Achtung! CCleaner-Update verteilte Malware

Seit Jahren setzen viele Nutzer auf den CCleaner von Piriform. In vielen Jahren zu einem nützlichen Aufräum-Tool für Windows geworden. Die wurden mittlerweile vom Sicherheitsanbieter Avast gekauft. Doch dass man eine bekannte Sicherheitsfirma hinter sich hat, heißt heutzutage eben auch nicht mehr viel. Bei den Machern des CCleaners hat es richtig gerappelt und man verschickt derzeit eine Warnmeldung an Windows-Benutzer der 32-Bit-Version 5.33.6162 des CCleaners, aber auch Nutzer der Cloud-Lösung CCleaner Cloud in Version 1.07.3191 sind betroffen.

Was ist passiert? Am 12. September habe man eine verdächtige Aktivität von einer unbekannten IP-Adresse festgestellt. Aufgrund weiterer Analysen stellte man fest, dass die die eben genannten Versionen des CCleaners vor ihrer Veröffentlichung modifiziert wurden. Quasi das gleiche Spiel wie damals bei Handbrake: Eindringlinge machen sich auf dem Server zu schaffen, modifizieren die Software und liefern diese als schadhaftes Update aus. Mittlerweile, so sagt man, habe man das Problem aber beheben können. Dies hilft aber nun nicht den Nutzern, die vorher zum Opfer wurden.

Die technische Beschreibung der Macher? Eine nicht autorisierte Änderung der CCleaner.exe-Binärdatei führte zu einer zweistufigen Backdoor, der Code, der von einer entfernten IP-Adresse empfangen wurde, auf den betroffenen Systemen ausführen kann.

Heißt: Ein befallener Rechner war, sofern die Backdoor nicht von einer Sicherheitslösung erkannt wurde, mal richtig offen. Die Macher des CCleaners umschreiben nur vage, ob die Rechner der Kunden nun wirklich sicher sind, für mich liest es nicht so. So habe man die betroffene CCleaner-Version bei den Nutzern aktualisiert – und auch die schädlichen Server seien nicht mehr erreichbar. Nicht geklärt ist aber offenbar, was die Angreifer noch im Hintergrund alles gemacht haben als erst einmal Zugriff auf die Rechner bestand. Sollte jemand noch eine alte Version des CCleaners nutzen, so empfehlen die Macher die Aktualisierung. Und solltet ihr eine Sicherheitssoftware nutzen – zumindest ist bei Windows eine an Bord – so lasst die mal lieber dennoch durchlaufen – auch wenn die Echtzeitüberwachung eigentlich hätte anschlagen sollen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. Das Problem ist also erst am 12. September aufgefallen. Die Version 5.33 ist allerdings schon seit dem 15. oder 17. August auf deren Server als Download. Eine Menge Rechner kann man in dieser Zeit infizieren. Die Frage ist auch, ob nur die Installerversion oder auch die portable Version infiziert war.

    @tux
    Es soll auch Leute geben, die ihren Müll mangels Kenntnisse nicht gleich per script entsorgen und auch nicht das Interesse haben zu lernen, wo welcher Cache bzw. temp.Müll abgelegt wird. Bei der Ablage des Mülls beschränkt sich das ja auch nicht nur auf den Papierkorb – egal für welches Betriebssystem. Für die Leute mag so ein Tool ja ganz brauchbar sein (naja bis auf diesen Mit mit dem Bereinigen der Registry).

  2. @Patrick:
    “File Type:Win32 EXE“

  3. @kalle Gut gemachte Site! Am Ende dann RickRolling und leider der übliche YouTube-Hinweis wegen GEMA.

  4. @christian: Mal von der Systembereinigung gehört? Ganz ohne Extramalware aufm Rechner.

  5. Übrigens genial, dass Avast selbst den Schädling bei Virus Total noch nicht einmal erkennt 😀

  6. @viva

    Dann ist die Angabe fehlerhaft. Der Link stammt aus der Analyse der von mir aktualisierten Exe am 12.09. – und das ist – 100% – die 64bit Version.

  7. 64bit Version 5.336162 runtergeladen am 21.8. per virustotal überprüft:
    http://zoula.d.pr/8uwcY1
    Grosse Kacke!

  8. @tux: Du meinst wohl „Datenträgerbereinigung“. Systembereinigung ist wohl eher „format c:“
    Die Datenträgerbereinigung löscht allerdings nur die temporären Dateien von MS Produkten. Wenn Dir das reicht…

    @zanod: CCleaner legt bei jeder Registry-Reinungung (die praktisch nicht notwendig ist) ein Backup der Registry ab. Wäre also kein Problem gewesen.

  9. Bei mir wird CCleaner via Chocolatey aktualisiert, und ich frage mich, ob die Setup exe vom Chocolatey Server überhaupt kompromittiert war.

  10. Zum Glück aktualisiere ich das Programm nur alle paar Monate mal manuell. Hab deshalb derzeit noch 5.31 laufen.
    Aber ein vom Hersteller signiertes, verseuchtes Update, welches von so gut wie keinem Antivirus-Programm erkannt wird, sowas gibt einem schon zu denken….

  11. Vielen Dank für die Info hier. Selbst auf heise usw. habe ich bisher nichts davon gelesen!
    Für mich ist ccleaner damit erledigt: deinstalliert. Um dem Hersteller weiterhin vertrauen zu können, hätte es schon eine Big-Info auf deren Homepage benötigt. Nichts davon zu sehen. Nur im Blog / Infos. Wer liest sich das denn jedesmal durch?
    Traurig traurig 🙁

  12. Bringt denn eine Deinstallation überhaupt noch was, wenn sich der Virus/Trojaner am PC schon ausgebreitet hat!?

  13. @Prov94 Du sagst es-ich habe mein CCleaner seit xJahren nicht mehr aktualisiert.
    Warum auch ?!

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.