Update: Backdoor in bekanntem PC-Tool

CCleaner verbreitet Malware

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

In der Sicherheitssoftware CCleaner war über mehrere Wochen eine Malware integriert.
In der Sicherheitssoftware CCleaner war über mehrere Wochen eine Malware integriert. (Bild: Pixabay/Talos Security)

Das PC-Reinigungs-Tool CCleaner war mehre Wochen mit Malware verseucht. Diese war mit einem legitimen digitalen Zertifikat versehen, entsprechend konnte sie nicht von anderer Anti-Viren-Lösung erkannt werden. Inzwischen wurde eine neue Version veröffentlicht, die automatisch verteilt wird.

CCleaner gehört für viele Computerprofis zur Grundausstattung. Kein Wunder, das Programm reinigt PCs, entfernt temporäre Dateien und gilt als gute Wahl um vermüllte Windows-Rechner wieder fit zu machen. Umso schlimmer ist die Nachricht, dass Hacker Malware in die signierte Version von CCleaner einschmuggeln und diese mehrere Tage über das Programm verbreiten konnten.

Laut den Experten des Cisco Talos Blogs wurde die infizierte Version im August 2017 online gestellt. Der Sicherheitsanbieter Morphisec bestätigt den Fund unabhängig von Cisco. Besonders perfide ist, dass die Malware signiert war – und zwar mit einem legitimen Zertifikat von Piriform. Das ist der Hersteller von CCleaner, der allerdings im Juli 2017 an den Sicherheitshersteller Avast verkauft wurde.

Betroffen waren laut Avast 2,27 Millionen Nutzer von CCleaner, am 19. September waren es immer noch 730 000 Versionen der verwundbaren Version 5.33.6162 installiert. Sowohl Piriform wie auch Avast versuchen sich an der Schadensbegrenzung. Die neue Version wurde bereits veröffentlicht, sie wird über das automatische Update verteilt. Nutzer sollten schnellstmöglich upgraden.

Avast hat im Firmenblog die komplette Verantwortung für den Zwischenfall übernommen und nach eigenen Angaben schnell reagiert:

  • Der betroffene Server wurde offline genommen
  • Ein Update wurde an Kunden verteilt, das die Backdoor entfernt.
  • Kunden wurden informiert, Avast und Piriform veröffentlichten Blogs
  • Das Build-Enviroment für die Software wurde zügig von Piriform zu Avast migriert.

Vertrauen geschädigt?

Speziell Sicherheitssoftware lebt vom Vertrauen der Nutzer in ihre Produkte und Hersteller. Zwar ist CCleaner „nur“ ein PC-Tool und unabhängig davon, ob der Schadcode vor der Übernahme von Piriform durch Avast oder danach eingeschleust wurde, der Schaden ist geschehen. Glücklicherweise hat das Unternehmen schnell auf die Meldungen von Cisco und Morphisec reagiert – und statt Ausflüchten wurde eine neue, saubere Version verteilt.

Fakt ist, dass mehrere Millionen Nutzer betroffen waren, darunter auch viele IT-Profis. Durch die gültige Signatur war die Malware außerhalb der Reichweite von anderen Anti-Malware-Lösungen. Es wird einiges an Zeit und Investment seitens Avast benötigen, um das verlorene Vertrauen wiederherzustellen.

Was denken Sie? Hat der Zwischenfall Ihr Vertrauen in Sicherheitssoftware geschädigt?

Update 21.09.2017: Sicherheitsexperten von Ciscos Talos Intelligence Team haben inzwischen festgestellt, dass die mit der infizierten Version von CCleaner verteilte Malware bei bestimmten Domänen, vornehmlich von großen Technologiefirmen, zusätzlichen Schadcode herunterlädt. Es reicht also nicht aus, CCleaner zu deinstallieren, bzw. mit einer neuen, sauberen Version zu aktualisieren, sondern es muss intensiv nach weiterer Schadsoftware gesucht werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44898029 / Malware)