Script zum Testen ist raus. Wer noch mitmachen möchte, kann sich gerne noch in die Umfrage eintragen.
CCleaner mit Malware ausgeliefert
-
-
-
Die gehen sehr Intelligent an die Sache ran:
-
Was mich überrascht ist, dass Firmen wie z. B. Samsung oder Intel, um nur zwei zu nennen, mit solchen Tools arbeiten.
-
Ich denke eher, dass Mitarbeiter diese Tools nutzen und die besagten Mitarbeiter auf ihren "Privat PCs" (die sie auch für Firmenaktivitäten nutzen) angegriffen worden sind.
-
Das passiert, wenn die Leute nicht wirklich Feierabend machen können, weil die "stets bereit" Mentalität überhand nimmt...
-
dass Mitarbeiter diese Tools nutzen und die besagten Mitarbeiter auf ihren "Privat PCs" (die sie auch für Firmenaktivitäten nutzen) angegriffen worden sind.
Das könnte bei einigen Firmen zur Änderung der "PC-Nutzungspolitik" führen, auch bei nicht betroffenen. Nachtigall, ich hör dir trapsen ...
wenn die Leute nicht wirklich Feierabend machen können, weil die "stets bereit" Mentalität überhand nimmt...
Da kann man sich als Mitarbeiter auch selber ein bisschen lieb sein und sich abgrenzen, ohne dass man gleich gefeuert wird.
-
Habe das Script hier mal auf Stage 2 des Trojaners nach den Angaben von Avast erweitert.
-
Bedeutet für die Tester bzw. Nutzer von CCleaner?
(Script in der Konversation)
-
An dem internen Test und dem Script da ändert sich nichts.
Was wir intern in der Kommunikation tun, prüft ob in der aktuellen Version des CCleaner was sein könnte, was aktuell nicht bekannt ist.Das Script hier überprüft, ob in der Vergangenheit der bekannte Backdoor ausgeführt wurde, auch wenn der jetzt nicht mehr läuft. Vorher erkannte das Script nur Stage 1 der Malware (die erste Stufe), jetzt prüft das Script auch auf Stage 2 (die zweite Stufe).
Stage 2 ist der eigentliche "Payload" der Malware (der Payload, der Avast zur Zeit bekannt ist).
Auch wenn der CCleaner zwischenzeitlich deinstalliert wurde, müssten die Infos bezüglich der Ausführung von Stage 2 in der Registry erhalten bleiben, wenn ich das zur Zeit richtig sehe. Ist der CCleaner deinstalliert worden, sind die Infos zur Ausführung bezüglich Stage 1 mit ziemlicher Sicherheit ebenfalls gelöscht worden.Stage 1 sendete Informationen dazu weiter, wozu der Rechner verwendet wird und stellte Infos dazu bereit, ihn zu im Netz identifizierbar zu machen. Das waren, wie gesagt, sehr gezielte Angriffe, die dann mit Stage 2 erfolgten.
-
Also für uns "Internen" ist das neue Sript nicht gedacht.
Weiterhin gilt für uns das interne. -
Ja, das bleibt auch so. Das sind ganz unterschiedliche Sachen, die da überprüft werden.
Zur Zeit fehlen Avast etwa 40 Stunden, bei denen die nicht genau wissen, was da auf dem Server, der Stage 2 verteilt hat, passiert ist. Ich denke, man kann da den Sachen vertrauen, die Avast zur Zeit herausgefunden hat. Es kann also sein, dass da auch noch andere Sachen passiert sind, von denen Avast zur Zeit noch keine Ahnung hat.
Wenn man ganz an den Anfang zurückdenkt, hat Piriform da ja behauptet, dass gar kein Payload ausgeliefert wurde.
Das sieht jetzt ja schon ganz anders aus...PS:
Hier noch einmal eine sehr schöner Artikel zu der Sache..Der CCleaner-Vorfall zeigt eindrucksvoll, wie wichtig die Einhaltung der minimalen IT-Sicherheitsgrundsätze sein kann. Dazu gehört die Devise „Installiere nur Software, die wirklich erforderlich ist. Jede zusätzliche Software ist ein zusätzlicher Angriffsvektor“. Der Nutzen von Bereinigungstools für Windows-Systeme ist ohnehin umstritten. Nicht selten berichten Nutzer, dass nach der Verwendung solcher Tools Probleme auftraten, da zum Beispiel Registry-Einträge entfernt wurden, die doch nicht obsolet waren.
-
Ich lasse gerade mal durchlaufen...
Dauert wohl etwas... -
Das Script hier sucht zuerst auf allen Laufwerken nach EXE-Dateien, die MD5s entsprechen, die ich aus den von Avast hier angegebenen SHA Werten ermitteln konnte.
Danach wird nach den Registrywerten gesucht, die Avast angegeben hat.
Wird ein Registrywert gefunden (an einer Stelle, wo er vielleicht sein könnte - auch wenn Avast nicht genau die Stelle angegeben hat), oder eine EXE-Datei entspricht einer MD5 der Malware, merkt sich der Scanner den Rechner als infiziert und gibt über VBScript eine Sprachnachricht in Englisch oder Deutsch aus. Danach werden die Dateien in C:\PPF_Scan2 erzeugt und der Ordner C:\PPF_Scan2 wird geöffnet.
Hat der Scanner nichts gefunden, was auf eine Infektion hindeutet, schließt sich die GUI des Scanners ohne den Ordner C:\PPF_Scan2 zu öffnen und ohne eine Sprachnachricht auszugeben.Die Suche nach den Dateien dauert etwas - meine Programmiersprache ist aber recht flott. Zu lange dürfte das nicht dauern.
-
So, fedisch, nix gefunden...
Kommt vielleicht auch daher, das ich den nicht mehr täglich drüber laufen lasse (ich glaube auch einige Wochen...), und nur die portablen Dateien aus der Zip in den Ordner kopiert habe, OHNE den zu starten.
-
Gerade bin ich über diese Info gestoßen. https://www.pcwelt.de/a/ccleaner-att…irklich,3448224
-
Im Prinzip ist da das übersetzt, was Avast im Block schreibt (und was weiter oben verlinkt ist). Avast hat noch einige sehr wichtige technische Angaben dazugepackt.
China bezieht sich als Ausgangspunkt eigentlich nur auf eine IP, mit der der Server kontaktiert wurde. Das stimmt wahrscheinlich gar nicht. Die Zeitzone (von der Nutzung her) würde eher zu Russland passen. Die Raffinesse der verwendeten Technik auch. Das erinnert sehr an einige Versionen von ZBot - da aber in anderem Kontext ausgeführt.Ich warte leider immer noch auf eine öffentliche Stellungnahme von Avast, was da innerhalb der Firma passiert ist.
Einiges ist so abgefahren, dass ich mir immer noch nicht erklären kann, wie so etwas überhaupt möglich sein kann. -
Hallo
Das Toll hat bei mir keine Meldung herausgeben,aber laut Piriformer
(ich habe die android Version und 64bit Pro) soll nur die 32 Bit Version betroffen sein.
Man soll immer nur vom Hersteller Seite alles holen hat mir einer immer gesagt und ein guten AV
Scanner haben und sein System auf den Neusten Stand halten.
Habe aber was gefunden wenn man auf die PPF.exe klickt bekommt man folgende Meldung
( Screenshot),und nach ende des scans bekommt man auch keine Meldung was gefunden worden ist.[Blockierte Grafik: https://s1.imagebanana.com/file/170930/maYvfHr6.PNG] -
Die Meldung kommt, wenn du ein 64Bit System nutzt. Unter 64Bit sollte auch die 64Bit Version des Scanners genutzt werden.
-
aber laut Piriformer
(ich habe die android Version und 64bit Pro) soll nur die 32 Bit Version betroffen sein.Ganz darauf verlassen würde ich mich nicht:
4ae8f4b41dcc5e8e931c432aa603eae3b39e9df36bf71c767edb630406566b17
- inner DLL of the 2nd stage payload (64-bit)Wenn nur 32Bit Systeme befallen werden, braucht man keinen 64Bit Payload.
-
Hallo
Ich habe herausgefunden, das das Programm
den RAM zu 60% benutz und zu 99% den Datenträger,
und ich habe eine Sog SCA Datei gefunden im Ordner. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!