Es geht sich auch nicht direkt um den "ccleaner", sondern um die Sache (das Ausspionieren), die der vorletzte ccleaner, aufgrund des zugefügten Codes, mit einem PC/Laptop machen konnte.
CCleaner mit Malware ausgeliefert
-
-
-
Hier jetzt statt "MK70" als "Mac"
Wie früher zu alten Zeiten; finde es besser so!Es geht sich auch nicht direkt um den "ccleaner"
-
Hier jetzt statt "MK70" als "Mac"
Wie früher zu alten Zeiten; finde es besser so!
Das ist jetzt aber schon länger...
Freu mich auch, dass wir das hier ändern konnten...pcwelt.de/a/ccleaner-attacke-a…339939&lid=741139&pm_ln=3
Gerade gelesen...
Ich bin mal auf die weiteren Dinge gespannt, die da noch folgen werden... -
Verzeiht diese meine Ansicht.
(Siehe letzten Satz)Am 15 08.02917 gab es die Version 5.33 und jetzt gut einen Monat später ist man, Piriform als Hersteller, erst darauf gekommen das die uns ausspioniert hat?
#13
CCleaner mit Malware ausgeliefert
Was soll ein Script von einer vorvorherigen Version des CCleaner analysieren?
Inwiefern können die gesammelten Infos hilfreich sein? Falls etwas ausspioniert wurde ist es geschehen und jetzt nicht mehr zu ändern.Eine Zeitnahe Erkennung von entsprechender Stelle (Piriform) aus und dementsprechend handeln hätte mehr bewirkt.
Stellt sich allerdings die Frage wann (zwischen 15. August und 15. September) die Malware implantiert wurde und ob das dann auch so ohne weiteres bzw. einfach hätte erkannt werden können um sofort zu handeln.Dies von einem in der Materie nicht so bewanderten nur Nutzer dieses Tools.
-
Das ist jetzt aber schon länger...
Mir bisher nicht aufgefallen. Es lebe Capp oodoo!
-
Mir bisher nicht aufgefallen. Es lebe Capp oodoo!
Ups... - Hab ich so lange nix mehr geschrieben...???
Jo, cappoodoo lebt, nur recht still und leise vor sich hin...
Mal sehen, wann ich anfange es mit täglich Infos zu fluten***
nobbi: Ließ mal den von Gue verlinkten PCWelt-Artikel, da steht schon etwas drin, was , warum , und wieso...
-
Info für andere User: https://www.cappoodoo.de/index.php/BoardList/?
In alter Freundschaft, Markus!
-
Was soll ein Script von einer vorvorherigen Version des CCleaner analysieren?
Inwiefern können die gesammelten Infos hilfreich sein? Falls etwas ausspioniert wurde ist es geschehen und jetzt nicht mehr zu ändern.Ob der Trojaner überhaupt ausgeführt wurde (das lässt sich aber nur feststellen, solange der CCleaner nicht komplett deinstalliert wurde)..
Wurde der ausgeführt, kann weitere Malware auf dem Rechner sein, die wiederum nicht erkannt wird. Ob die ihre Aufgabe ausgeführt hat, sieht du vielleicht beim nächsten Blick auf dein Konto.Die im CCleaner mitgelieferte Malware hatte nur die Aufgabe, Daten über den Rechner weiterzuschicken und den identifizierbar zu machen. Damit könnten dann einzelne Rechner angesteuert und mit spezieller Malware versorgt werden - je nachdem, was der User mit dem Rechner tut. Die Rechner werden dann im Paket an Leute vermietet, die dann passende Sachen damit anfangen können.
Des weiteren sollte die Malware augenscheinlich die IP eines zweiten Servers vom C&C Server holen, um den bei Bedarf zu kontaktieren (wenn einer lahmgelegt wird).
Da der CCCleaner sich Adminrechte verlangt, kann zusätzliche Malware eigentlich überall sitzen - auch unsichtbar im Bootsektor oder im MBR.
Ob wirklich nichts nachgeladen werden konnte, kann Piriform meiner Ansicht nach gar nicht genau sagen, da scheinbar im Prinzip ja alles vorbereitet wurde, um Rechner unterschiedlich ansteuern zu können.
Das wirklich der Code bis ins letzte analysiert wurde, vage ich zu bezweifeln.Inwiefern können die gesammelten Infos hilfreich sein
Man könnte sagen, ob eine Analyse des Rechners zwingend nötig ist. Ist die nötig, müsste man die durchführen. Wichtig ist dabei nicht die Entfernung der Malware, sondern die Einschätzung davon, ob weitere Maßnahmen ergriffen werden müssen, um Spätfolgen zu vermeiden - und welche Maßnahmen das genau für den betroffenen sind.
-
Da der CCCleaner sich Adminrechte verlangt, kann zusätzliche Malware eigentlich überall sitzen - auch unsichtbar im Bootsektor oder im MBR.
Wie schon in meinem vorherigen Beitrag #44 in dem letzten Satz am Ende erwähnt.
CCleaner verlangt Adminrechte?
Bezieht sich auch auf den PC? (Angemeldet als Admin)
Ich möchte nicht zu sehr aus dem Thread heraus.
Wir wollen (sollten) ja beim Thema bleiben. -
CCleaner verlangt Adminrechte?
Ist die UAC eingeschaltet, muss sich ein Programm (zum Beispiel über ein mitgeliefertes Manifest) vor der Ausführung des Programms erst Adminrechte verlangen, um die zu bekommen.
Dann erscheint das UAC Popup (es gibt da ein paar Ausnahmen, wo das nicht geschieht). Normale Programme laufen in einem Adminaccount als normaler Benutzer mit weniger Rechten. Der CCleaner hat unter anderem ein Manifest, um sich Adminrechte zu verlangen.Im Augenblick sieht es so aus, als wären User von XP sicher vor dem Backdoor. Der scheint sich unter XP nicht zu starten. Ich habe den Backdoor gerade hier laufen.
-
Dann erscheint das UAC Popup (es gibt da ein paar Ausnahmen, wo das nicht geschieht).
Ich kann da jetzt grad kein Screen machen.
Also wo gefragt wird -
Ja, das meine ich.
-
OK und wenn das erscheint sollte man sich das genau überlegen ob man dem zustimmt.
Erscheint das auch bei schon installierten Programmen so ein Update ansteht?
-
Erscheint das auch bei schon installierten Programmen so ein Update ansteht?
Am Beispiel CCleaner:
[Blockierte Grafik: https://s1.imagebanana.com/file/170921/cmgcgygp.jpg][Blockierte Grafik: https://s1.imagebanana.com/file/170921/XONmtB9P.jpg] -
Tja und zumindest die zweite Einstellung im ersten Screen als auch im zweiten Screen sollte bei dem jetzigen Vorfall wohl nicht aktiviert bzw. kein Haken gesetzt sein.
Wobei das im ersten Screen zweite Einstellung ja nur in der Pro geht.
-
Ob du da einen Haken setzt oder nicht, ist ziemlich egal. Wenn erneut Malware in dem Teil ausgeliefert wird, wirst weder du, noch die Programmierer bei Piriform, noch dein Virenscanner davon etwas merken. Wann und ob jemand etwas merkt, wird weiterhin Zufall sein:
- Das Programm braucht sowieso Adminrechte, um das überhaupt tun zu können, was es tun soll.
- Das Programm geht sowieso ins Netz, um nach Updates zu suchen.
- Das Programm ist signiert, kein Virenscanner kontrolliert dann, was das Programm tut.
- Die EXE wurde während des Erstellungsprozesses um die Malware erweitert. Dazu einmal das, was Michael Wodrich da schreibt:
Und das Böse daran. Man vertraut diesem Compiler!!!
- Programmierer vertrauen nicht nur dem Compiler, die haben gar keine große Möglichkeit zu erkennen, ob der modifiziert wurde und von wem.
- Wie tief muss man als Malwareschreiber Zugang zu einer Firma haben, um in den Erstellungsvorgang einer EXE eingreifen zu können? Eine ganz wichtige Frage für die Zukunft...
-
Wie tief muss man als Malwareschreiber Zugang zu einer Firma haben, um in den Erstellungsvorgang einer EXE eingreifen zu können? Eine ganz wichtige Frage für die Zukunft...
Ich würde pauschal mal sagen, der arbeitet da und ist auch direkt für die Enderstellung der Datei zuständig... -
Beim nächsten Mal ist ein anderes massenwirksames Programm dran,
mit dem so eine Sauerei auf die Leute losgtreten wird.Tests auch von Staatswegen zur Terrorabwehr usw. werden das wohl auch nötig machen.
-
Ich würde pauschal mal sagen, der arbeitet da und ist auch direkt für die Enderstellung der Datei zuständig...
Man könnte das fast denken. Jedenfalls sind zumindest Infos ohne Ende nötig, um das überhaupt tun zu können.
Bekommt man so viele Infos wirklich nur durch Hacking eines Servers von außen?Beim nächsten Mal ist ein anderes massenwirksames Programm dran,
mit dem so eine Sauerei auf die Leute losgtreten wird.Ist ja nicht das erste Mal (MeDoc und NotPetya).
Gerade deswegen sollte man sich drum kümmern, denn je weniger das irgendjemanden interessiert, um so öfter wird das passieren. Es lohnt sich ja. -
Schau dir Petya an, die Malware ist auch über eine "Programmupdate" auf die Systeme gelangt...
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!