2299751

Panne: Malware in CCleaner-Update versteckt

19.09.2017 | 09:51 Uhr |

Malware-Alarm! Nutzer des beliebten Festplatten-Putzers CCleaner sollten ihr Programm schnellstens auf Version 5.34 aktualisieren! Update: 19.9.!

(Update, 19.9.: Wir haben dem Artikel weitere Infos hinzugefügt) // Hacker hatten sich am 12. September Zugriff zu den Servern des beliebten Entrümpelungsprogramms CCleaner verschafft und Manipulationen an der Software vorgenommen. Betroffen waren laut Hersteller Piriform die beiden 32-Bit-Versionen 5.33.6162 des CCleaner sowie 1.07.3191 der CCleaner Cloud. Neben einer eingehenden Prüfung habe man auch die Strafverfolgungsbehörden informiert. Die manipulierte Version des CCleaner wurde vom Server entfernt. Zudem werden alle Nutzer dazu aufgerufen, ihr Programm auf die neueste Version 5.34 zu aktualisieren.

Gleichzeitig macht Piriform Angaben zur Funktionsweise der veränderten Dateien : Ein Code in der Datei CCleaner.exe hätte Hackern eine Hintertür zum Nachladen weiterer Programmbestandteile geöffnet. Woher der Code stammen könnte, sei jedoch noch nicht geklärt. Wie er auf die Server gelangt ist, konnte auch noch nicht nachvollzogen werden. Piriform entschuldigt sich jedoch bei seinen Nutzern. Durch Veränderungen bei der Sicherheit sollen derartige Vorfälle künftig verhindert werden. Welche konkrete Gefahr mit den veränderten Dateien verbunden sein könnte, bleibt aber weiterhin unklar. 

Die Malware in CCleaner 5.33 und CCleaner Cloud 1.07.3191 war von den Sicherheitsexperten von Cisco Talos entdeckt worden. Und dies eher zufällig. Peinlich ist der Vorfall für das Sicherheitsunternehmen Avast, welches CCleaner verbreitet. Der Download von Version 5.33 war laut Cisco Talos auch von Avast signiert worden. Cisco Talos informierte am 13. September Avast von dem Fund und es wurden dann sofort entsprechende Maßnahmen von Avast ergriffen, um die Verbreitung der betreffenden CCleaner-Versionen zu stoppen.

Betroffen war auch nur die 32-Bit-Version von CCleaner 5.33, deren Installationsroutine einen sogenannten "malicious payload" enthielt. Die Version war am 15. August 2017 erschienen und enthielt bereits den besagten schädlichen Code. Am 12. September 2017 wurde dann CCleaner 5.34 veröffentlicht, der den Code nicht mehr enthielt.

Der "malicious payload" enthielt einen Domain Generation Algorithm und eine Command-and-Control-Funktionalität, so Cisco Talos. Den Angreifern scheint es also irgendwie gelungen zu sein, eine Entwicklerversion von CCleaner zu kapern. Ziel war es offenbar, mit der Malware Kunden-Daten zu stehlen. Der schädliche Code war aber nicht aktiv, so dass auch keine persönlichen Informationen der CCleaner-Nutzer gestohlen wurden.

Die Entwickler haben auch den Server vom Netz nehmen lassen, der durch die "Command & Control"-Funktionalität kontaktiert werden sollte. Außerdem wurden weitere Maßnahmen ergriffen, um die Angreifer auszusperren. Auch wenn keine Gefahr droht: Alle Nutzer werden aufgefordert, zur neuen Version CCleaner 5.34 zu wechseln. Cisco Talos empfiehlt allen Anwender, die CCleaner 5.33 installiert hatten, ihren PC per Backup auf einen Zustand vor dem 15. August 2017 zu bringen.

Auch wenn kein Schaden angerichtet wurde, bleibt ein Schock. Avast konnte den Angriff abwehren, bevor die Angreifer aktiv werden konnten. Kleinere Unternehmen, die derart beliebte Freeware verbreiten, könnten weniger schnell reagieren. Millionen Rechner könnten so binnen kurzer Zeit infiziert werden. Der Fall zeigt auch, wie wichtig es ist, auf dem Rechner eine aktuelle Sicherheitssoftware zu verwenden. Hier finden Sie den Test von 18 Antiviren-Programmen für Windows 10.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2299751