CCleaner mit Malware ausgeliefert

    • Kein Wunder, denn das Programm sucht mit dem Script in der Zeit, in der es läuft, auf den gesamten Datenträgern nach EXE-Dateien, die den MD5 Prüfsummen entsprechen, die die befallenen Versionen des CCleaners haben. Das tut es natürlich auf der Festplatte und natürlich mit Hilfe deines Prozessors.
      Würde es nichts tun, würde weder dein Prozessor noch die Platte ausgelastet. Wie stark der Scanner Platte und Prozessor beim Ausführen des Scripts auslastet, hängt stark von der Hardware des Geräts und dem Betriebssystem ab.

      Zu der .sca Datei:
      Das Tool habe ich zum Suchen nach Malware zur Systemanalyse geschrieben. Die .sca Dateien sind Textdateien. Sie sind Teil eines mitgelieferten Scripts zur Systemanalyse. Mit der einen werden Browsererweiterungen ausgelesen, die andere sucht nach ausführbaren Dateien in einem Ordner, wo sie eigentlich nicht sein sollten, wenn es sich nicht um Malware handelt. Die sind bei dem CCleaner Test aber beide nicht in Verwendung.

      Linuxmint schrieb:

      ( Screenshot),und nach ende des scans bekommt man auch keine Meldung was gefunden worden ist
      Wenn du dir das Script für den CCleaner Test mal durchliest und das untersuchst (das ist eine Textdatei) kannst du nachvollziehen, dass es nur eine Meldung gibt, wenn etwas gefunden wurde.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • Linuxmint schrieb:

      Man soll immer nur vom Hersteller Seite alles holen hat mir einer immer gesagt und ein guten AV
      Scanner haben und sein System auf den Neusten Stand halten.
      Na ja - das hätte in dem Fall alles nichts genutzt. Die infizierte EXE kam direkt vom Hersteller. Sie war doppelt valide signiert - sie besaß also einen gültigen Stempel der Firma sowohl in der infizierten EXE, als auch in deren Installer. Virenscanner haben die Malware erst mal gar nicht erkannt. Ein aktuelles Betriebssystem hätte hier auch nicht geholfen. Um vertrauenswürdig signierte Dateien kümmern sich Virenscanner in der Regel nicht.

      Als Nutzer von Avast ergeben sich aus der Sache einige Fragen, die für mich persönlich etwas Unsicherheit mit sich bringen (auch wenn die bei der Sache eigentlich gute Arbeit leisten):
      1. Normale Kriminelle können das eigentlich nicht gewesen sein. Hat man schon einen Backdoor bei Privatnutzern auf dem Rechner, machen die normalerweise auch damit Geld. Das wurde hier scheinbar gar nicht getan. Stattdessen wurde versucht, den Zugang nur für Industriespionage zu nutzen, obwohl gar nicht feststand, dass das am Ende erfolgreich durchführbar sein würde. Man muss da also erst mal Geld reinstecken, ohne das feststeht, dass da am Ende Geld rauskommt. Ein normaler Krimineller tut das so nicht. Fand das im Auftrag eines Staates statt?
      2. Sowohl der Installer, als auch die infizierter EXE sind mit gültiger digitaler Signatur ausgestattet worden. Wurde die EXE nicht vor dem Signieren in der Firma modifiziert, müssen die Täter zumindest die Signatur gestohlen haben. Die Signatur ist aber nicht gesperrt worden - das wird eigentlich getan, wenn was weggekommen ist. Warum ist die Signatur noch gültig? Warum wurde nicht der Installer infiziert? Das wäre dann viel einfacher gewesen, wenn jemand von außen kommt...
      3. Wurde die EXE vor dem Anfügen der Signatur in der Firma geändert, ergeben sich da für mich weitere Fragen. Schaut man sich die Prüfsummen für die infizierten Dateien an, scheinen da mehrere gleiche Dateien mit der gleichen Dateiversionsnummer und leicht unterschiedlicher Umsetzung der Malware in Umlauf gewesen zu sein. Wer zum Teufel lädt bei Piriform mehrmals (hintereinander) Dateien mit gleicher Dateiversionsnummer für die User des CCleaners auf den Server - und zu welchem Zweck?
      4. Egal, wie und wo die Sache dort modifiziert worden sind - die Ausführung der Sache ist extrem komplex. Das passt eigentlich nicht zu einem normalen Hack von außen. Mich persönlich würde interessieren, wie das von außen überhaupt möglich gewesen ist - und in welcher Abfolge das genau geschehen ist. Warum kommt dazu von Avast und Piriform nichts? Das sind doch deren Server...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Neu

      Es gibt vage Hinweise auf eine staatlich unterstütze Hackergruppe (aus China), die unter anderem unter den Name Axiom und Group 72 bekannt sind.

      PS: Hab gerade noch was von Avast zu der Sache gefunden:
      Auch das deutet darauf hin, das wohl nicht nur die 32Bit Systeme Angriffsziel waren.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()