CCleaner: Malware in mehreren Versionen des Systemreinigungs-Tools entdeckt

Malware in mehreren Versionen des Systemreinigungs-Tools CCleaner entdeckt (Grafik: Piriform)

Betroffen sind CCleaner 5.33.6162 und CCleaner Cloud 1.07.3191, jeweils in der 32-Bit Version. Die fehlerbereinigten Versionen 5.34 und höher stehen bereits seit einigen Tagen zum Download bereit.

Piriform, unter anderem Entwickler des weit verbreiteten Systemreinigungs-Tools CCleaner, hat heute einen erfolgreichen Hackerangriff eingeräumt. Er wurde laut Paul Yung, Vice President Products bei Piriform, bereits am 12. September bemerkt. Yung zufolge wurden von Version 5.33.6162 von CCleaner und CCleaner Cloud Version 1.07.3191 auf 32-bit Windows-Systems an eine unbekannte IP-Adresse Daten verschickt. Die anschließende Untersuchung habe ergeben, dass beide Programme vor ihrer Veröffentlichung von Unbefugten modifizierten worden waren.

Malware in mehreren Versionen des Systemreinigungs-Tools CCleaner entdeckt (Grafik: Piriform)

Die Gefahr ist relativ groß. Schließlich wurden nach Angaben von Piriform von CCleaner bislang über zwei Milliarden Downloads verzeichnet. Allerdings hat der Anbieter schnell reagiert: Die fehlerbereinigte Version 5.34 und höher steht bereits zum Download bereit. Nutzer von CCleaner Cloud Version 1.07.3191 haben bereits ein automatisches Update erhalten.

Das Unternehmen hat zudem umgehend die Behörden eingeschaltet. Außerdem wurde die Gefahr für Nutzer der infizierten Versionen dadurch reduziert, dass der Server, an den die Daten gesendet wurden, abgeschaltet werden konnte. Weitere potenzielle Ziel-Server seien ebenfalls der Kontrolle der Hacker entzogen worden. Nach dem aktuellen Stand der Untersuchungen habe der Gefahr begegnet werden könne, bevor Nutzer irgendwelchen Schaden erlitten haben, so Yung weiter.

Ihm zufolge ist es den Angreifern gelungen, unbefugt Änderungen an der Binär-Datei CCleaner.exe vorzunehmen und dadurch eine zweistufige Backdoor einzuschleusen, die dazu genutzt werden sollte, Code auszuführen, der von einer externen IP-Adresse angefordert wurde. Der verdächtige Code sei im Initialisierungs-Code, der CRT (Common Runtime), verborgen gewesen, der üblicherweise bei der Kompilation durch den Compiler hinzugefügt wird.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Dadurch wurden zahlreiche Informationen über den infizierten Rechner gesammelt, darunter dessen Name, die Liste der installierten Programme und Windows-Updates, die Liste der laufenden Prozesse, MAC-Adressen sowie die Information, ob der Rechner mit Administratonsrechten läuft und ob es ein 64-Bit-Sytem ist.

Auf Spekulationen darüber, wie der Code in die eigene Software gelangen konnte, wie dabei vorgegangen wurde und wer dahinterstecken könnte, will sich Yung zum aktuellen Zeitpunkt nicht einlassen. Er verweist auf die noch laufende Ermittlung. Daran sind neben den Behörden offenbar auch Experten des Avast Threat Labs beteiligt: Ihnen dankt Yung ausdrücklich für ihre Hilfe bei der Untersuchung des Vorfalls.

Download der fehlerbereinigten Version von CCleaner