Har du laddat ned Daemon Tools sedan slutet av mars 2026? Då bör du kontrollera din dator omgående. Programmets officiella installationsfiler har spridit en backdoor som ger angripare full kontroll över infekterade system, och attacken pågick fortfarande när Kaspersky avslöjade den i början av maj 2026.
Det rör sig om en så kallad supply chain-attack. Skadlig kod smögs in i installationsfiler som distribuerades direkt från utvecklarens egen sajt, inte från någon piratkopierad version eller skum tredjepartsspegling. Versionerna 12.5.0.2421 till 12.5.0.2434 är drabbade. Det gäller både fullversionen och Daemon Tools Lite.
Vad du ska göra nu
- Avinstallera Daemon Tools om du har version 12.5.0.2421–12.5.0.2434.
- Kör en fullständig genomsökning med Microsoft Defender eller annan antivirus. Defender bör nu känna igen signaturerna efter Kasperskys publicering.
- Byt lösenord till de viktigaste kontona (e-post, bank, molntjänster) från en annan, ren dator.
- Kontrollera nätverkstrafik om du har misstankar, backdoorn kommunicerar via QUIC-protokollet vilket kan se ut som vanlig HTTPS.
Om du installerade programmet före 8 april 2026 är du sannolikt säker. Det är fönstret efter det datumet som är problemet.
Så fungerade attacken
Angriparna registrerade domänen daemon-tools.cc den 27 mars, en vecka innan första skadliga installationsfilen dök upp. Den 8 april började infekterade installerare distribueras från den officiella webbplatsen.
Tre körbara filer manipulerades: `DTHelper.exe`, `DiscSoftBusServiceLite.exe` och `DTShellHlp.exe`. Det riktigt obehagliga är att filerna var signerade med giltiga digitala certifikat från AVB Disc Soft, alltså utvecklarens egna. Det betyder att Windows och de flesta antivirusprogram inte hade någon anledning att slå larm. För en vanlig användare såg installationen ut precis som den ska.
Backdoorn aktiveras automatiskt vid varje systemstart genom att den smyger sig in i CRT-miljöns initialiseringskod. Vid uppstart skickas en GET-förfrågan till en kommando-och-kontroll-server och rapporterar in:
- MAC-adress och värdnamn
- DNS-domännamn
- Lista över körande processer
- Installerad programvara
- Språkinställningar
Med den profilen kan angriparna sortera ut intressanta måltavlor och skicka ned mer avancerad kod till just dessa.
Två varianter av skadlig kod
Kaspersky identifierade två separata komponenter. Den första är en relativt enkel informationsinsamlare som rapporterar systemdata. Den andra är allvarligare: en QUIC RAT (Remote Access Trojan) som stödjer flera kommunikationsprotokoll, kan ladda ned ytterligare skadlig kod, exekvera shellkommandon och köra moduler direkt i minnet.
Att malware körs i minnet utan att skriva till disk gör den extra svår att upptäcka i efterhand. Du kan ha varit drabbad utan att någon fil ligger kvar som spår.
Kaspersky bedömer att angriparna är kinesisktalande baserat på malwareanalysen, och klassificerar attacken som riktad, inte ett brett massutskick.
Varför Daemon Tools är ett särskilt farligt mål
Det rätta svaret är: programmet kräver djup systemåtkomst för att överhuvudtaget göra sitt jobb.
Daemon Tools monterar diskavbildningar virtuellt. För att skapa en virtuell DVD-läsare som operativsystemet uppfattar som riktig hårdvara behövs lågnivådrivrutiner. Användare beviljar normalt administratörsrättigheter under installationen utan att tveka.
Resultatet: när installationsfilen är komprometterad får skadlig kod automatiskt högsta möjliga rättigheter. Den kan etablera persistens via legitima Windowstjänster, vilket gör den ännu svårare att rensa bort. Det räcker inte alltid att bara avinstallera programmet.
Vad supply chain-attacker faktiskt betyder
Det här är inte ett isolerat fenomen. Liknande attacker har drabbat 3CX, SolarWinds och en lång rad mindre programvaror under senare år. Mönstret är detsamma: angriparen tar sig in hos en mjukvaruleverantör, smyger in skadlig kod i en legitim uppdatering, och låter leverantörens egen distributionsapparat sköta spridningen.
För dig som användare är det här problematiskt på ett djupare plan. De vanliga säkerhetsråden fungerar inte. ”Ladda bara ned från officiella källor”, det gjorde de drabbade. ”Kontrollera digitala signaturer”, signaturen var giltig. ”Använd antivirus”, antiviruset litade på den signerade filen.
I praktiken betyder det att du måste lägga till nya vanor:
- Vänta några dagar med att uppdatera mindre kritisk programvara. Tidiga adopters tar smällen om något är fel.
- Använd minsta möjliga programvara. Varje installerat program är en potentiell ingång.
- Separera kritiska konton från en dator där du installerar mycket. Banktjänster på en mer ”ren” enhet, lekprogram på en annan.
Alternativ till Daemon Tools
Om du ändå behöver montera ISO-filer finns det enklare vägar. Windows 10 och 11 har inbyggt stöd för att montera ISO, högerklicka på filen och välj ”Montera”. Det räcker för 90 procent av användningsfallen.
För BIN/CUE och andra format som Windows inte hanterar nativt finns öppen källkod-alternativ som WinCDEmu. Inte lika polerat men kontrollerbart, och utan kommersiellt incitament för angripare att smyga sig in.
Faktum är att de flesta som installerar Daemon Tools idag inte längre behöver det. Programmet kommer från en tid när fysiska skivor och image-filer var standard. För dig som inte aktivt arbetar med diskavbildningar, avinstallera och glöm bort det.
Hur AVB Disc Soft hanterar situationen
Kaspersky kontaktade utvecklaren AVB Disc Soft när attacken upptäcktes. Vid tidpunkten för publicering hade utvecklaren inte svarat. Det är inte ett bra tecken. När en supply chain-attack pågår behöver leverantören snabbt:
- Ta ned smittade filer från distributionen
- Återkalla komprometterade certifikat
- Informera användare offentligt
- Genomföra forensisk analys av sin egen infrastruktur
Tystnad från en utvecklare under pågående incident är ett rött flagg i sig. Om du är osäker på vilken version du har, kolla i ”Lägg till eller ta bort program” i Windows. Står det 12.5.0.2421 till 12.5.0.2434, behandla maskinen som potentiellt komprometterad.
Skyddslager som faktiskt hjälper
Det finns ingen helt vattentät metod mot supply chain-attacker, men du kan minska skadan om något skulle ta sig in:
Aktivera Windows Hello eller annan tvåfaktor på alla viktiga konton. Även om malware loggar tangenttryckningar räcker inte ett lösenord för att logga in på dina tjänster.
Ha unika lösenord för varje konto. En lösenordsgenerator tar några sekunder att använda och betyder att en kapad tjänst inte sprider sig till resten av ditt digitala liv.
Övervaka nätverkstrafik med ett enkelt verktyg som GlassWire om du är teknisk lagd. Backdoor-trafik mot okända servrar syns direkt.
Använd separata användarkonton i Windows för vardagsbruk respektive administratörsuppgifter. Det är besvärligt första veckan, men det stoppar de flesta attacker som kräver höga rättigheter.
För nätverksdelen, om du inte har koll på din router-konfiguration är det värt att läsa vår routerguide och stänga av portar du inte använder. En del backdoors försöker öppna inkommande anslutningar via UPnP, som ofta är aktiverat som standard.
Vill du fördjupa dig i hur säkerhetshål utnyttjas i praktiken kan du kika på vår genomgång av det aktiva cPanel-hålet, samma princip men ett annat angreppssätt.
Det här är inte sista gången
Supply chain-attacker mot enskilda programvaruleverantörer kommer öka. Skälet är enkelt: avkastningen för angriparen är hög. En lyckad infiltration ger åtkomst till tusentals datorer på en gång, och giltiga signaturer kringgår de flesta automatiska skydd.
För dig betyder det att du behöver bli mer skeptisk till ”officiella” källor. Inte paranoid, bara medveten. Officiell betyder inte säker. Signerad betyder inte ren. Populär betyder inte granskad.
Daemon Tools-incidenten är en påminnelse om att din säkerhet i sista hand vilar på dina egna vanor, inte på leverantörernas löften.
Sofia Lindgren ansvarar för redaktionens bevakning av IT-säkerhet och integritetsfrågor. Med sin journalistiska bakgrund följer hon dagligen utvecklingen inom cybersäkerhet, dataläckor och digital integritet. Hon skriver analyser om hur nya säkerhetshot påverkar användare och företag.