PUP: Kommt AVAST im Beipack mit Piriform CCleaner?

Mal ein kurze Nachfrage an die Fans von CCleaner: Ist euch aufgefallen, dass da plötzlich eine AVAST-Sicherheitslösung im Beipack mit kommt? Hier noch eine Nachbetrachtung zum gestrigen Blog-Beitrag zum CCleaner.


Anzeige

Merkwürdiger Vorfall

Ich hatte ja gestern im Blog-Beitrag Autsch: CCleaner als Malware-Schleuder bereits ein wundes Thema angerissen. Der CCleaner wurde für ein 32-Bit-Windows im Zeitraum zwischen dem 15. August und dem 12. September 2017 mit einer ‘Malware’ im Beifang zum Download angeboten. Diese war mit gültigen Zertifikaten im Installer signiert und übermittelte Daten wie die IP-Adresse, den Rechnernamen, installierte Software und vorhandene Netzwerkadapter an einen Server in den USA.

Dann hieß es, eine neue CCleaner-Version ohne diesen ‘Schadcode’ stünde zur Verfügung – ein Update auf diese Version würde die Malware beseitigen. Für mich riecht das doch arg. Warum? Hier zwei spontane Gedanken:

  • Wenn es wirklich Malware von einem unbekannten Angreifer war, wundert mich der Ratschlag, nur eine neue CCleaner-Version zu installieren, um ‘sauber zu sein’. Aus professioneller Sicht ein äußerst fahrlässiger Ratschlag.
  • Falls die Jungs von AVAST/Piriform da einen ‘Harvesting-Versuch’ unternommen haben sollten, würde der Ratschlag nur eine neue CCleaner-Version zu installieren, um ‘sauber zu sein’, sehr viel Sinn machen.

Bei der letztgenannten These wäre aber das Thema mit einem argen Geschmäckle versehen. Ich habe keine Anhaltspunkte für diese beiden Thesen, nur mal laut gedacht. Aber die Art der abgerufenen Daten lässt bestimmte Gedanken bei mir aufkommen – mag mich aber irren.

Kommt AVAST im Beipack mit CCleaner?

Diesen Blog-Beitrag hätte es nicht gegeben, wenn nicht dieser Kommentar in meinem Englischen Blog eingeschlagen wäre.

Last Tuesday (Sept 12), I downloaded the most recent version of the 32-bit CCleaner (v5.34) on a Windows 7 (32-bit) machine. When I initiated a reboot – unrelated to the new CCleaner update since it’s not required – Avast anti-virus software was automatically (and mysteriously) installed after the reboot. Since the only change I’ve made to my machine was the installation of CCleaner, it appears Avast AV installation file may have piggybacked on the CCleaner 3.34 (32-bit) download as the date and time of the installation are nearly identical.

Also mal in dürren Worten: Der Nutzer hat sich am 12. September die 32-Bit-Version von CCleaner (v5.34) – also die malwarefreie Variante heruntergeladen und installieren lassen. Nach dem Reboot stellte er fest, dass die AVAST Antivirus-Software mysteriöser Weise installiert war. Der Nutzer vermutet, dass AVAST im Beipack mit dem CCleaner-Installer gekommen ist. Der Nutzer wirft im Kommentar die Frage auf, ob die vorherige Aktion nicht direkt von AVAST/Pirisoft stammt, um Daten über Systeme zu sammeln.

Ist natürlich nur Konspirationstheorie – und mir fehlt die Zeit, da was zu analysieren – zumal die Installer mit Beipack zufallsgesteuert ausgerollt werden könnten, so das ein Test nichts ergibt. Daher meine Frage: Ist jemandem von Euch so etwas aufgefallen, oder könnt ihr euch einen Reim darauf machen? Vielleicht bekommen wir so etwas heraus.

Ergänzung: Vergesst die obigen Vermutungen – AVAST hat noch eine Stellungnahme herausgegeben, die ich im Blog-Beitrag AVAST-Stellungnahme zur CCleaner-Backdoor nachgetragen habe.


Werbung

Ähnliche Artikel:
Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs
Autsch: CCleaner als Malware-Schleuder
AVAST-Stellungnahme zur CCleaner-Backdoor


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Responses to PUP: Kommt AVAST im Beipack mit Piriform CCleaner?

  1. Also als ich gestern die Meldung las, das im CCleaner Update Malware mitgekommen sei habe ich natürlich alle Rechner auf denen hier der CCleaner benutzt wird mal überprüft, das sind 32 als auch 64bit Maschinen der CCleaner ist die Free Version und die Auto Update Funktion ist deaktiviert, das Antiviren Programm ist der Windows Defender als auch Avast Antivirus.

    Daneben habe ich auch noch mal bei einigen Maschinen das Desinfec’t 2017 benutzt um wirklich sicher zu gehen ob der CCleaner dort was Huckepack mitgebracht hat, und ich konnte hier keine Schadsoftware entdecken.

    Ich sag mal so, letzte Woche hat der MSE auf einem Server hier im UltraVNC.exe einen Trojaner festgestellt nach mehrmaligen überprüfen und Tiefenscan war die Bedrohung plötzlich seltsamerweise wieder weg, das hat mir persönlich einen viel größeren Schrecken eingejagt als die mögliche Malware jetzt im CCleaner.
    Wenn Piriform jetzt selbst ein Warnung herausgibt das alle Server über die der CCleaner verteilt wird kompromittiert waren, wäre das natürlich was anderes.

    • Dekre sagt:

      Ich habe jetztt noch einmal erneut alle CCleaner-Setup-Dateien analysiert. Die alten kann man sich noch bei filepony.de runterladen. Dann habe ich au einen 3. PC noch die CCleaner.exe (32-bit) und die CCleaner64.exe mit der fragwürdigen Version mir separat abgespeichert und alles bei Virustotal hochgeladen. Jetzt erkennen es schon 36 AV-Programme. Das gibt für die CCleaner.exe (32-bit) und die ccsetup533.exe.

      Der Witz an der Sache ist, dass kein AVAST-AV-Programm nach wie vor das als schädlich erkennt, keines! Das ist doch ein Witz und AVAST behauptet unschuldig zu sein.

      Ich vermute, dass AVAST dahinter steckt und ihre AV-Programme verkaufen will.

      • Möglich das es so ist ich hab halt gestern nicht erst nachgesehen welche Version des CCleaner installiert war sondern direkt gescannt möglicherweise war auch noch die v 5.32 installiert und ich hab nichts gefunden.
        Ich werde mich hüten die v5.33 noch mal zu installieren ;)

  2. Horst sagt:

    Reicht es nicht den CCleaner als portable Version zu nutzen?

    • deoroller sagt:

      Das reicht leider nicht, da der Schadcode in ccleaner.exe enthalten ist.
      Das muss man immer starten.

      • Das ist Jacke wie Hose, wenn etwas drinnen ist wird es ausgeführt egal ob fest installiert oder Portabel und wenn du es Startest ist es auch egal von woher es gestartet wird.
        Nur könnte man so auch Rechner Infizieren auf denen das Hauptprogramm gar nicht existiert.

  3. Rudolf sagt:

    RICHTIG, ich habe beim update (manuell) gestern, Dez. 13 auch plötzlich einen Avast icon auf meinem Desktop entdeckt.
    Allerdings, am gleichen Tag gab es auch ein sehr grosses roll up the crap Windows update das selbst meinen i7 prozessor zum fast stillstand brachte, und daher vermutete ich es waere Windows gewesen das den usern diesen Mist unterjubelt, aber dann fand ich ein tech forum in welchem erwähnt wurde dass Avast Piriform aufgekauft hat – und damit ist wohl alles klar!! Wenn eine Firma unangemeldet, und ohne jegliche opt-out Meldung ein eigenes anderes program in en update rein schmuggelt dann muss man vor solch einer Firma dringenst abraten meiner meinung nach, das sind niedrigste Typen welche sowas machen!! Bis anhin habe ich CCleaner gerne weiter empfohlen, ab jetzt kann ich nur noch das empfehlen was ich von techies sonst noch so las – benutzt eure Browser cleanup tools (also z.B. n Chrome “Browserdaten löschen” und allenfalls zusätzlich das Disk Cleanup tool von Windows selbst statt so ne mistige Gurke wie dies CCleaner nun leider geworden ist!!

  4. Rudolf sagt:

    Okay, Zusatznotiz, nach durchlesen eines Avast Forums, in welchem erwähnt wurde dass es searchlight ein Opt-Out Kaestchen gibt habe ich die v5.38 nochmals aufgestartet um den Anfangsscreen zu sehen – und da ist tatsaechlich unterhalb erwaehnt
    .. okay, anscheinend geht das copy and paste damit nicht, immerhin, es ist angezeigt und ich habe es wohl schlichtweg uebersehen nach so vielen installs ueber all die Jahre ohne sowas!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.