Cyberkriminellen ist es gelungen, das CCleaner-Update noch vor dem Rollout mit Malware zu verseuchen. Dies wird nun zum Problem.
von Alexandra Lindner, fby 19.09.2017
Über ein Update der 32-Bit-Version (5.33.6162) des CCleaners wurde offenbar Malware verteilt. Davor warnt jetzt Piriform, die Entwicklerfirma hinter dem Säuberungs-Tool. Ausserdem soll auch die Cloud-Lösung in der Version 1.07.3191 betroffen sein. Vor wenigen Tagen hätten die Sicherheitsforscher von Cisco Talos eine verdächtige Aktivität einer unbekannten IP-Adresse festgestellt. Hackern war es vermutlich gelungen, das Update noch vor Veröffentlichung so zu manipulieren, dass damit Schad-Software auf die Rechner der Nutzer verteilt wurde.
Das Problem bestand laut den Entwicklern darin, dass vor der eigentlichen Anwendung ein bestimmter Code ausgeführt wurde. Dieser entschlüsselte und entpackte Hardcoded Shellcode mit einer Grösse von 10 KB. Dabei handelte es sich um eine XOR-basierte Chiffre. Damit konnte eine Dynamic Link Library (DLL) mit fehlendem MZ-Header geladen und in einem unabhängigen Thread im Hintergrund ausgeführt werden.
Sauberes Update wird derzeit verteilt
Inzwischen sei das Problem behoben und das Update wieder sauber, heisst es. Nutzer der schadhaften Version 5.33.6162 würden derzeit eine entsprechende Aktualisierung erhalten. Bei CCleaner-Cloud-Anwendern sei dies bereits automatisch geschehen.
CCleaner gehört seit einiger Zeit zum Security-Experten Avast und sei laut eigenen Aussagen rund zwei Milliarden Mal heruntergeladen worden. Damit ist es ein besonders beliebtes Ziel für Hacker, sagt Talos. Weiter heisst es, es sei nicht klar, wie viele Anwender von der Bedrohung betroffen wären. Laut Talos wird die Software jedoch rund fünf Millionen Mal pro Woche heruntergeladen.
Quelle: CCleaner-Update verteilt Malware
Beliebtes Freeware-Tool infiziert
CCleaner Malware-GAU: Was Sie jetzt wissen müssen
CCleaner wurde vorübergehend mit Malware verteilt. Wir erklären, welche Version betroffen ist, wie Sie eine mögliche Malware-Infektion erkennen und entfernen.
Die kostenlose Software CCleaner gehört für viele Nutzer zur Standardausstattung auf ihrem PC. Umso beunruhigender ist es da, dass das über zwei Milliarden Mal heruntergeladene Freeware-Tool nun mit der Malware Floxif kompromittiert wurde. Was Nutzer von CCleaner jetzt wissen müssen, fassen wir in dieser FAQ zum Malware-Vorfall zusammen.
Was ist passiert?
Hacker sind in die Download-Server von Avast eingedrungen, die den CCleaner-Entwickler Piriform im Juli übernommen haben. Den Angreifern gelang es dabei, mit Malware infizierte CCleaner-Installationsdateien auf dem Server zu platzieren. Dies blieb im Zeitraum vom 15. August bis 12. September unentdeckt. Avast schätzt, dass die Malware-verseuchten Dateien in dieser Zeit etwa 2,27 Millionen Mal heruntergeladen wurden.
Welche CCleaner-Version ist betroffen?
Betroffen sind die 32-Bit-Versionen CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191. Welche Version Sie installiert haben, zeigt Ihnen der geöffnete CCleaner oben links unter dem Titel und in den Optionen unter "Über" bzw. "About" an.
Wie erkenne ich, ob mein PC infiziert wurde?
Wie das Security-Blog Bleeping Computer erklärt, lässt sich eine Infektion durch die in CCleaner implementierte Floxif-Malware anhand eines Registry-Eintrags erkennen. Öffnen Sie dazu mit Ausführen (Windows-Taste + R) und dem Befehl "regedit" den Windows Registry Editor. Navigieren Sie dann zum Registry-Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo. Wenn dieser Eintrag existiert, ist der PC betroffen.
Hinweis: Wenn Sie CCleaner auf die sichere Version 5.34 updaten, bleibt der Registry-Eintrag "Agomo" erhalten. Die infizierten Dateien werden jedoch ersetzt.
Welche Gefahr geht von der Floxif-Malware aus?
Die mit CCleaner vorübergehend ausgelieferte Malware Floxif sammelt auf infizierten Rechnern Informationen über die PCs, installierte Software und die Netzwerkstruktur. Dazu dient Floxif als Backdoor und kann weitere Schadsoftware auf infizierte Computer laden. Piriform geht jedoch aktuell nicht davon aus, dass diese Funktion genutzt wurde.
Wie entfernt man die CCleaner Malware Floxif?
Um Floxif zu entfernen, sollen Sie CCleaner einfach auf die sichere Version 5.34 updaten. Diese finden Sie u.a. in unserem Download-Portal: CCleaner - Download.
Nutzer von CCleaner Cloud erhalten das Update automatisch. Hier hat die sichere Version die Nummer 1.07.3214.
Quelle: CCleaner Malware-GAU: Was Sie jetzt wissen müssen - PC Magazin