News

CCleaner 5.33 von Malware befallen

CCleaner 5.33 von Malware befallen
Ein Update auf Version 5.34 wird empfohlen

Der CCleaner, ein kostenloses Tool zum digitalen Aufräumen von Rechnern, ist nicht eben unbeliebt. Hersteller Piriform, seit diesem Jahr Tochter des Anbieters von Sicherheitssoftware Avast, warnte nun gestern (18. September 2017) in einem Blogbeitrag vor mit Malware verseuchten Versionen. Mittlerweile gibt es dazu auch einen Beitrag des Avast-Chefs und des Avast-Technik-Chefs.

Betroffen sind der CCleaner V5.33.6162 und die CCleaner Cloud Version 1.07.3191, die für 32-Bit-Systeme genutzt werden. Anwender der Cloud-Variante haben bereits ein automatisches Update erhalten, mit dem das Problem behoben wird. Darüber hinaus steht für übrige Nutzer die bereinigte Version 5.34 zum Download zur Verfügung.

Paul Yung, Vice President Products bei Piriform, führte gestern aus, man habe am 12. September 2017 eine verdächtige Aktivität beobachtet – eine unbekannte IP-Adresse empfing Daten von den benannten Programmversionen. In weiteren Nachforschungen wurde festgestellt, dass diese Versionen noch vor offizieller Veröffentlichung illegal modifiziert wurden. Daraufhin wurden zum einen sofort entsprechende Behörden eingeschaltet und zum anderen weitere Untersuchungen vorgenommen.

Diese ergaben, dass es Angreifern gelungen war, Änderungen vorzunehmen, die bewirkten, dass eine Malware mitinstalliert wurde. Diese sammelte unter anderem Daten: den Namen des befallenen Rechners, Listen installierter Programme, Windows-Updates und laufender Prozesse, die MAC-Adresse der ersten drei Netzwerk-Adapter, Informationen über Administratorrechte sowie darüber, ob es sich um ein 64-bit-System handelt.

Damit nicht genug, gab es wohl noch eine zweite Hintertür, die es den Angreifern möglich machte, weitere Schadsoftware nachzuladen. Dieses zweite Türchen wurde aber, so heißt es im Blog von Piriform, von den Angreifern nicht geöffnet, zumindest halte man dies aufgrund entsprechender Beobachtungen für „höchst unwahrscheinlich“.

Aktuell wolle man nicht darüber spekulieren, wie der Code in den CCleaner eingeschleust wurde, schreibt Yung. Auch nicht darüber, wer für die Attacke verantwortlich ist, woher sie kam und wie lange sie vorbereitet wurde – Untersuchungen hierzu würden fortgesetzt. Grundlegend sei die Gefahr jedoch gebannt, zumindest „nach unserem besten Wissen“, wie Yung ausführt. So sei der Server, an den die Daten übermittelt wurden, abgeschaltet, und auch andere Domains, die mit der Malware in Zusammenhang stehen, wurden der Kontrolle der Hacker entzogen.

In einem heute veröffentlichten Schreiben von Avast-Chef Vince Steckler und Technik-Chef Ondrej Vlcek wird nochmals der gesamte bisherige Ablauf ausführlich geschildert, gar mit genauer Zeitangabe und präziseren Angaben zu potenziellen Gefahren:

Avast sei am 12. September um 8:35 durch ein Unternehmen namens Morphisec auf das grundlegende Problem hingewiesen worden. Daraufhin habe man direkt gehandelt. So sei der von den Hackern eingerichtete Server in Zusammenarbeit mit den Behörden am Morgen des 15. September offline genommen worden. Parallel habe die Cisco-Sicherheitsfirma Talos übrige mit dem Schadcode in Verbindung stehende Domains unschädlich gemacht. Mit diesen beiden Aktionen habe man den Angreifern die Möglichkeit genommen, ihre Attacken auszuführen. Währenddessen wurde geprüft, ob frühere CCleaner-Versionen betroffen waren, und konnte dies ausschließen.

Weiterhin glaubt man von Avast-Seite nicht, dass es notwendig ist, Systeme neu aufzusetzen, auf denen befallene CCleaner-Versionen vor der Abschaltung des Servers installiert wurden. „Über 30 % der CCleaner-Nutzer verwenden auch Sicherheitssoftware von Avast“ – nach Analyse der damit von Avast einsehbaren Daten glaube man nicht, dass durch die Angreifer weitere Schadsoftware auf die Rechner geladen wurde.

Von den ursprünglich 2,27 Millionen betroffenen Nutzern verwenden dem Unternehmen zufolge jetzt noch 730.000 die Version 5.33.6162. Diesen wird nahegelegt, die aktuelle Variante des CCleaner zu installieren.

Weitere Informationen zu den technischen Details findet ihr im Blog von Piriform. Außerdem gibt es einen umfassenden Bericht der Cisco-Sicherheitsfirma Talos. Die aktuellen Ausführungen von Vince Steckler und Ondrej Vicek findet ihr hier.
  • Die betroffene Version des CCleaner mit der Versionsnummer 5.33.6162 wurde vom 15.8. bis 12.9. verteilt.
  • Am 15.9. wurde den Hackern die Möglichkeit genommen, Schadsoftware nachzuladen.
  • Nach Angaben von Avast ist es unwahrscheinlich, dass weitere Schadsoftware nachgeladen wurde.
  • Insofern empfiehlt Avast lediglich, die aktuelle Version zu installieren.
 
Euer Jens

Bildquelle Vorschau und Titel: Pixabay

Was sagst du dazu?

Teile deine Meinung oder Erfahrung mit anderen Mitgliedern und sichere dir jeweils 5 Punkte!

Weiter zu den Kommentaren

Ähnliche Artikel

Adobe-Updates für Photoshop, Lightroom und Co.

Adobe-Updates für Photoshop, Lightroom und Co.

Adobe hat Updates für die Anwendungen der Creative Cloud veröffentlicht. Werfen wir einen Blick auf die Neuerungen, die sich u. a. für...

Weiterlesen

Nik Collection 3 by DxO: Webinar zu den Neuerungen

Nik Collection 3 by DxO: Webinar zu den Neuerungen

In der ersten Juniwoche erschien Version 3 der Nik Collection by DxO. Welche Neuerungen euch erwarten und was sie euch bringen, könnt ihr...

Weiterlesen

Neues zu Luminar: Update 4.2, neues Buch und Video-Trainings

Neues zu Luminar: Update 4.2, neues Buch und Video-Trainings

Es gibt interessante Neuigkeiten zu Luminar. Heute wurde das neue Update 4.2 angekündigt und passend für den perfekten Einstieg in...

Weiterlesen

Kommentare
Achtung: Du kannst den Inhalt erst nach dem Login kommentieren.
Alternative Portrait
-versteckt-(Autor hat Seite verlassen)
  • 22.09.2017 - 21:12

Angeblich waren nur die Win 32bit Versionen betroffen, außerdem sollte das Nachladen vom Trojaner (Aktivierung der eigentlichen Malware) zeitlich recht schnell unterbunden worden sein durch Inaktivierung des Servers).
Abgesehen davon soll den Berichten nach der Trojaner selbst ein alter Bekannter sein und somit hätte eigentlich jede taugliche Schutzsoftware anspringen müssen.

Portrait von schmitzduisburg
  • 20.09.2017 - 16:33

Mein Rechner war auch davon betroffen. Das überspielen des neuen Updates reicht meiner Meinung nach nicht aus. Nach dem Überspielen wurde von einem anderen Programm auf meinem Rechner (Malwarebytes) noch Schadsoftware unter CCleaner gefunden und beseitigt. LG Norbert

Portrait von tynick
  • 21.09.2017 - 11:11

Bereits installierte Schadsoftware muss natürlich auch entfernt werden. Ein Update des CCleaners kann da nicht reichen. Es sei denn, es ist so gemeint, dass die Malware nach dem Update nicht mehr wirken kann. Das ist durchaus möglich, doch sollte die schädliche Software, in jedem Fall noch entfernt werden. Nach meiner Meinung, hast Du dafür, mit Malwarebytes genau die richtige Entscheidung getroffen!

x
×
×