Eigentlich ist es fast unmöglich den CCleaner nicht zu kennen, wenn man sich ein bisschen mit PC Software auseinandergesetzt hat. Zwnangsläufig wird man dem CCLeaner entweder in Form einer Bestenliste oder als freiwillige Zusatzinstallation beim Installieren eines anderen Programmes begegnet sein. Wie es scheint hatte ein Update vom 12. September aber genau den gegenteiligen Effekt einer Reinigung.

Schon wieder eine Malware?

Vor einigen Monaten hatten wir schon von einem schädlichen Update der Handbrake Software berichtet. Nun ist auch der CCleaner Entwickler Piriform, welcher mittlerweile ein Teil des Antivirus Spezialisten Avast ist, Opfer einer solchen Attacke geworden, obwohl „sicher“ ironischerweise im Slogan erwähnt wird.

Bin ich betroffen?

Um das wichtigste vorweg zu nehmen, wahrscheinlich ist man nicht betroffen. Obwohl die schädlichen Updates auf über zwei Millionen Rechnern angeblich installiert wurden, konnte Piriform die Gefahr so früh erkennen, dass alle gefährlichen Versionen automatisch mit einem sauberen Update überspielt wurden. Auch die schädlichen Server wurden vom Netz genommen.

Um dennoch sicher zu sein, folgende Versionen waren betroffen:

CCleaner, Version 5.33.6162 32-Bit
CCleaner Cloud, Version 1.07.3191 32-Bit

Stellt also sicher, dass ihr alle verfügbaren Updates für eure CCleaner Installation gemacht habt. Die neueste und sichere Version gibt es hier.

Wie kam es dazu?

Die CCleaner.exe wurde so manipuliert, es sei mal dahingestellt wer diese Manipulation durchgeführt hat, da man sich dessen noch nicht sicher ist, dass in die offizielle Software eine Backdoor eingebaut wurde, durch welche die Software mit einer fremden IP Adresse kommunizieren und schädlichen Code abrufen und ausführen konnte.

Die erste Phase der Malware sammelte folgende Daten auf dem infizierten Rechner und schickte sie verschlüsselt an eine fremde IP Adresse:

  • Name des Computers
  • Eine Liste der installierten Software (Windows Updates eingeschlossen)
  • Eine Liste der aktuell laufenden Prozesse
  • Die MAC Adressen der ersten drei Netzwerkadapter
  • Zusätzliche Informationen: Verfügt das Programm über Administrator Rechte, handelt es s ich um ein 64-Bit System, etc.

War das Versenden der oben genannten Daten erfolgreich, würde die zweite Phase durch die fremde IP Adresse initiiert werden. Was diese machen würde weiß man nicht, da es bei den betroffenen Rechnern gar nicht so weit kommen würde.

Mac Versionen von CCleaner sind nicht betroffen.

Für weitere technische Details könnt ihr euch den Blog Post von Paul Yung, Vice President of Products, hier zu Gemüte führen.

Benutzt ihr CCleaner?

Via: Teltarif