Autsch: CCleaner als Malware-Schleuder

Der von Piriform entwickelte und mittlerweile unter dem AVAST-Portfolio segelnde CCleaner hat Malware installiert. Dies ist gerade bekannt geworden.


Anzeige

Mein Credo ist: Lasst die Finger von den ganzen Systemreinigern – aber viele Nutzer schwören auf CCleaner von Piriform. Dieser kostenlose Systemreiniger für Windows wird von vielen Nutzern gerne eingesetzt. Persönlich habe ich das Tool bisher nie gebraucht, aber auch egal. Vor einiger Zeit wurde CCleaner von der tschechischen Sicherheitsfirma AVAST übernommen.

CCleaner
(Quelle: Talos)

Malware im Installer

Die Version 5.33 der CCleaner App, die zwischen dem 15. August und dem 12. September 2017 zum Download angeboten wurde, war nach einem Bericht von Cisco Talos modifiziert, um die Floxif-Malware einzubinden.

Die Malware bezog dann weiteren Code vom Malware Server und übermittelte Daten wie die IP-Adresse, den Rechnernamen, installierte Software und vorhandene Netzwerkadapter an einen Server in den USA. Das passierte ab dem 15. August 2017  mit CCleaner 5.33 und ab dem 24. August 2017 ,mit CCleaner Cloud 1.07 (beides das Auslieferungsdatum der betreffenden Releases).

Talos geht davon aus, dass der betreffende AVAST-Server, über den der CCleaner Installer verteilt wurde, kompromittiert war. Denn der Installer war mit einem gültigen Zertifikat signiert.

Ergänzung: Detaillierte Informationen zur Backdoor finden sich bei morphisec.com im Blog. Danke an Leon für den Link.

Vorfall von Piriform bestätigt

Piriform hat den Sicherheitsvorfall heute in einem Blog-Post bestätigt – [Ergänzung: wobei es wohl, laut Blog-Beitrag, nur 32-Bit-Versionen betrifft]. Die Malware wurde in CCleaner Version 5.33.6162 und CCleaner Cloud Version 1.07.3191 gefunden. Aktuelle Versionen des CCleaner sollen wieder frei von Malware sein.


Werbung

[Ergänzung: Piriform schreibt zwar, dass durch das Update auf die aktuellste Fassung des CCleaner die Malware entfernt worden sei. Ich selbst hätte da aber kein gutes Gefühl bei – wenn ein System kompromittiert wurde, kann man diesem nicht mehr vertrauen. Normalerweise hätte ich gesagt: Neu aufsetzen. Erschreckend ist auch die Erkennungsrate von Virus Total, wie man den nachfolgenden Kommentaren entnehmen kann.]

Die Mutterfirma AVAST gibt übrigens an, dass 3 % aller Nutzer (2,27 Millionen System) von CCleaner betroffen waren/sind. AVAST will seine Virenscanner aktualisieren und möglicherweise betroffene Anwender informieren. Aber wenn einem Antivirus-Anbieter so etwas passiert, weiß ich nicht, was ich von der Firma zu halten habe. Ein paar zusätzliche Details finden sich bei Bleeping Computer.

Nachtrag: Ein Übersichtsbeitrag (in Englisch), der erläutert, was man nach einer Infektion tun soll und wie man erkennt, ob man infiziert ist, findet sich zwischenzeitlich ebenfalls bei Bleeping Computer. Ergänzung: Es gibt eine Stellungnahme von AVAST (siehe AVAST-Stellungnahme zur CCleaner-Backdoor).

Ähnliche Artikel:
Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs
PUP: Kommt AVAST im Beipack mit Piriform CCleaner?
AVAST-Stellungnahme zur CCleaner-Backdoor

 


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

37 Antworten zu Autsch: CCleaner als Malware-Schleuder

  1. blockhunz sagt:

    zum entfernen von tmp-Dateien ist der ccleaner aber in der Tat ein sehr praktisches Tool.
    Klar kann man das alles auch “zu Fuß” erledigen, da verteilt und verfranst abgelegt aber mühseliger. Deswegen ist diese Fkt sinnvoll, weil schnell und mit “einem klick”. Dito die Datenträger-wipe-Fkt., wenn man weiss, was man macht.
    Allerdings: Finger weg von sowas wie Reg.-Clean, das ist eher überflüssig und kann schnell kontraproduktiv werden.

    • Dem stimme ich auch zu, Natürlich könnte man auch sämtliche Temporären Dateien von Hand oder per Skript löschen aber wenn es ein Praktisches Tool gibt was dies sogar auch Automatisch macht muss man sich aber auch verlassen können, wobei der Reg. Clean auch hin und wieder durchaus sinnvoll sein, im Übrigen lässt sich ja auch eine Sicherungsdatei der Entfernten Reg. Einträge erstellen die sich auch wider einbinden lassen, von daher nicht so tragisch.
      Windows hat das ja auch alles nicht selbst so im Griff, was sehr schade ist!

  2. Thorky sagt:

    Mein Antivirenprogramm (Bitdefender Antivirus Plus) hat weder beim Download des CCleaners noch bei der Installation angeschlagen. So alt, wie Floxif ist, hätte es mit ziemlicher Sicherheit eine Warnung ausspucken müssen.

    … und wenn nur 3% der CCleanernutzer betroffen waren, können 97% ganz gelassen bleiben. :)

    • Ingo sagt:

      So weit die Theorie. In der Praxis hat mal jemand den betroffenen Installer bei Virustotal reingestellt. 13 von 61 Virenscannern haben dort ein Problem gemeldet. Der Rest hat überall die grüne Lampe gezeigt – keine Gefahr.

      Ich weiß jetzt nicht, zu welcher Gruppe Bitdefender gehört, ich hab den Link grad nicht griffbereit. Aber du verlässt dich da auf etwas, was dich im Ernstfall eher verlassen wird.

      Ja, es stimmt, an sich hätte es bei solch alter Malware eine Warnung geben müssen. Aber die Schlangenölbranche überzeugt halt immer wieder…

      Edit: ich seh grad, unten weiter wurden die entsprechenden Virustotal Links gepostet. Zeigt mal wieder erschreckendes Totalversagen!

      • Thorky sagt:

        Ja, da war ich ebenfalls geschockt, denn auch mein AVP war unter den Totalversagern. Hochnotpeinlich für die AV-Branche: der eine Vertreter lässt die Böhsen Onkelz auf seine Server und die Programme der restlichen bemerken die Folgen nicht.
        Wegen des Installers bei Virus Total gab es zudem Verwirrung, dass auch die 64Bit-Version infiziert sein könnte, aber der Ausschlag bezieht sich wohl nur auf die im Installer vorhandene ccleaner.exe (32Bit). Nicht auszudenken, wenn auch die ccleaner64.exe verändert worden wäre!

  3. Werbung

  4. Dekre sagt:

    Das ist interessant. Es stellen sich aber mehrere Fragen:
    # Welches AV-System hat dieses festgestellt?
    # Avast ist selbst eben ein AV-Programm und blockert selbst Installationen und behindert PCs (siehe auch hier im Blog, im habe Avast nicht).
    # Welche Rolle hat Avast dabei?
    # Was wurde wie generell in welchen Versionen übertagen (Kaufversion, Free-Versionen, wohl insgesamt Cloud-Versionen etc)?
    # Was ist mit den anderen wie Speccy?

    Ich habe gerad einen anderen PC mit 5 AV-Programmen überprüft und dabei ist das nicht festgestellt worden (MSE, Malwarebytes, Shophos, Emsisoft, Eset (ist auch tschechisch)).

    Zum sog. “Schlagenöl”. Bitte keine Diskussion hierzu.
    # Der CCleaner hat mehrere Vorteile – Ohne was löschen zu wollen (!!! sic !!!)
    # Er zeigt zur Analyse wo sich welche Dateien und auch warum befinden! Gerade mit der sog “temorären Verzeichnisanzeige” kann mal viele Dateien aufspüren und diese auch löschen, weil tatsächlich überflüssig und tatsächlich schnulli. Dann kann man da auch Intsallationsdateien für sich separat finden und abspeichern, wenn man diese mal braucht.
    # Der Regedit-Teil ist insbesondere gut, um wirklich von gelöschten Programmen keine Menüanzeige in Win7 zu bekommen (das nerft nämlich , denn die Deinstallationsroutinen entfernen dieses nicht).
    # Man kann eine Programmübersicht anzeigen lassen, die beim Systemstart geladen werden und einen nerven. Dieses kann man einfach dekativieren, ohne über das teilweise doch komplizierte Bordmittel von Windows zu gehen.
    # Man kann die Browser überprüfen und die blöden tep-Dateien etc löschen.
    # Man kann bei Browsern auch auf die geladenen Dinger überprüfen.

    Das mit dem Spionieren geht gar nicht und ist ein Skandal. Gerade für UNternehmen die es einsetzen und das sollen nach Piriform gerade nicht Unbekannte sein.

    Aber gegenüber den Programmen von Sysinteral, die teilweise etwas schwierig zu beidienen sind, ist es eine einfache gute und schnelle Alternative.

    Ich spreche hier nur für Kaufvariante und PC-basiert. Nichts mit diesen Wolken-ding.

    • Dekre sagt:

      Den Schreib – und Tipp(p)fehlern und sostigen grammatikalischen möglichen Unsinnigkeiten (die auftauchen) in der Schnelle in meinem Beitrag kann sich (aus gegebenem Anlass) Jemand anders widmen. Aber bitte nicht hier im Blog von unseren Günter! :)

    • Dekre sagt:

      Richtig, so auch bei Günter oben.
      Aber die Rolle von Avats ist interessant.
      Ich habe bei mir nur 64-bit-Systeme und das neue Update habe ich gerade manuell installiert (über Update-Suchfunktion). Auf einen anderen 32-bit-System mit Win7 (ebenfalls Kaufvariante) habe ich erfahren, dass es dort automatisch auf die neuere vor kurzem installiert wurde. Das muss wohl Ende letzteWoche passiert sein, jedenfalls vor dem 18.09.2017.

    • Hansi sagt:

      Beziehen sich die 32-bit auf die .exe oder auf das Windows selbst? Fand ich verwirrend, weil man natürlich auch auf 64bit-Windows gerne 32-bit Versionen einer Software installiert. Aber es geht wohl tatsächlich um die Windows-Version.

      Ich habe hier ein Windows7-x64 mit CCleaner 5.33, virustotal meldet tatsächlich Malware in dem Setup .exe (15/62, tolle Erkennungsrate). Das System selbst scheint aber sauber zu sein. Hoffe ich mal. Es ist schon irgendwie tragisch, daß man eigentlich eh von einem kompromittierten System ausgehen muss, sobald man irgendeine Fremdsoftware oder -treiber installiert, von MS ganz zu schweigen, aber MS funkt nur zu sich selbst nachhause.

    • Ralf Lindemann sagt:

      Ja, die 32-Bit-Variante ist wohl betroffen. Ich konnte es gerade bei CCleanerPortable 5.33.6162 nachvollziehen und habe die 32-Bit- und 64-Bit-Variante bei VirusTotal überprüfen lassen: die 64-Bit-Variante ist clean, die 32-Bit-Variante ist kompromittiert. Interessant bei der 32-Bit-Variante ist die Befundlage: Von 64 AV-Produkten schlagen 11 Alarm, 2 analysieren die Datei nicht, 51 AV-Produkte setzen ein grünes Häkchen hinter die Analyse und winken die kompromittierte Datei vertrauensvoll durch, darunter so prominente Anbieter wie Avast, BitDefender, Sophos ML, Microsoft, Kaspersky, TrendMicro, Symantec u.a. (Analyse-Datum: 2017-09-18 15:20:43 UTC)

      Vgl. Virus Total Ergebnislink

      • Ingo sagt:

        Danke für den Link. Besonders erschreckend ist, dass eigentlich fast alle namhaften Anbieter von Schlangenöl das Ding nicht als böse erkennen.

        Und geradezu peinlich ist, dass selbst ClamAV es erkennt, die “100% im Test” Kandidaten wie Kaspersky aber nicht.

      • Dekre sagt:

        @Ralf, das ist eine sehr gute Analyse und Recherche. Anerkennung!
        Grüße.

      • Hansi sagt:

        Wenn man dem Piriform-Blog glauben kann, sind nur 32bit-Windowse betroffen. D.h. wenn man unter 64bit-Windows den 32-Bit CCleaner installiert, sollte man trotzdem nicht betroffen sein. Hoffe ich mal, weil genau das bei mir die Konstellation ist. Ich habe mal mein System gescannt, es scheint sauber zu sein, aber bei Windows und den Erkennungsraten der Scanner kann man da wohl nie ganz sicher sein.

        • Ralf Lindemann sagt:

          Das ist wohl wahr: Generell kann man nie ganz sicher sein. Was diesen speziellen Fall betrifft, könnte es sinnvoll sein, die Überprüfung des Systems in ein oder zwei Tagen zu wiederholen. Als Optimist würde ich erwarten, dass die Virendatenbanken der diversen AV-Anbieter dann entsprechend aktualisiert sind und eine Bedrohung erkannt wird. Wie es so schön heißt: Die Hoffnung stirbt zuletzt …

  5. Alex sagt:

    Avast als Virenscanner hat noch nie etwas getaugt.
    Ich hatte schon mehrere Kundensysteme mit aktivem Avast Scanner und die systeme waren trotzdem mit Malware verseucht.

  6. deoroller sagt:

    Ich benutze CCleaner zur Info, da er jede Software analysiert, was und wo sie temporären Mist liegen lässt. Und nur die Zip-Version, die unregelmäßig aktualisiert wird. Ich renne nicht jeder neuen Version nach. Das macht nur unnötigen Stress. Das meiste Übel kommt über Setups ins System, die einem etwas unterjubeln wollen, was man für die gewünschte Software nicht benötigt.
    Wenn man alles nur mit Windows Boardmitteln machen will, kann man einpacken.
    Oder betreibt jemand seine PC nur mit Windows Standardtreiber und MS-Software und am besten im abgesicherten Modus mit der Kneifzange?

  7. Werbung

  8. Sven sagt:

    win+r

    dann

    cleanmgr

    Wieso ein 3. Tool verwenden wenn alles an Bord ist?

  9. Christian sagt:

    Bei mir läuft noch eine 5.30er-Version auf 64Bit. Ich gehöre auch zu denen,
    die die relativ sehr häufigen Updates vom C-Cleaner liegen lassen und nur
    alle 2-4 Monate (vielleicht) mal wieder updaten.
    Ist übrigens lustig, im Büro sprechen immer alle vom CC-Cleaner – naja, es
    gibt ja auch die Tsetse-Fliege…grööööööl… ;-)

    Gruss, Christian

    • Dekre sagt:

      … jaja, die sinnlosen amerikanischen Ambitionen machen es und irgendwie will auch der Chef mal was sagen. Es versteht keiner mehr was damit gemeint ist. Deshalb entstand auch das sinnferne Wort “Handy”. Ich bin in Philadelphia mit meinem Segelflugzeug vor über 30 Jahren gelandet. Ist eben so und nun bisschen grübeln. Auch die schicken französischen Automarken (und natürlich separate Hersteller und Konstrukteure) kann keiner mehr richtig aussprechen; ist auch sinnlos da alles nun vereint im Staatskonzern Frankreich. Das aber alles nur am Rande. Mal sehen wie es mit dem o.g. Produkt weitergeht. das Unternehmen Avast (und Jenen den es gehört) hat wohl jedenfalls mächtig Mist gebaut.

  10. Hape sagt:

    Auf unseren zwei Win10-64bit Notebooks hat “Malwarebytes” in den CCleaner 5.33 setup Dateien, die noch im Papierkorb waren, den “Trojan Nyetya” gefunden. Das ist doch der Verschlüsselungstrojaner, oder ? In den letzten Tagen ist uns im Browser das “Urgent Firefox Update pop-up” aufgefallen, das eine Aufforderung zum Download einblendet. Selbstverständlich haben wir das nicht gemacht, obwohl unsere Firefox meist in einer zusätzlichen Sandbox laufen. Eventuell besteht ein Zusammenhang mit dem CCleaner, da früher solche Einblendungen niemals auftraten ?

    • Hape sagt:

      Nachtrag:
      Die Feststellung des :”Trojan.Nyetya” auf unseren zwei Win10-64bit Notebooks in Zusammenhang mit dem CCleaner64bit war kein Einzelfall:

      Beim Trojaner-Board und überall im Netz häufen sich jetzt die Funde:
      1)Hallo,habe einen Malewarebytes-Scan mit Fund:”Trojan.Nyetya”
      Hier ist das Ergebnis:Trojan.Nyetya, C:\USERS\MäNNI\DOWNLOADS\CCSETUP533.EXE, …

      2)Seems even Ccleaner 64-bit may have had Trojan.Nyetya in the pile. Malwarebytes did find and quarantine, doing scans as I type…

      3)FYI, just ran Malwarebytes on my 64-bit machine with CCleaner v5.34.6207 already installed.Malwarebytes detected Trojan.Nyetya for download of ccsetup533.exe and \Program Files (86)\iolo\System Checkup

      4)Malwarebytes sees it now. Ran a scan on ccsetup533.exe and it flagged it as Trojan.Nyetya …

      Beim CCleaner32bit war der Trojan.floxif im Installer.
      Die Piriform/Avast-Aussage, dass nur der CCleaner32bit kompromittiert ist, sollte nur die überwiegenden 64bit-Nutzer beruhigen, in der Hoffnung, dass alle Windows-Systeme up-to-date sind, und der Verschlüsselungstrojaner verborgen bleibt ?

      • Dekre sagt:

        Da bin ich mir nicht sicher. Die ccsetup533.exe installiert dann zwei Dateien eine für 32-bit-Systeme und eine für 64-bit-Systeme. Ich habe die 64-bit.exe gestern mehrfach bei Virustotal hochgeladen und und dazu auch separat mit Malwarebytes und MSE etc. überprüft. Die ccleaner64.exe in der 533-Version wies nichts aus. Aber man kann nie wissen. Jetzt gibt es ein neueres Update seit heute mit 535-Version. @Smyth berichtet in den anderen Blogbeitrag.

  11. Pixelkrieger sagt:

    Ausgerechnet “ChipOnline” rät nun dazu man sollte ein Backup vom System machen und Windows neu aufsetzten. Das raten auch die Entdecker der Malware.

    Ist das realistisch oder nun doch übertrieben.

    • Dekre sagt:

      Lassen wir uns nun diesen geisten Schwachsinn genussvoll lesen. Auch die Besserwisser von “Spiegel” meinten darüber in einer “super-wichtigen-meldung” zu berichten. Das Ding ist nun bearbeitet und weggelutscht. Immer daran denken, dass die alle eine Konzern anhängen. Können die nur Halbwahrheiten bringen, so sind diese bspw. mit C-Cleaner oben auf. Chip… etc alles eine Soße und gehört alles nicht ernst genommen (!).

    • Günter Born sagt:

      Genau das wäre auch mein Ratschlag gewesen. Auf Grund eines Kommentars habe ich aber heute den Blog-Beitrag PUP: Kommt AVAST im Beipack mit Piriform CCleaner? mit ein paar Gedanken, u.a. zum Thema Neuinstallation, veröffentlicht. Vielleicht kann jemand der Nutzer da was zu sagen.

  12. Herr IngoW sagt:

    Der Windows-Defender hat die 32bit-Version von “CCleaner.exe” auch gefunden in der Zip-Datei der Portable-Version.
    Die lösche ich sowieso immer weil ich nur die 64bit-Version brauche, ab und zu.

  13. Andre sagt:

    Infiziert sind die meisten eh schon mit Schadsoftware die noch unendeckt ist, und eventuell noch lange bleibt. Thema passt auch wieder sehr gut zu der aktuellen Situation, Vorratsdatenspeicherung. Und wer weiß, wie lange die Malware schon im cleaner vorhanden ist. Sicher ist nur, jetzt wurde sie erst erkannt.

    Und nebenbei, nicht nur der cleaner ist betroffen:
    https://picload.org/view/dgdwrdpl/pic.png.html

    Arbeite selber in der IT und muss ab und zu PCs/Laptops durchchecken. Erstelle dafür kleine Dokus um diese mit den Kunden zu besprechen. In einigen Fällen ist man selber dran Schuld.
    Und Malewarebytes ist unter anderen ein Tool was ich oft nutze, wenn ich solche Checks durchführe.

    Wie oben schon erwähnt, es gibt Bordmittel mit denen die Arbeit solcher Tools überflüssig wird. Wenn man dafür schon Interesse hat, sollte man sich erst mit dem eigenen System auseinander setzen.

  14. Nobody sagt:

    Zitat c’t:
    “Dass ein PC schneller arbeitet, wenn man ihn regelmäßig von überflüssigen Dateien befreit, ist ein Gerücht, das sich schon Ewigkeiten hält, jedoch weder für herkömmliche Festplatten noch für moderne SSDs zutrifft.”

  15. lucky sagt:

    Kann mich mal bitte jemand aufklären?
    Ich nutze seit einiger Zeit aus bequemlichkeit den ccleaner in der 64bit Version. Nachweislich ein schlechte Entscheidung :(

    Wenn ich die “portable” ccleaner Version runterlade und entpacke, bekomme ich in dem entsprechenden Ordner immer eine 32bit Exe sowie eine 64bit Exe-Datei angezeigt.
    Ist der PC allein durch dieses Entpacken dann schon infiziert? Oder tatsächlich erst dann, wenn ich die betroffene 32bit Exe-Datei starte?

    Kann das hier jemand konkret beantworten? Dann schon mal vielen Dank vorab :)

    • Günter Born sagt:

      Konkret beantworten wird schwierig, da man immer nur von Fall zu Fall entscheiden kann. Ich versuche mal die Szenarien zu erklären:

      * Entpacken aus einem ZIP-Archiv – in der portablen Version – keine Gefahr
      * Entpacken durch ein selbstextrahierendes .exe-Archiv – möglicherweise Gefahr, wenn der Entpacker kompromittiert war (das Szenario ist unwahrscheinlich aber nicht ausgeschlossen).

      * Ausführen der 32-Bit-Version von ccleaner – infiziert, wenn aus der 32-Bit-Version die Malware aufgerufen wird.
      * Ausführen der 64-Bit-Version von ccleaner – infiziert, wenn aus der 64-Bit-Version die Malware aufgerufen wird.

      Jetzt müsste man sich die Komponenten mit einem Virenscanner ansehen, der nachweislich die Malware erkennt. Vielleicht hilft es weiter (ich selbst werden da keine Feldforschung betreiben).

  16. lucky sagt:

    Trotzdem Danke für die Rückmeldung.

    Werd wohl besser meine Systemsicherung bemühen und frisch aufsetzen. Und dann auch auf den CC-Müll künftig wieder verzichten ;)

    Traurig wenn nicht mal Avast, als Anbieter von Virenschuztsoftware, es schaffen Ihren Laden sauber zu halten.
    Aber nachdem bei WISO ein Bericht kam das sämtliche derzeitigen prof. Virenschutzlösungen am Markt von Hacker jederzeit ausgehebelt werden können wundert mich inzwischen fast gar nichts mehr.
    Anstatt diesem Problem höchste Priorität einzuräumen, läuft alles so weiter wie bisher. Ist halt Neuland in Deutschland..

    Wenn Avast hier wenigstens so etwas wie minimale Schadensbegrenzung betreiben würde, dann sollte eigentlich umgehend eine Überprüfungmöglichkeit bereitgestellt werden. Damit der geschädigte User sicher sein kann das sein System (wieder) sauber ist. Zumindest von dieser bekannten Malware..

  17. Schluffenjupp sagt:

    Mich hats erwischt. Folgende Elemente wurden von Malwarebytes in die Quarantäne verschoben. Hatte 32-bit-Version Ver. 5.33xxxx

    Trojan.Floxif Typ: Datei Ort: ccleaner.exe in Ordner program files
    Trojan.Floxif.Trace Typ: Registrierungswert in hklm….\agomo muid
    Trojan.Floxif.Trace Typ: Registrierungswert in hklm….\agomo tcid

  18. Jason Severson sagt:

    Also ich habe die 64 bit Version und mir wurde die Install Exe als Infiziert angezeigt.
    Das Program an sich aber nicht.
    Installer gelöscht und ein Update gemacht und alles war gut. Alles Clean !

    Benutze CC schon seit XP und hatte nie Probleme.

  19. Loewe sagt:

    habe in meiner 64bit Version am 20.10. im Norton den Hinweis bekommen, dass ccsetup533.exe den TROJAN.SIBAKDI enthält, der von Norton eliminiert wurde!!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.