Der CCleaner, ein kostenloses Tool zum digitalen Aufräumen von Rechnern, ist nicht eben unbeliebt. Hersteller Piriform, seit diesem Jahr Tochter des Anbieters von Sicherheitssoftware Avast, warnte nun gestern (18. September 2017) vor mit Malware verseuchten Versionen. Mittlerweile gibt es dazu auch einen Beitrag des Avast-Chefs und des Avast-Technik-Chefs.
Betroffen sind der CCleaner V5.33.6162 und die CCleaner Cloud Version 1.07.3191, die für 32-Bit-Systeme genutzt werden. Anwender der Cloud-Variante haben bereits ein automatisches Update erhalten, mit dem das Problem behoben wird. Darüber hinaus steht für übrige Nutzer die bereinigte Version 5.34 zum Download zur Verfügung.
Paul Yung, Vice President Products bei Piriform, , man habe am 12. September 2017 eine verdächtige Aktivität beobachtet – eine unbekannte IP-Adresse empfing Daten von den benannten Programmversionen. In weiteren Nachforschungen wurde festgestellt, dass diese Versionen noch vor offizieller Veröffentlichung illegal modifiziert wurden. Daraufhin wurden zum einen sofort entsprechende Behörden eingeschaltet und zum anderen weitere Untersuchungen vorgenommen.
Diese ergaben, dass es Angreifern gelungen war, Änderungen vorzunehmen, die bewirkten, dass eine Malware mitinstalliert wurde. Diese sammelte unter anderem Daten: den Namen des befallenen Rechners, Listen installierter Programme, Windows-Updates und laufender Prozesse, die MAC-Adresse der ersten drei Netzwerk-Adapter, Informationen über Administratorrechte sowie darüber, ob es sich um ein 64-bit-System handelt.
Damit nicht genug, gab es wohl noch eine zweite Hintertür, die es den Angreifern möglich machte, weitere Schadsoftware nachzuladen. Dieses zweite Türchen wurde aber, so heißt es im Blog von Piriform, von den Angreifern nicht geöffnet, zumindest halte man dies aufgrund entsprechender Beobachtungen für „höchst unwahrscheinlich“.
Aktuell wolle man nicht darüber spekulieren, wie der Code in den CCleaner eingeschleust wurde, schreibt Yung. Auch nicht darüber, wer für die Attacke verantwortlich ist, woher sie kam und wie lange sie vorbereitet wurde – Untersuchungen hierzu würden fortgesetzt. Grundlegend sei die Gefahr jedoch gebannt, zumindest „nach unserem besten Wissen“, wie Yung ausführt. So sei der Server, an den die Daten übermittelt wurden, abgeschaltet, und auch andere Domains, die mit der Malware in Zusammenhang stehen, wurden der Kontrolle der Hacker entzogen.
In einem heute veröffentlichten Schreiben von Avast-Chef Vince Steckler und Technik-Chef Ondrej Vlcek wird nochmals der gesamte bisherige Ablauf ausführlich geschildert, gar mit genauer Zeitangabe und präziseren Angaben zu potenziellen Gefahren:
Avast sei am 12. September um 8:35 durch ein Unternehmen namens Morphisec auf das grundlegende Problem hingewiesen worden. Daraufhin habe man direkt gehandelt. So sei der von den Hackern eingerichtete Server in Zusammenarbeit mit den Behörden am Morgen des 15. September offline genommen worden. Parallel habe die Cisco-Sicherheitsfirma Talos übrige mit dem Schadcode in Verbindung stehende Domains unschädlich gemacht. Mit diesen beiden Aktionen habe man den Angreifern die Möglichkeit genommen, ihre Attacken auszuführen. Währenddessen wurde geprüft, ob frühere CCleaner-Versionen betroffen waren, und konnte dies ausschließen.
Weiterhin glaubt man von Avast-Seite nicht, dass es notwendig ist, Systeme neu aufzusetzen, auf denen befallene CCleaner-Versionen vor der Abschaltung des Servers installiert wurden. „Über 30 % der CCleaner-Nutzer verwenden auch Sicherheitssoftware von Avast“ – nach Analyse der damit von Avast einsehbaren Daten glaube man nicht, dass durch die Angreifer weitere Schadsoftware auf die Rechner geladen wurde.
Von den ursprünglich 2,27 Millionen betroffenen Nutzern verwenden dem Unternehmen zufolge jetzt noch 730.000 die Version 5.33.6162. Diesen wird nahegelegt, die aktuelle Variante des CCleaner zu installieren.
Weitere Informationen zu den technischen Details findet ihr . Außerdem gibt es einen umfassenden Bericht der Cisco-Sicherheitsfirma Talos. Die aktuellen Ausführungen von Vince Steckler und Ondrej Vicek findet ihr hier.
- Die betroffene Version des CCleaner mit der Versionsnummer 5.33.6162 wurde vom 15.8. bis 12.9. verteilt.
- Am 15.9. wurde den Hackern die Möglichkeit genommen, Schadsoftware nachzuladen.
- Nach Angaben von Avast ist es unwahrscheinlich, dass weitere Schadsoftware nachgeladen wurde.
- Insofern empfiehlt Avast lediglich, die aktuelle Version zu installieren.
Euer Jens
Bildquelle Vorschau und Titel: Pixabay
