Firmenlink

 

CCleaner-Update verteilt Malware

Cyberkriminellen ist es gelungen, das CCleaner-Update noch vor dem Rollout mit Malware zu verseuchen. Dies wird nun zum Problem.

von Alexandra Lindner, fby 19.09.2017

Über ein Update der 32-Bit-Version (5.33.6162) des CCleaners wurde offenbar Malware verteilt. Davor warnt jetzt Piriform, die Entwicklerfirma hinter dem Säuberungs-Tool. Ausserdem soll auch die Cloud-Lösung in der Version 1.07.3191 betroffen sein. Vor wenigen Tagen hätten die Sicherheitsforscher von Cisco Talos eine verdächtige Aktivität einer unbekannten IP-Adresse festgestellt. Hackern war es vermutlich gelungen, das Update noch vor Veröffentlichung so zu manipulieren, dass damit Schad-Software auf die Rechner der Nutzer verteilt wurde.

Das Problem bestand laut den Entwicklern darin, dass vor der eigentlichen Anwendung ein bestimmter Code ausgeführt wurde. Dieser entschlüsselte und entpackte Hardcoded Shellcode mit einer Grösse von 10 KB. Dabei handelte es sich um eine XOR-basierte Chiffre. Damit konnte eine Dynamic Link Library (DLL) mit fehlendem MZ-Header geladen und in einem unabhängigen Thread im Hintergrund ausgeführt werden.

Sauberes Update wird derzeit verteilt

Inzwischen sei das Problem behoben und das Update wieder sauber, heisst es. Nutzer der schadhaften Version 5.33.6162 würden derzeit eine entsprechende Aktualisierung erhalten. Bei CCleaner-Cloud-Anwendern sei dies bereits automatisch geschehen.

CCleaner gehört seit einiger Zeit zum Security-Experten Avast und sei laut eigenen Aussagen rund zwei Milliarden Mal heruntergeladen worden. Damit ist es ein besonders beliebtes Ziel für Hacker, sagt Talos. Weiter heisst es, es sei nicht klar, wie viele Anwender von der Bedrohung betroffen wären. Laut Talos wird die Software jedoch rund fünf Millionen Mal pro Woche heruntergeladen.


    Kommentare

    • froeschli 19.09.2017, 16.18 Uhr

      Wie erkennt man auf einfache Weise, ob man nun infiziert ist? Wenn ich meiner Schwiegermutter nur diesen Artikel weiterleite kriegt sie gleich Panik ;).

    • hanswurst1 19.09.2017, 17.00 Uhr

      Wie erkennt man auf einfache Weise, ob man nun infiziert ist? Wenn ich meiner Schwiegermutter nur diesen Artikel weiterleite kriegt sie gleich Panik ;). Pirisoft scheint sich sehr viel Mühe gegeben zu haben, bloss nirgens sha oder md5 prüfsummen den Betroffenen Files zu posten. HIer gibts zumindestes eine Anleitung, wie man nachschauen kann, ob die malware jemals aktiv war: https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/ [...]

    • Gaby Salvisberg 19.09.2017, 17.06 Uhr

      (Dazu, das ich sowas hier posten muss, weils PCtipp nicht im Artikel schreiben konnte, verkneif' ich mir jetzt einen Kommentar, sonst holt Gabi gleich den Bannhammer raus ;)) Es wären eher solche Zündeleien, die mich dies erwägen lassen. Ich finde auch, es hätte dem Artikel gut getan, wenn das gleich drin gestanden hätte. Gruss Gaby

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.