Achtung! CCleaner-Update verteilte Malware

Seit Jahren setzen viele Nutzer auf den CCleaner von Piriform. In vielen Jahren zu einem nützlichen Aufräum-Tool für Windows geworden. Die wurden mittlerweile vom Sicherheitsanbieter Avast gekauft. Doch dass man eine bekannte Sicherheitsfirma hinter sich hat, heißt heutzutage eben auch nicht mehr viel. Bei den Machern des CCleaners hat es richtig gerappelt und man verschickt derzeit eine Warnmeldung an Windows-Benutzer der 32-Bit-Version 5.33.6162 des CCleaners, aber auch Nutzer der Cloud-Lösung CCleaner Cloud in Version 1.07.3191 sind betroffen.

Was ist passiert? Am 12. September habe man eine verdächtige Aktivität von einer unbekannten IP-Adresse festgestellt. Aufgrund weiterer Analysen stellte man fest, dass die die eben genannten Versionen des CCleaners vor ihrer Veröffentlichung modifiziert wurden. Quasi das gleiche Spiel wie damals bei Handbrake: Eindringlinge machen sich auf dem Server zu schaffen, modifizieren die Software und liefern diese als schadhaftes Update aus. Mittlerweile, so sagt man, habe man das Problem aber beheben können. Dies hilft aber nun nicht den Nutzern, die vorher zum Opfer wurden.

Die technische Beschreibung der Macher? Eine nicht autorisierte Änderung der CCleaner.exe-Binärdatei führte zu einer zweistufigen Backdoor, der Code, der von einer entfernten IP-Adresse empfangen wurde, auf den betroffenen Systemen ausführen kann.

Heißt: Ein befallener Rechner war, sofern die Backdoor nicht von einer Sicherheitslösung erkannt wurde, mal richtig offen. Die Macher des CCleaners umschreiben nur vage, ob die Rechner der Kunden nun wirklich sicher sind, für mich liest es nicht so. So habe man die betroffene CCleaner-Version bei den Nutzern aktualisiert – und auch die schädlichen Server seien nicht mehr erreichbar. Nicht geklärt ist aber offenbar, was die Angreifer noch im Hintergrund alles gemacht haben als erst einmal Zugriff auf die Rechner bestand. Sollte jemand noch eine alte Version des CCleaners nutzen, so empfehlen die Macher die Aktualisierung. Und solltet ihr eine Sicherheitssoftware nutzen – zumindest ist bei Windows eine an Bord – so lasst die mal lieber dennoch durchlaufen – auch wenn die Echtzeitüberwachung eigentlich hätte anschlagen sollen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. was kauft avast eigentlich noch alles? die hatten sich ja vor kurzem ja erst avg geschnappt?

  2. Wer diese überflüssige Anwendung benutzt, muss halt bestraft werden 😉

  3. Und wofür braucht man den Krempel? Um den Papierkorb zu leeren? Selten ein Softwaregenre gesehen, das ähnlich verzichtbar ist wie „Aufräumtools“. Nur „Sicherheitssoftware“ kann das noch schlagen.

  4. @ tux,
    ja ja neee. Kommst jetzt gleich mit dem ausgelutschten brain.exe…?!

  5. @tux

    Die immer selbe Leier wenn es um Reinigungs- und Optimierungstools geht. Haste nichts gescheites zu sagen, dann lass es doch lieber gleich ganz.

  6. Danke für eure konstruktiven Diskussionsbeiträge, die diesen Kommentarbereich wirklich sehr voranbringen. Viel besser als der meine!

    Nö, brain.exe leert den Papierkorb auch nicht. Aber wenigstens verseucht es nicht den Rechner.

  7. Solche Programme erinnern mich immer an das alte „SoftRAM“ 😀
    https://de.wikipedia.org/wiki/SoftRAM

  8. Avast und Piriform. Da haben sich zwei Schlangenölanbieter gefunden. Beide Programme sind absolut nicht zu empfehlen.

  9. Hammer-Programm! Nach dem ersten Lauf hatte ich eine Performancesteigerung von 218% und der Rechner startet nun in 3,6 Sekunden.

  10. Wie sicher ist das, dass nur die 32 Bit Version betroffen ist?

    Bei mir kam das Update auch am 12., Und zwar 64 Bit. Und virustotal schlägt bei dieser Installations-exe ebenfalls Alarm.

  11. @Andreas: Kraaaaas. Ich glaub ich bügel mir das auch mal drauf. Das ist ja nicht von dieser Welt. 😀

  12. Wenn man nach einer frischen 32-Bit-Installation die CCCleaner-Version 5.34.6207 installiert: ist man dann von dem Vorfall auch betroffen?

    Kann da jemand was dazu sagen?

    Danke!

  13. Bei Chip heißt es übrigens:

    „Das große Problem war, dass CCleaner 5.33 mit dem gültigen Pirifom-Zertifikat signiert war und so für Nutzer keine Möglichkeit bestand, den Hack zu entdecken. Auch gängige Virenscanner haben nicht Alarm geschlagen. Eine Überprüfung bei VirusTotal ergab gerade mal einen einzigen Alarm bei 64 verwendeten Virenscannern.“

  14. Also wenn ihr mich fragt, betrifft das NICHT nur die 32 Bit Version, sondern auch 64!
    https://www.virustotal.com/#/file/1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff/detection

    Das ist die 5.33 – 64 Bit-Installer vom 12. September!

  15. @chris Schäm‘ Dich. SoftRAM fand ich immer total nützlich! Alle anderen haben für 4 MB-Riegel einen Haufen Geld bezahlt. Ich hatte auch so mehr Speicher! 🙂

  16. Für alle, die alt genug sind, um mit einem Internet aufgewachsen zu sein, dass nicht nur aus Social Media-Gedöns bestand, ist CCleaner ne feine Sache gewesen. Nutze es auch seit Jahr und Tag auf meinem Mac. Ich mag es einfach, wenn temporäre Dateien aus meinen Browsern gelöscht werden, obwohl manche Browser das von Haus aus versprechen (und nicht halten).

  17. Seit ich mir mit CCleaner vor ein paar Jahren mal vom feinsten die Registry zerschossen habe, verzichte ich lieber auf solche „Helferlein“.
    Eine Steigerung in der Performance wird es wahrscheinlich bei der heute aktuellen Hardware sowieso nicht mehr geben, man kann sich höchstens von Resten trennen, die bei einer Deinstallation nicht entfernt wurden.
    Aber dafür extra ein Tool installieren…

  18. @fakeram
    Nutze ich auch heute noch. SoftRAM gab’s ja nur für Windows aber das hier funktioniert auf allen Systemen: https://downloadmoreram.com

  19. @Konn: Zu unserer Zeit gab es noch gar keinen CCleaner.

  20. Der CCleaner ist die einzig mir bekannte Variante dieser Cleaner-Tools, die wirklich vernünftig funktioniert. In ettlichen Jahren hatte ich damit noch nie Probleme. Und oft hat auch die Säuberung der Registrierung, gerade bei älteren ungewarteten PCs z.B. bei Großeltern etc einiges gebracht oder geholfen, Fehler zumindest einzugrenzen. Das Tool ist definitiv NICHT so schlecht, wie der Ruf vom Rest dieser Branche.

    Dummerweise bin ich scheinbar betroffen, habe den Cleaner am 15.09. runtergeladen. Eigtl ist jetzt nur ein komplettes Neuaufsetzen des Systems sinnvoll. Schöner Mist! 😉

  21. Das Problem ist also erst am 12. September aufgefallen. Die Version 5.33 ist allerdings schon seit dem 15. oder 17. August auf deren Server als Download. Eine Menge Rechner kann man in dieser Zeit infizieren. Die Frage ist auch, ob nur die Installerversion oder auch die portable Version infiziert war.

    @tux
    Es soll auch Leute geben, die ihren Müll mangels Kenntnisse nicht gleich per script entsorgen und auch nicht das Interesse haben zu lernen, wo welcher Cache bzw. temp.Müll abgelegt wird. Bei der Ablage des Mülls beschränkt sich das ja auch nicht nur auf den Papierkorb – egal für welches Betriebssystem. Für die Leute mag so ein Tool ja ganz brauchbar sein (naja bis auf diesen Mit mit dem Bereinigen der Registry).

  22. @Patrick:
    “File Type:Win32 EXE“

  23. @kalle Gut gemachte Site! Am Ende dann RickRolling und leider der übliche YouTube-Hinweis wegen GEMA.

  24. @christian: Mal von der Systembereinigung gehört? Ganz ohne Extramalware aufm Rechner.

  25. Übrigens genial, dass Avast selbst den Schädling bei Virus Total noch nicht einmal erkennt 😀

  26. @viva

    Dann ist die Angabe fehlerhaft. Der Link stammt aus der Analyse der von mir aktualisierten Exe am 12.09. – und das ist – 100% – die 64bit Version.

  27. 64bit Version 5.336162 runtergeladen am 21.8. per virustotal überprüft:
    http://zoula.d.pr/8uwcY1
    Grosse Kacke!

  28. @tux: Du meinst wohl „Datenträgerbereinigung“. Systembereinigung ist wohl eher „format c:“
    Die Datenträgerbereinigung löscht allerdings nur die temporären Dateien von MS Produkten. Wenn Dir das reicht…

    @zanod: CCleaner legt bei jeder Registry-Reinungung (die praktisch nicht notwendig ist) ein Backup der Registry ab. Wäre also kein Problem gewesen.

  29. Bei mir wird CCleaner via Chocolatey aktualisiert, und ich frage mich, ob die Setup exe vom Chocolatey Server überhaupt kompromittiert war.

  30. Zum Glück aktualisiere ich das Programm nur alle paar Monate mal manuell. Hab deshalb derzeit noch 5.31 laufen.
    Aber ein vom Hersteller signiertes, verseuchtes Update, welches von so gut wie keinem Antivirus-Programm erkannt wird, sowas gibt einem schon zu denken….

  31. Vielen Dank für die Info hier. Selbst auf heise usw. habe ich bisher nichts davon gelesen!
    Für mich ist ccleaner damit erledigt: deinstalliert. Um dem Hersteller weiterhin vertrauen zu können, hätte es schon eine Big-Info auf deren Homepage benötigt. Nichts davon zu sehen. Nur im Blog / Infos. Wer liest sich das denn jedesmal durch?
    Traurig traurig 🙁

  32. Bringt denn eine Deinstallation überhaupt noch was, wenn sich der Virus/Trojaner am PC schon ausgebreitet hat!?

  33. @Prov94 Du sagst es-ich habe mein CCleaner seit xJahren nicht mehr aktualisiert.
    Warum auch ?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.