CCleaner mit Malware ausgeliefert

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Information: Wir verlosen 3 x das Buch "Nur noch dieses Level!" Spiel mit!

    • CCleaner mit Malware ausgeliefert

      Das beliebte Optimierungstool CCleaner wurde offensichtlich zeitweise mit einer Malware an Board ausgliefert, wie inzwischen der Hersteller Piriform bestätigt. Betroffen war die 32-Bit-Version von CCLeaner 5.33.6162 und CCleaner Cloud 1.07.3191, die jeweils am 15. bzw. 24. August 2017 ausgeliefert wurden. Es wird daher dringend empfohlen die aktuelle Version 5.34 zu installieren. (piriform.com/ccleaner)


      Weitere Infos unter: winfuture.de/news,99645.html
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Guepewi ()

    • Mal abgesehen davon, dass es sowieso unsinnig ist, sich solche Art von Optimierungstools auf den Rechner zu ziehen und diese zu nutzen (das gilt auch für das Tool, das Avast in seinem Virenscanner direkt mitliefert), halte ich es für echt bedenklich, dass so etwas überhaupt möglich ist.

      winfuture schrieb:

      Piriform und der Mutterkonzern Avast
      :hmmm: Das lässt wirklich extrem tief blicken. :wacko:

      Hier ein weiterer Artikel von Piriform zu dem Vorfall zur Diskussion:
      :8O:
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

    • Ja, bei einer solch bekannten und häufig genutzten Software ist ein Malwarebefall natürlich besonders übel. Hoffen wir mal, dass sich das nicht wiederholt!
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Die Art des Befalls selbst ist übel. Ganz übel ist dabei auch noch, dass hinter dieser Firma auch noch eine Antivirenfirma steht.
      Solche Modifikationen können auf mehrere Arten stattfinden:
      1. Man hat direkt den Code der Anwendung und sitzt an der Quelle - also in der Firma.
      2. Man hat Zugang zum Server der Firma und hat den gehackt.
      Wir schauen mal:

      Piriform schrieb:

      Based on further analysis, we found that the 5.33.6162 version of CCleaner and the 1.07.3191 version of CCleaner Cloud was illegally modified before it was released to the public,
      Wenn etwas vor der Veröffentlichung stattfindet, kann vom logischen Denken her eigentlich da nur eine Schwachstelle innerhalb der Firma die Ursache sein.

      Piriform schrieb:

      At this stage, we don’t want to speculate how the unauthorized code appeared in the CCleaner software, where the attack originated from, how long it was being prepared and who stood behind it. The investigation is still ongoing.We want to thank the Avast Threat Labs for their help and assistance with this analysis.
      Im Prinzip heißt das: Existiert eine Schwachstelle in der Firma, ist die immer noch da. Die Ursache ist nicht bekannt.

      In wie weit Avast selbst mit der Firma Piriform verstrickt ist, ist ebenfalls sehr fraglich. Avast selbst bringt Code zur Systembereinigung in ihrer Antiviren-Software mit - hier rot markiert:

      Wenn man schon eine Firma an der Hand hat, die solchen Code proggen, entwickelt man den mit Sicherheit nicht auch noch selbst...

      Das heißt: Auch die Nutzer von Avast sollten vielleicht sehr genau beobachten, was da gerade vor sich geht.

      PS: Sehr interessant wäre hier, ob die Modifikation vor der Kompilierung erfolgte, oder nachher. Erfolgte sie nach der Kompilierung, müsste die EXE eigentlich nicht mehr valide signiert gewesen sein.

      Kleines Update: Eventuell habe ich die passende Version noch im Netz gefunden. Die scheint valide digital signiert zu sein!
      Oh man... :-(
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von AHT ()

    • Damit Leute das auch finden und lesen, hier ein neuer Beitrag.

      Die Bestätigung meiner "Analyse" kann man hier nachlesen:

      http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html schrieb:

      Given the presence of this compilation artifact as well as the fact that the binary was digitally signed using a valid certificate issued to the software developer, it is likely that an external attacker compromised a portion of their development or build environment and leveraged that access to insert malware into the CCleaner build that was released and hosted by the organization.
      Das sitzt wohl was ganz tief in der Firma.

      http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html schrieb:

      On September 13, 2017 Cisco Talos immediately notified Avast of our findings so that they could initiate appropriate response activities.
      Avast hat diese Sache in der Tochterfirma scheinbar gar nicht selbst entdeckt? X/

      Und wie gesagt: Avast selbst sollte man dabei nicht vergessen...

      ______________

      PS:

      EstherCH schrieb:

      Du schreibst

      AHT schrieb:

      Die Art des Befalls selbst ist übel.
      Ein Freund hat den CCleaner auf seinem Rechner, er war bisher nicht davon abzubringen, ihn zu nutzen. Im Moment ist er noch in Urlaub, aber was sollen wir machen wenn, er zurück ist? Den Rechner durch Dich analysieren lassen? Soll er sofort das Tool deinstallieren oder damit zuwarten, bis Du Dir den Rechner angesehen hast?
      Egal welche Version der drauf hat - ich persönlich würde das Ding SOFORT deinstallieren und nie wieder auf dem Rechner parken.

      AHT schrieb:

      Das sitzt wohl was ganz tief in der Firma.
      Hat er genau die beschriebene Version drauf, wäre eine Analyse nötig.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 7 mal editiert, zuletzt von AHT ()

    • In welchen Zeitraum wurde die Schadsoftware verteilt? Ich habe dazu unterschiedliche Angaben gelesen, teilweise sogar von Mitte August bis Anfang September...


      Avast selber hat das nicht entdeckt. Talos wohl auch nur durch einen Zufall aus einem Beta Test...


      @AHT: Du bekommst gleich Post.
      Windows besser vor Malware schützen ->Leitfaden für ein sicheres Windows

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Der Leo ()

    • Schwabenpfeil! schrieb:

      die jeweils am 15. bzw. 24. August 2017 ausgeliefert wurden.
      Laut Winfuture.
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Wird der CCleaner genutzt, würde ich auf jeden Fall einmal schauen, ob die von Piriform beschriebenen Registrywerte vorhanden sind:

      Piriform schrieb:


      • It stored certain information in the Windows registry key HKLM\SOFTWARE\Piriform\Agomo:
        • MUID: randomly generated number identifying a particular system. Possibly also to be used as communication encryption key.
        • TCID: timer value used for checking whether to perform certain actions (communication, etc.)
        • NID: IP address of secondary CnC server

      Auch dann wäre wohl eine genauere Untersuchung auf Malwarebefall hin nötigt.
      Avast selbst scheint bislang die besagte Version des CCleaners nicht als Malware zu erkennen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Das scheint eine DLL aus "C" zu sein.

      Die ist für Firmenzwecke modifiziert worden.
      Und dann nochmals für Fremdzwecke.

      Das tolle dabei. Alle nutzen diesen Compiler und tragen zur Verbreitung bei.

      Und das Böse daran. Man vertraut diesem Compiler!!!
      Wer weiß was alles in den C (CRT) Modulen noch so schlummert. Man braucht sie für jedes C-Programm.
      Programmieren, das spannendste Detektivspiel der Welt.
    • Ich glaube hier aber eher nicht an einen generell modifizierten C Compiler, sondern an eine Modifikation durch einen (Ex-) Mitarbeiter innerhalb der Firma. Das halte ich für wahrscheinlicher.
      Modifiziert jemand den Compiler, der innerhalb einer Firma verwendet wird (was hier wohl vielleicht passiert ist), ist das natürlich ein riesiges Problem.
      Die EXE wird nach dem kompilieren erst signiert. Ist die erst mal signiert, kümmert sich keiner mehr darum, ob die Malware enthält. Durch das, was der Compiler alles an Code dazupackt, blicken sowieso nur die wenigsten durch. Nachprüfen tut das gar keiner.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Fall Interesse besteht
      Von meiner Seite auf jeden Fall, da ich ja einen möglichen Kandidaten "an der Hand" habe. Ich möchte aber nicht, dass Du Dir die Arbeit nur wegen mir machst. Es erstaunt mich etwas, dass niemand - ausser offenbar mir - nervös zu sein scheint. Dabei hat es doch hier im Forum einige bekennende CCleaner-Nutzer.
      Ich bin immer artig. Mal eigenartig, mal unartig, aber immer einzigartig. ;-)
    • EstherCH schrieb:

      Es erstaunt mich etwas, dass niemand - ausser offenbar mir - nervös zu sein scheint
      Es hieß ja in der Meldung: Betroffen war die 32-bit-Version von CCleaner 5.33.6162

      Ich hatte die 64-bit-Version von 5.33.6162 drauf, und gestern sofort das Update auf 5.34 gemacht.

      EstherCH schrieb:

      Dabei hat es doch hier im Forum einige bekennende CCleaner-Nutzer.
      Ich nutze den CCleaner gerne, aber ausschließlich für folgende Aufgaben, die er sehr schnell und komfortabel erledigt:

      - Was steht im Autostart? Da schau ich immer rein nach einer Installation, ob mein "Verbot" mißachtet wurde.
      - Welche Browser Plugins sind im Firefox aktiviert? Das sieht man so genau noch nicht mal im Firefox selbst.
      - Dateisuche - Suche nach Duplikaten von "eigenen Dateien" - funktioniert sehr gut.
      - Welche Systemwiederherstellungspunkte da sind, sieht man mit einem Klick, in Win 10 sucht man viel länger!
      - Welche Programme sind auf dem Rechner - 1 Klick genügt und alles wird aufgelistet. Kann man auch ausdrucken.
      - Cookies und Internet-Verlauf aller Browser löschen, die man nicht behalten will.

      In den "Einstellungen" habe ich alles deaktiviert, außer "automatisch nach Updates suchen und benachrichtigen".

      Die Funktion "Registry" habe ich nie mehr benutzt, weil ich mir damit vor Jahren mein Windows total zerstörte.

      Gruß - Werner
    • Werner58 schrieb:

      Ich nutze den CCleaner gerne, aber ausschließlich für folgende Aufgaben, die er sehr schnell und komfortabel erledigt:
      Werner, es geht im konkreten Fall nicht darum, wofür man ihn nutzt, sondern darum, dass die 32-Bit-Version schon beim Installieren diesen ganzen Mist auf dem Rechner hinterlassen hat.

      Aber da Du ja zum Glück die 64-Bit-Version einsetzt, bist Du fein raus, im Moment wenigstens. Ich traue der Sache gar nicht mehr.

      Ganz abgesehen davon: Was solche Programme im Hintergrund wirklich machen, können wir gar nicht beurteilen.

      Vieles, was Du aufführst, kann man auch manuell erledigen, braucht dann halt etwas mehr Zeit, aber man ist auf der sicheren Seite.
      Ich bin immer artig. Mal eigenartig, mal unartig, aber immer einzigartig. ;-)