Sicherheitsproblem

CCleaner mit Malware im Schlepptau

CCleaner ist ein sehr beliebtes und schlankes Programm wenn es darum geht, temporäre Dateien sicher zu löschen. Das letzte Update vom 12. August kam jedoch mit einer Malware im Gepäck auf Millionen von Rechnern.
Von Stefan Kirchner mit Material von dpa

CCleaner Das populäre Tool CCleaner ist Opfer einer Malware geworden
Bild: teltarif.de Unbekannten Hackern ist es gelungen, auf fast 2,3 Millionen Computern eine Schad­software zu platzieren, die sie im Update eines Programms vom Antiviren-Spezialisten Avast versteckten. Die Software der Angreifer sei mit den im August bereit­gestellten Versionen des Wartungs-Werkzeugs CCleaner mit­installiert worden, räumte die von Avast übernommene Entwickler­firma Piriform ein. Sie war darauf ausgelegt, Informationen über den PC zu sammeln. Avast gehe allerdings davon aus, dass man die Gefahr gebannt habe, noch bevor Schaden entstanden sei, erklärte das Unternehmen.

Auf den Angriff hingewiesen hatte die IT-Sicherheitsfirma Cisco Talos, der ein ungewöhnliches Verhalten der CCleaner-Version aufgefallen war. Das jüngste Update sei wieder sicher. Avast selbst schätzt, dass rund 2,27 Millionen Nutzer die Software auf ihre Windows-Rechner installiert hatten. Die Schadsoftware sammelte auf dem PC Informationen etwa zu installierten und aktiven Programmen sowie deren Zugriffs­rechten - eine mögliche Vorbereitung darauf, einen Computer zu kapern.

Zweistufige Backdoor mit Schwierigkeiten

CCleaner Das populäre Tool CCleaner ist Opfer einer Malware geworden
Bild: teltarif.de Bei der Analyse durch Cisco Talos seien ungewöhnlich verdächtige Aktivitäten aufgefallen, die allesamt mit einer unbekannten IP-Adresse zusammenhingen. Nach einer näheren Analyse zeigten sich bei den Versionen 5.33.6162 für 32-Bit Windows-Betriebssysteme und CCleaner Cloud in der Version 1.07.3191 als Cloud-Lösung die manipulierten Binär­dateien. Ersten Berichten zufolge sollen potenziell auch die 64-Bit-Versionen verseucht gewesen sein. Ob auch die portablen Versionen der Software betroffen sind, ist nicht bekannt.

Wie genau die Angreifer die manipulierten Versionen einschleusen konnten ist unklar. Schließlich gibt Piriform an, dass die kompromittierten Versionen noch vor der finalen Freigabe einschließlich digitaler Signatur eingeschleust wurden. Daraufhin wurden die manipulierten Versionen am 12. sowie am 24. August verteilt. Ob die Angreifer auch die Update-Server infiltriert haben ist ungewiss, da weder Piriform noch Avast die genutzten Server selbst betreiben.

Laut Piriform lief der Angriff so ab, dass die manipulierten Binär­dateien eine zweistufige Backdoor enthielten, über welche von der zuvor angesprochenen IP-Adresse Schadcode nachgeladen und in das Windows-System eingeschleust werden konnte. Laut den Informationen soll der automatisierte Download der eigentlichen Malware in keinem der bekannten Fälle tatsächlich funktioniert haben.

Zugutehalten kann man den Entwicklern von Piriform immerhin, dass sie in ihrer offiziellen Stellung­nahme relativ detailliert auf den technischen Aspekt des Angriffs eingehen, erklären und dokumentieren.

Update 21. September: Der jüngst entdeckte Malware-Angriff über ein signiertes Update für CCleaner war ein gezielter Angriff. Dabei sollten Nutzer in Unternehmen ausspioniert werden, wie CCleaner-Eigentümer Avast durch Untersuchungen herausgefunden hat. Update Ende

In einer weiteren Meldung lesen Sie, wie Sie Ihr Smartphone mit wenigen Handgriffen selbst schützen können.

Mehr zum Thema Schadsoftware