Achtung! CCleaner-Update verteilte Malware
von caschy | 34 Kommentare
Seit Jahren setzen viele Nutzer auf den CCleaner von Piriform. In vielen Jahren zu einem nützlichen Aufräum-Tool für Windows geworden. Die wurden mittlerweile vom Sicherheitsanbieter Avast gekauft. Doch dass man eine bekannte Sicherheitsfirma hinter sich hat, heißt heutzutage eben auch nicht mehr viel. Bei den Machern des CCleaners hat es richtig gerappelt und man verschickt derzeit eine Warnmeldung an Windows-Benutzer der 32-Bit-Version 5.33.6162 des CCleaners, aber auch Nutzer der Cloud-Lösung CCleaner Cloud in Version 1.07.3191 sind betroffen.
Was ist passiert? Am 12. September habe man eine verdächtige Aktivität von einer unbekannten IP-Adresse festgestellt. Aufgrund weiterer Analysen stellte man fest, dass die die eben genannten Versionen des CCleaners vor ihrer Veröffentlichung modifiziert wurden. Quasi das gleiche Spiel wie damals bei Handbrake: Eindringlinge machen sich auf dem Server zu schaffen, modifizieren die Software und liefern diese als schadhaftes Update aus. Mittlerweile, so sagt man, habe man das Problem aber beheben können. Dies hilft aber nun nicht den Nutzern, die vorher zum Opfer wurden.
Die technische Beschreibung der Macher? Eine nicht autorisierte Änderung der CCleaner.exe-Binärdatei führte zu einer zweistufigen Backdoor, der Code, der von einer entfernten IP-Adresse empfangen wurde, auf den betroffenen Systemen ausführen kann.
Heißt: Ein befallener Rechner war, sofern die Backdoor nicht von einer Sicherheitslösung erkannt wurde, mal richtig offen. Die Macher des CCleaners umschreiben nur vage, ob die Rechner der Kunden nun wirklich sicher sind, für mich liest es nicht so. So habe man die betroffene CCleaner-Version bei den Nutzern aktualisiert – und auch die schädlichen Server seien nicht mehr erreichbar. Nicht geklärt ist aber offenbar, was die Angreifer noch im Hintergrund alles gemacht haben als erst einmal Zugriff auf die Rechner bestand. Sollte jemand noch eine alte Version des CCleaners nutzen, so empfehlen die Macher die Aktualisierung. Und solltet ihr eine Sicherheitssoftware nutzen – zumindest ist bei Windows eine an Bord – so lasst die mal lieber dennoch durchlaufen – auch wenn die Echtzeitüberwachung eigentlich hätte anschlagen sollen.
Wird geladen ...
Das Problem ist also erst am 12. September aufgefallen. Die Version 5.33 ist allerdings schon seit dem 15. oder 17. August auf deren Server als Download. Eine Menge Rechner kann man in dieser Zeit infizieren. Die Frage ist auch, ob nur die Installerversion oder auch die portable Version infiziert war.
@tux
Es soll auch Leute geben, die ihren Müll mangels Kenntnisse nicht gleich per script entsorgen und auch nicht das Interesse haben zu lernen, wo welcher Cache bzw. temp.Müll abgelegt wird. Bei der Ablage des Mülls beschränkt sich das ja auch nicht nur auf den Papierkorb – egal für welches Betriebssystem. Für die Leute mag so ein Tool ja ganz brauchbar sein (naja bis auf diesen Mit mit dem Bereinigen der Registry).
@Patrick:
“File Type:Win32 EXE“
@kalle Gut gemachte Site! Am Ende dann RickRolling und leider der übliche YouTube-Hinweis wegen GEMA.
@christian: Mal von der Systembereinigung gehört? Ganz ohne Extramalware aufm Rechner.
Übrigens genial, dass Avast selbst den Schädling bei Virus Total noch nicht einmal erkennt 😀
@viva
Dann ist die Angabe fehlerhaft. Der Link stammt aus der Analyse der von mir aktualisierten Exe am 12.09. – und das ist – 100% – die 64bit Version.
64bit Version 5.336162 runtergeladen am 21.8. per virustotal überprüft:
http://zoula.d.pr/8uwcY1
Grosse Kacke!
@tux: Du meinst wohl „Datenträgerbereinigung“. Systembereinigung ist wohl eher „format c:“
Die Datenträgerbereinigung löscht allerdings nur die temporären Dateien von MS Produkten. Wenn Dir das reicht…
@zanod: CCleaner legt bei jeder Registry-Reinungung (die praktisch nicht notwendig ist) ein Backup der Registry ab. Wäre also kein Problem gewesen.
Bei mir wird CCleaner via Chocolatey aktualisiert, und ich frage mich, ob die Setup exe vom Chocolatey Server überhaupt kompromittiert war.
Zum Glück aktualisiere ich das Programm nur alle paar Monate mal manuell. Hab deshalb derzeit noch 5.31 laufen.
Aber ein vom Hersteller signiertes, verseuchtes Update, welches von so gut wie keinem Antivirus-Programm erkannt wird, sowas gibt einem schon zu denken….
Habe gerade Test mit:
ccsetup532.exe
https://www.virustotal.com/#/file/5efe445a696914b968f763b5830a62365d95e45052c35a96e05794bc7a7a2964/detection
und
ccsetup534.exe gemacht
https://www.virustotal.com/#/file/cbc2f423d035cf315ac724e61287420013c517cf3d95dbdfa673179436184e64/detection
Manchmal doch praktisch wenn nicht alles sofort aktualisiert wird 😉
Vielen Dank für die Info hier. Selbst auf heise usw. habe ich bisher nichts davon gelesen!
Für mich ist ccleaner damit erledigt: deinstalliert. Um dem Hersteller weiterhin vertrauen zu können, hätte es schon eine Big-Info auf deren Homepage benötigt. Nichts davon zu sehen. Nur im Blog / Infos. Wer liest sich das denn jedesmal durch?
Traurig traurig 🙁
Bringt denn eine Deinstallation überhaupt noch was, wenn sich der Virus/Trojaner am PC schon ausgebreitet hat!?
@Prov94 Du sagst es-ich habe mein CCleaner seit xJahren nicht mehr aktualisiert.
Warum auch ?!