om versie 5.33.0.6162 te verwijderen of te upgraden naar een nieuwe versie. Andere beveiligingsbedrijven adviseren om Windows altijd opnieuw te installeren, omdat je het nooit zeker weet.

Voor mijzelf hou ik de volgende standaard stappen aan:

  • Is er een backup van de bestanden?
  • Windows up to date?
  • Wat is het belang/risico van het bedrijf?
    • Weeg iedere situatie afzonderlijk af, overleg met gebruikers/verantwoordelijke
  • Virusscanner geïnstalleerd?
    • Is er herkenning voor Win32/CCleaner.A & Win32/CCleaner.B trojaans paard?
      • Eset heeft herkenning (signature update 16099)
  • Check of versie 5.33.0.6162 is geïnstalleerd (Ccleaner niet zomaar starten, zie onderstaande command line om versie uit te lezen zonder cleaner te starten).
    • Nee: Geen vervolgstappen, geen risico
    • Ja: Vervolgstap check register keys (zie bronnen)
  • Check of register keys aangemaakt zijn.
    • Zo nee: Virsusscan + Malwarebytes draaien
    • Zo ja: Mogelijk risico (dit onderdeel ben ik nog aan het analyseren)
  • Virusscan
    • Bij geen verdere infecties: systeem vooralsnog schoon
    • Bij wel andere nieuwe infecties: Herinstallatie overwegen

Herinstallatie? Ja een herinstallatie is altijd het meest veilig. Echter heb ik geen aantoonbare aanleiding om dit dringend te adviseren. Er is teveel onduidelijkheid over het uiteindelijke misbruik van het lek.

Bovendien zouden de C&C (command and control) servers neergehaald zijn:
“Piriform said it had worked with U.S. law enforcement to shut down a server located in the United States to which traffic was set to be directed. It said the server was closed down on Sept. 15 “before any known harm was done”

De backdoor is een 2 way backdoor. Zolang de C&C server niet bereikt kan worden kunnen er geen nieuwe instructies worden gegeven. Dit kan meegenomen worden in de afweging wat te doen.

Gebruik volgende commando in de command prompt om te controleren welke versie van Ccleaner geïnstalleerd staat:

wmic datafile where name=”C:\\Program Files\\CCleaner\\CCleaner.exe” get version /format:list

  • Bij resultaat Version=5.33.0.6162 is Ccleaner geïnfecteerd
  • Als het resultaat anders is dan is de versie in theorie veilig.
  • No Instance(s) Available betekend dat Ccleaner niet geïnstalleerd is.

Advies is om een logboek bij te houden van opgeschoonde machines.

 

Bronnen:

http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

http://www.reuters.com/article/us-security-avast/hackers-compromised-free-ccleaner-software-avasts-piriform-says-idUSKCN1BT0R9

https://tweakers.net/nieuws/129697/ccleaner-installer-bevatte-een-maand-lang-backdoor.html

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

Read more

De zomervakantie is inmiddels weer voorbij. De komende weken ben ik nog druk met lopende opdrachten. Het ziet er naar uit dat ik in november 2017 weer ruimte heb voor nieuwe projecten.

Vanaf 2018 heb ik in ieder geval weer ruimte voor lange termijn opdrachten. Als u iets interesse hebt of een project kunt aanbieden neemt u dan gerust contact met mij op om de mogelijkheden te bespreken.

Voor klein zakelijke aanvragen kunt u nog steeds contact opnemen via www.solideautomatisering.nl.

Alle reacties op arjanlobbezoo.nl heb ik zoveel mogelijk geprobeerd te beantwoorden. Bedankt voor het in mij gestelde vertrouwen. Nieuwe reacties probeer ik zoveel mogelijk op tijd te beantwoorden.

Read more

Now in the year 2017 it will be time to consider to say goodbye to the Microsoft Office 2003 product versions. That’s what Microsoft likes too. Many users who use the 2007 compatibility pack as a bridge between Office 2003 and the 2007 (and above) versions will experience problems when opening 2007 files after installing major Windows 10 updates.

I will describe some examples in this article how to manage and automate the installation of FileFormatConverters.exe. These scripts can be used standalone and are not suitable for a business deployment environment.

Script is written in oldschool batch cause many users with office 2003 products have not worked so much with powershell:)

copack2007-install.bat

@ECHO OFF

ECHO author      :  Arjan Lobbezoo, IT Professional, Solide Automatisering
ECHO email       :  info@solideautomatisering.nl
ECHO file        :  copack2007-install.bat
ECHO description :  install MS Office compatibility pack 2017 silent
ECHO dependency  :  FileFormatConverters.exe from https://www.microsoft.com/nl-NL/download/details.aspx?id=3

ECHO.

ECHO Try to install FileFromatConverters (language depending on file)...
FileFormatConverters.exe /quiet

Easy call of FileFormatConverts.exe with the quiet parameter so the installation will perform silent.

copack2007-remove.bat

@ECHO OFF

ECHO author      :  Arjan Lobbezoo, IT Professional, Solide Automatisering
ECHO email       :  info@solideautomatisering.nl
ECHO file        :  copack2007-remove.bat
ECHO description :  remove MS Office compatibility pack 2017

ECHO.

if _%1_==_payload_  goto :payload

:requestadmin
    echo %~nx0: elevating self
    set vbs=%temp%\requestadmin.vbs
    echo Set UAC = CreateObject^("Shell.Application"^)                >> "%vbs%"
    echo UAC.ShellExecute "%~s0", "payload %~sdp0 %*", "", "runas", 1 >> "%vbs%"
    "%temp%\requestadmin.vbs"
    del "%temp%\requestadmin.vbs"
goto :eof

:payload
    cd /d %2
    shift
    shift
    ECHO Try to remove the NL compatibility pack version...
    wmic product where name="Compatibiliteitspakket voor het 2007 Microsoft Office system" call uninstall /nointeractive
    ECHO Try to remove the EN compatibility pack version...
    wmic product where name="Compatibility Pack for the 2007 Office system" call uninstall /nointeractive
goto :eof

:eof

This script will create first a vbs file to get admin rights. Wmic is called and doesn’t request the admin rights. So the vbs script request the admin rights. If UAC is on you have to click yes. Then the script will use wmic to uninstall the package.

copack2007-reset.bat

@ECHO OFF

ECHO author      :  Arjan Lobbezoo, IT Professional, Solide Automatisering
ECHO email       :  info@solideautomatisering.nl
ECHO file        :  copack2007-reset.bat
ECHO description :  remove and install MS Office compatibility pack 2017
ECHO dependency  :  FileFormatConverters.exe from https://www.microsoft.com/nl-NL/download/details.aspx?id=3

ECHO.

if _%1_==_payload_  goto :payload

:requestadmin
    set vbs=%temp%\requestadmin.vbs
    echo Set UAC = CreateObject^("Shell.Application"^)                >> "%vbs%"
    echo UAC.ShellExecute "%~s0", "payload %~sdp0 %*", "", "runas", 1 >> "%vbs%"
    "%temp%\requestadmin.vbs"
    del "%temp%\requestadmin.vbs"
goto :eof

:payload
    cd /d %2
    shift
    shift
    ECHO Try to remove the NL compatibility pack version...
    wmic product where name="Compatibiliteitspakket voor het 2007 Microsoft Office system" call uninstall /nointeractive
    ECHO Try to remove the EN compatibility pack version...
    wmic product where name="Compatibility Pack for the 2007 Office system" call uninstall /nointeractive
    ECHO Try to install FileFromatConverters (language depending on file)...
    FileFormatConverters.exe /quiet
goto :eof

:eof

In this file the remove and install request of the compatibility pack is combined. This script can be used to solve the update issues after a major Windows 10 major upgrade. Just run it.

The batch scripts can only run from a local or remote drive letter. Server (netbios) shares are not supported yet except when the share is remapped to a driveletter. I hope to get started with another version (PowerShell) if needed.

 

 

Extract the files in a local folder or a remote drive share. For example c:\software\copack2007\. Run the batch file for the required action. Tip is to create a shortcut of copack2007-reset on the users dekstop. So users can easy fix the tool when the windows 10 update has broken the package.

For multi language support download the package in your language from the Microsoft site. You have to change the product name in the remove scripts. Use “wmic product get name” in cmd to determine the name in your language.

Read more

Sinds mei 2017 zijn er enkele updates uitgerold die de indexering in Microsoft Outlook verstoren. Het is mij niet duidelijk om welke updates het gaat. Hieronder de stappen om in Outlook 2010 de index opnieuw samen te stellen. In de meeste gevallen hielp dit.


  • Ga naar Bestand en kies Opties

  • Klik op Zoeken en kies daarna voor Opties voor indexering

  • Klik op Geavanceerd

  • Klik op Opnieuw samenstellen
  • Klik daarna op OK
    Vervolgens bij eerdere venster op Sluiten
    Klik nogmaals op OK
  • Sluit Outlook af (alle vensters sluiten, ook mailberichten en agenda).
  • Na 1 minuut Outlook weer opstarten
  • Wacht een half uur en laat Outlook ondertussen open staan
  • Probeer opnieuw te zoeken.

In Office 2016 kan het zoekprobleem in combinatie met office 365 heel hardnekkig zijn. Een oplossing is is terugdraaien naar een eerdere subversie van Office 2016. Neem voor de mogelijkheden contact op.

Aanvullende informatie bij Office 2016 (Engelstalig):
https://lookeen.com/blog/how-to-fix-outlook-2016-search-problems

https://office-watch.com/2016/force-windows-indexing-to-run-faster/

Read more

Op vrijdag 12 mei dook in de loop van de dag de WannaCry randsomware op. Dit was een grote cyberaanval met ransomware in Europa en een groot gedeelte van de wereld. Vooralsnog twee Nederlandse infecties.

Wat kun je preventief doen?

  • Zorg voor een offline backup
  • Zorg dat de virusscanner up to date is
  • Installeer de laatste Windows Updates
  • Controleer patch voor MS17-010
  • Haal alle oude Windows machines (zonder updates) uit het netwerk
  • Controleerde consistentie van je bestanden regelmatig
  • Blokkeer poort 445 vanaf buiten

Hoe herkennen?
De ransomware versleuteld bestanden en vraagt daarna om geld te betalen om de bestanden weer te ontsleutelen. Dit is te herkennen aan een reeks bestanden die niet meer te openen zijn.

Wat doen bij een infectie?
Bij infectie geïnfecteerde PC’s zoveel mogelijk isoleren of alles uitzetten om verspreiding te voorkomen. Er is inmiddels een decryptie tool (versie 0.1) voor het WannaCry virus.

https://github.com/gentilkiwi/wanakiwi/releases

Deze tool werkt uitsluitend als de machine niet opnieuw opgestart is. Er zijn nog problemen met deze tool en de vraag is of het werkt voor nieuwe varianten.

Weet je niet goed wat je moet doen? Neem contact op met een IT bedrijf of specialist voor de vervolgstappen.

ESET Security Alert
Vanmiddag melde ESET dat klanten volledig beschermd zijn:
“ESET klanten zijn volledig beschermd!”
“Alle ESET versies detecteren de ransomware als Win32/Filecoder.WannaCryptor. Deze detectie is al aanwezig in onze software sinds 06-04-2017.”
zie: https://www.eset.com/nl/wannacryptor-ransomware/

Patch MS17-010:

LET OP! Er zijn meerdere patches voor verschillende versies. Zie onderstaande lijst voor de patch die nodig is voor de verschillende Windows versies. Er is helaas veel onduidelijkheid over de benodigde patches. Inmiddels heb ik ook Windows 7 machines gezien die mogelijk niet automatisch gepatched zijn. Vooralsnog hou ik zelf onderstaande lijst aan:

KB4013429 voor Windows 10 v1607

KB4013198 voor Windows 10 v1506

KB4012215 of KB4012212 voor Windows 2008 R2 en Windows 7

KB4012212 voor Windows SBS 2011 server

KB4012598
Windows Server 2003, 2008
Windows XP, Vista
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (manual download)

Voor een uitgebreidere test zie:

https://github.com/eset-la/Check-EternalBlue

Hier staat ook een tool van Eset bij waarmee je kunt testen of je systeem kwetsbaar is.

 

Bronnen en meer informatie:

https://www.politie.nl/nieuws/2017/mei/14/11-politie-waarschuwt-bedrijven-en-consumenten-voor-gijzelsoftware.html

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://www.eset.com/nl/wannacryptor-ransomware/

Hotfixes that possible contains the fix
“KB4012212”, “KB4012217”, “KB4015551”, “KB4019216”, “KB4012216”, “KB4015550”, “KB4019215”, “KB4013429”, “KB4019472”, “KB4015217”, “KB4015438”, “KB4016635”

 

Read more