CCleaner-Update verteilt Malware

  • Allgemein
  • CCleaner-Update verteilt Malware

    CCleaner-Update verteilt Malware
    Cyberkriminellen ist es gelungen, das CCleaner-Update noch vor dem Rollout mit Malware zu verseuchen. Dies wird nun zum Problem.
    von Alexandra Lindner, fby 19.09.2017

    Über ein Update der 32-Bit-Version (5.33.6162) des CCleaners wurde offenbar Malware verteilt. Davor warnt jetzt Piriform, die Entwicklerfirma hinter dem Säuberungs-Tool. Ausserdem soll auch die Cloud-Lösung in der Version 1.07.3191 betroffen sein. Vor wenigen Tagen hätten die Sicherheitsforscher von Cisco Talos eine verdächtige Aktivität einer unbekannten IP-Adresse festgestellt. Hackern war es vermutlich gelungen, das Update noch vor Veröffentlichung so zu manipulieren, dass damit Schad-Software auf die Rechner der Nutzer verteilt wurde.
    Das Problem bestand laut den Entwicklern darin, dass vor der eigentlichen Anwendung ein bestimmter Code ausgeführt wurde. Dieser entschlüsselte und entpackte Hardcoded Shellcode mit einer Grösse von 10 KB. Dabei handelte es sich um eine XOR-basierte Chiffre. Damit konnte eine Dynamic Link Library (DLL) mit fehlendem MZ-Header geladen und in einem unabhängigen Thread im Hintergrund ausgeführt werden.

    Sauberes Update wird derzeit verteilt

    Inzwischen sei das Problem behoben und das Update wieder sauber, heisst es. Nutzer der schadhaften Version 5.33.6162 würden derzeit eine entsprechende Aktualisierung erhalten. Bei CCleaner-Cloud-Anwendern sei dies bereits automatisch geschehen.
    CCleaner gehört seit einiger Zeit zum Security-Experten Avast und sei laut eigenen Aussagen rund zwei Milliarden Mal heruntergeladen worden. Damit ist es ein besonders beliebtes Ziel für Hacker, sagt Talos. Weiter heisst es, es sei nicht klar, wie viele Anwender von der Bedrohung betroffen wären. Laut Talos wird die Software jedoch rund fünf Millionen Mal pro Woche heruntergeladen.

    Quelle: CCleaner-Update verteilt Malware



    Beliebtes Freeware-Tool infiziert
    CCleaner Malware-GAU: Was Sie jetzt wissen müssen
    CCleaner wurde vorübergehend mit Malware verteilt. Wir erklären, welche Version betroffen ist, wie Sie eine mögliche Malware-Infektion erkennen und entfernen.

    Die kostenlose Software CCleaner gehört für viele Nutzer zur Standardausstattung auf ihrem PC. Umso beunruhigender ist es da, dass das über zwei Milliarden Mal heruntergeladene Freeware-Tool nun mit der Malware Floxif kompromittiert wurde. Was Nutzer von CCleaner jetzt wissen müssen, fassen wir in dieser FAQ zum Malware-Vorfall zusammen.

    Was ist passiert?

    Hacker sind in die Download-Server von Avast eingedrungen, die den CCleaner-Entwickler Piriform im Juli übernommen haben. Den Angreifern gelang es dabei, mit Malware infizierte CCleaner-Installationsdateien auf dem Server zu platzieren. Dies blieb im Zeitraum vom 15. August bis 12. September unentdeckt. Avast schätzt, dass die Malware-verseuchten Dateien in dieser Zeit etwa 2,27 Millionen Mal heruntergeladen wurden.

    Welche CCleaner-Version ist betroffen?

    Betroffen sind die 32-Bit-Versionen CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191. Welche Version Sie installiert haben, zeigt Ihnen der geöffnete CCleaner oben links unter dem Titel und in den Optionen unter "Über" bzw. "About" an.

    Wie erkenne ich, ob mein PC infiziert wurde?

    Wie das Security-Blog Bleeping Computer erklärt, lässt sich eine Infektion durch die in CCleaner implementierte Floxif-Malware anhand eines Registry-Eintrags erkennen. Öffnen Sie dazu mit Ausführen (Windows-Taste + R) und dem Befehl "regedit" den Windows Registry Editor. Navigieren Sie dann zum Registry-Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\Agomo. Wenn dieser Eintrag existiert, ist der PC betroffen.
    Hinweis: Wenn Sie CCleaner auf die sichere Version 5.34 updaten, bleibt der Registry-Eintrag "Agomo" erhalten. Die infizierten Dateien werden jedoch ersetzt.

    Welche Gefahr geht von der Floxif-Malware aus?

    Die mit CCleaner vorübergehend ausgelieferte Malware Floxif sammelt auf infizierten Rechnern Informationen über die PCs, installierte Software und die Netzwerkstruktur. Dazu dient Floxif als Backdoor und kann weitere Schadsoftware auf infizierte Computer laden. Piriform geht jedoch aktuell nicht davon aus, dass diese Funktion genutzt wurde.

    Wie entfernt man die CCleaner Malware Floxif?

    Um Floxif zu entfernen, sollen Sie CCleaner einfach auf die sichere Version 5.34 updaten. Diese finden Sie u.a. in unserem Download-Portal: CCleaner - Download.
    Nutzer von CCleaner Cloud erhalten das Update automatisch. Hier hat die sichere Version die Nummer 1.07.3214.

    Quelle: CCleaner Malware-GAU: Was Sie jetzt wissen müssen - PC Magazin
  • Malware auf Server
    CCleaner-Malware: Avast gibt weitere Details bekannt
    Hacker infizierten die Server - auf denen CCleaner gespeichert ist - mit einer Malware. Jetzt bezieht Avast Stellung und spricht über die Bedrohung.

    Seit wenigen Tagen sorgt eine Malware, die sich mit dem Download von CCleaner auf Computer-Systemen einnistete, für Ärger. Hacker installierten auf den Avast-Servern, von denen Kunden den CCleaner herunterladen, eine Malware. Beim Download von CCleaner importierten die Nutzer dann unwissentlich das Schadprogramm.

    Weil zu der Malware-Infektion viele Gerüchte kursieren, stellt Avast die Geschehnisse in einem Blog-Eintrag nochmals klar dar. Von der Malware betroffen waren die 32-Bit-Versionen CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191. Es gelang Avast, die Server herunterzufahren, noch bevor Hacker Schaden auf den Rechnern der Kunden verursachen konnten.

    Insgesamt verwendeten 2,27 Millionen Nutzer die infizierte Version des CCleaner. Durch automatische Updates, die Piriform durchführte, konnten die meisten Benutzer auf die sichere Version 5.34 CCleaner geupdatet werden. Allerdings verwenden laut Avast immer noch 730.000 Benutzer die veraltete Version des kostenlosen CCleaner, der mit der Malware infiziert ist.

    Aktuell geht von Version 5.33 zwar keine Gefahr mehr aus, doch sollten und müssten Nutzer die kostenlose Version des CCleaner selbst aktualisieren, da sie keine Auto-Update-Funktion enthält. Der Virus war vermutlich seit dem 15. August aktiv und wurde am 12. September von der Sicherheitsfirma Morphisec entdeckt. Avast reagierte und konnte die Malware bereits am 15. September unschädlich machen. Weitere Infos erhalten Sie in unserem Artikel "CCleaner: Was Sie jetzt wissen müssen".

    20.9.2017 von Alina Braun


    Quelle: CCleaner-Malware: Avast gibt weitere Details bekannt - PC Magazin



    Malware auf Avast-Server
    CCleaner-GAU: Update reicht nicht, Tech-Unternehmen im Visier
    Der CCleaner-GAU geht weiter: Die verteilte Malware soll Tech-Unternehmen ausspionieren. Zudem reicht ein Update als Schutz doch nicht mehr aus.

    Die CCleaner-Affäre hält die Technik-Welt weiter in Atem. Neuen Untersuchungen zufolge reicht das Update auf die aktuelle Version nicht aus, um die Malware loszuwerden. Hackern war es gelungen, eine Malware an die Installer-Datei von CCleaner 5.33 anzubringen, die ahnungslose Kunden dann herunterluden. Nach neuesten Erkenntnissen waren aber nicht private, sondern vor allem Firmenkunden das Ziel.

    Das Sicherheitsunternehmen Cisco untersuchte eine Backdoor, die sie im anipulierten CCleaner-Installer feststellten. Während den Untersuchungen entdeckte Cisco eine Liste, die ausschließlich Unternehmens-Adressen wie Samsung, Sony und Intel auflistet. Auf die Systeme ebendieser Adressen lud die mit CCleaner eingeschleuste Malware nach der Installation noch nachträglich Schadcodes herunter. Das Anvisieren von solch hochkarätigen Firmen spricht für einen Angreifer, der es speziell auf Informationen aus dem Technik-Bereich abgesehen hat.

    Andernfalls wären auch Adressen von privaten Nutzern in der Liste aufgetaucht. Einen Beweis, dass Schadcode auch auf Heimrechner nachgeladen wurde, fehlt bislang. Vermutlich sind deshalb auch Privat-Haushalte nicht das Ziel der Malware und vor dem Angriff sicher. Nichtsdestotrotz ist die Malware immer noch auf den Rechnern einiger Haushalte installiert, auch wenn Sie das neueste Update von CCleaner haben.

    Denn Avast ruderte jetzt zurück: Anders als vergangene Woche noch behauptet, reicht es nicht einfach nur CCleaner zu aktualisieren, um die Malware endgültig loszuwerden. Zwar richtet sie keinen Schaden an, doch sitzt die Malware noch im System. Bereits infizierte Rechner setzen Sie am besten zurück und wählen im Menü "Eigene Daten beibehalten", nachdem Sie CCleaner vom Rechner deinstalliert haben. Wie genau sie dabei vorgehen lesen Sie unter Tipp 5: Windows zurücksetzten.

    Von der Malware war lediglich CCleaner Version 5.33.6162 von CCleaner und Version 1.07.3191 von CCleaner Cloud betroffen. Zudem attackierte der Angreifer ausschließlich 32-Bit Systeme, die mit Windows laufen. Inzwischen aktualisierte Piriform seinen CCleaner auf die sichere Version 5.35. Die Versionsnummer finden Sie, wenn sie CCleaner starten, links oben neben dem CCleaner-Logo.

    22.9.2017 von Alina Braun

    Quelle: CCleaner-GAU: Update reicht nicht, Tech-Unternehmen im Visier - PC Magazin


    Malware-Attacke
    CCleaner-Hack: Neue Hinweise auf Angreifer und Ziele
    Avast nennt neue Details zum CCleaner-Hack: 25 Firmen wurden gezielt angegriffen - auch eine aus Deutschland. Die Malware soll aus Asien kommen.


    Nach und nach kommen neue Details zur Hackerattacke auf das beliebte System-Tool CCleaner ans Tageslicht. Nachdem Avast bereits zuvor erklärt hatte, dass die verteilte Malware nicht auf Otto-Normal-Nutzer sondern ausgewählte Firmennetzwerke abzielte, gibt es hierzu nähere Informationen. Denn eine Analyse des Backups des Command-and-Control-Servers (CnC) der Hacker konnte entnommen werden, welche Unternehmen wirklich attackiert wurden.

    Demnach wurde die infizierte CCleaner-Version, die weltweit 2,27 Millionen Mal installiert wurde, nur in 40 Fällen benutzt, um über die Backdoor-Funktionalität weiteren Schadcode auf PCs nachzuladen. Wie Avast in einem aktuellen Blogpost aufzählt, waren die Ziele dabei Rechner von Firmen wie Samsung, Asus, Fujitsu, Sony, O2, Cisco, Intel und Vmware. Auch ein PC im Netzwerk des deutschen Spielautomaten-Herstellers Gauselmann wurde infiziert. Avast hat alle Opfer informiert und mit Hintergrundinformationen zu den Angriffen versorgt.

    Insgesamt wurden laut den Log-Analysen auf dem CnC-Server 5.686.677 Verbindungen aufgebaut, über die mit 1.646.536 Rechnern kommuniziert wurde. Aus diesem Pool griffen die Angreifer dann prominente Firmen heraus, um dort gezielte Attacken zu starten.

    Hinweise auf Vollzeit-Hacker aus Asien

    Doch woher kamen die Angreifer? Avast hatte Hinweise auf einen Ursprung der CCleaner-Attacke in China gefunden. Die Analyse des CnC-Servers verdichtet nun die Hypothese, dass die Hacker aus dem asiatischen Raum kommen könnten. Denn die Angreifer verbanden sich zu gängigen Bürostunden der Zeitzonen UTC +4 und UTC +5 mit dem CnC-Server. Dass an Samstagen und Sonntagen deutlich weniger Traffic zum CnC-Server stattfand, spricht gegen ein Ursprung in einem arabischen Land.

    Avast vermutet die Angreifer daher in Russland, dem östlichen Mittleren Osten, Zentralasien oder Indien. Für Russland, China und Indien spricht auch, dass keine Firma aus diesen Ländern attackiert wurde. Avast verspricht eine weitere Untersuchung des Vorfalls. Ob die Hacker schlussendlich aufgespürt werden können, bleibt jedoch unsicher.

    26.9.2017 von Manuel Medicus

    Quelle: CCleaner-Hack: Neue Hinweise auf Angreifer und Ziele - PC Magazin

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von HotPi () aus folgendem Grund: Erweitert um "CCleaner-GAU: Update reicht nicht, Tech-Unternehmen im Visier" weiteres Update: "CCleaner-Hack: Neue Hinweise auf Angreifer und Ziele"