Beliebtes Windows-Tool CCleaner mit Malware verseucht

Das mit mehr als zwei Milliarden Downloads sehr populäres Windows-Tool CCleaner haben Hacker zur Verteilung von Malware genutzt. Allerdings war davon nur die 32-Bit-Variante des Programms betroffen. Ein Update steht zur Verfügung.

CCleaner v5.33.6162 und CCleaner Cloud Version 1.07.3191 wurden von Hackern kompromittiert. Das hat der Hersteller Piriform im Rahmen eines Blogbeitrags bekannt gegeben. Nach Angaben von Paul Yung, Vice President Products bei Piriform, hat der Hersteller am 12. September 2017 eine verdächtige Aktivität festgestellt, bei der eine unbekannte IP-Adresse auffiel, die Daten von CCleaner und CCleaner Cloud auf 32-Bit-Windows-Systemen empfangen hat. Die verseuchten CCleaner-Versionen hatte Piriform vor gut einem Monat veröffentlicht.

Aufgrund weiterer Analysen stellte Piriform fest, dass die Programmdateien modifiziert wurden. Das Unternehmen hat zudem umgehend die Behörden eingeschaltet. Außerdem wurde die Gefahr für Nutzer der infizierten Versionen dadurch reduziert, dass der Server, an den die Daten gesendet wurden, abgeschaltet werden konnte. Weitere potenzielle Ziel-Server seien ebenfalls der Kontrolle der Hacker entzogen worden. Nach dem aktuellen Stand der Untersuchungen habe der Gefahr begegnet werden könne, bevor Nutzer irgendwelchen Schaden erlitten haben, so Yung weiter.

Hacker haben CCleaner mit Malware verseucht (Screenshot: ZDNet.de)Hacker haben CCleaner mit Malware verseucht (Screenshot: ZDNet.de)

Laut Piriform haben die Angreifer Änderungen an der Binär-Datei CCleaner.exe vorgenommen und dadurch eine zweistufige Backdoor eingeschleust, die dazu genutzt werden sollte, Code auszuführen, der von einer externen IP-Adresse angefordert wurde. Der verdächtige Code sei im Initialisierungs-Code der CRT (Common Runtime) verborgen gewesen, der üblicherweise bei der Kompilierung durch den Compiler hinzugefügt wird.

Dadurch wurden zahlreiche Informationen über den infizierten Rechner gesammelt, darunter dessen Name, die Liste der installierten Programme und Windows-Updates, die Liste der laufenden Prozesse, MAC-Adressen sowie die Information, ob der Rechner mit Administratonsrechten läuft und ob es ein 64-Bit-Sytem ist.

Auf Spekulationen darüber, wie der Code in die eigene Software gelangen konnte, wie dabei vorgegangen wurde und wer dahinterstecken könnte, will sich Yung zum gegenwärtigen Zeitpunkt nicht äußern. Er verweist auf die noch laufende Ermittlung. Daran sind neben den Behörden auch die Experten des Avast Threat Labs beteiligt. Sicherheitsanbieter Avast hatte Piriform im Juli übernommen.

Nach Angaben von Piriform wurde CCleaner bislang über zwei Milliarden mal heruntergeladen. Die fehlerbereinigte Version 5.34 und höher steht bereits zum Download bereit. Nutzer von CCleaner Cloud Version 1.07.3191 haben bereits ein automatisches Update erhalten.

Download der fehlerbereinigten Version von CCleaner

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

[Mit Material von Peter Marwan, silicon.de]

Themenseiten: Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Beliebtes Windows-Tool CCleaner mit Malware verseucht

Kommentar hinzufügen
  • Am 22. Oktober 2017 um 11:21 von Rijk Dute

    Habe heute 22.10.17 ein update auf version vs5.35.6210 durchgeführt mein Avg computerscann fand auch bei dieser Version den WIN32:TlsHack-A(Trj) Virus
    in der Datei C:\ProgramFiles\CCleaner\trz17C1.temp

    Auch diese Version verschickt einen Virus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *