ThailandTIP Forum

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Neuigkeiten:

Sie befinden sich im neuen Forum.ThailandTIP. Klicken Sie hier, um zum alten Forum(2008-2015) zu gelangen. Hier kann nur noch gelesen werden.
http://forum.thailand-tip.com/

Hier kommen sie zu den aktuellen Nachrichten auf ThailandTIP.info

Autor Thema: ACHTUNG: CCleaner wurde gehackt  (Gelesen 1189 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Kern

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Online Online
  • Beiträge: 8.836
ACHTUNG: CCleaner wurde gehackt
« am: 20. September 2017, 20:14:12 »

ACHTUNG: CCleaner wurde gehackt

Mindestens rund einen Monat lang wurde die CCleaner-Version 5.33 mit eingebauter Malware verteilt (von Mitte August bis Mitte September), was auch für Updates gilt!

Das betrifft mindestens die Version 5.33 (für 32-Bit-Systeme), mindestens die CCleaner Cloud Version 1.07.3191 und mindestens alle seit Mitte August geupdateten 32-Bit Versionen und Cloud Versionen.

Die beliebte Säuberungs-Software ist Opfer einer Cyber-Attacke geworden, wodurch diese Software den Trojaner Floxif durch Downloads rund 2 Millionen mal verteilte.

Siehe z.B. >> http://www.chip.de/news/Malware-im-CCleaner-von-Avast-Schadcode-sammelte-Nutzerinformationen_123247031.html <<

Ausführlich in englisch >> http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html <<

---

Es ist noch unklar, welche Daten dieser Trojaner in den betroffenen Computern (auch in meinem) sammelte, weiterleitete usw.  :o

Da mir immer noch nicht ganz eindeutig geklärt zu sein scheint, welche CCleaner-Versionen Malware enthalten, rate ich dazu, CCleaner zu deinstallieren. (Und erst wieder nach seriöser Entwarnung neu zu installieren)

Nach der Deinstallatin benutzt man in Windows-Systemen z.B. das kostenlose Programm "Malwarebytes Anti-Malware (Download hier >> https://de.malwarebytes.com/mwb-download/ <<), um diesen Trojaner aus dem System zu löschen.
Gespeichert

Isan Yamaha

  • Thailand Guru
  • *******
  • Offline Offline
  • Beiträge: 4.633
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #1 am: 20. September 2017, 20:53:56 »

115 Bedrohungen gefunden !  :o
Gespeichert

namtok

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Offline Offline
  • Beiträge: 17.054
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #2 am: 21. September 2017, 02:55:33 »

und wie sieht es mit den älteren Versionen aus ?

Ein Scan brachte bisher keine Auffälligkeiten. Immerhin habe ich monatelang die nervige Updateaufforderung ignoriert.  C--
Gespeichert
██████

Kern

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Online Online
  • Beiträge: 8.836
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #3 am: 21. September 2017, 06:43:45 »

Wer eine Version vor 5.33.6162 verwendet und kein Update durchführte, ist anscheinend auf der sicheren Seite.

Weitere Infos:
>> https://www.deskmodder.de/blog/2017/09/18/malware-ccleaner-5-33-6162-und-ccleaner-cloud-1-07-3191-32-bit-version-verseucht/ <<

Zitat
Wer mit dem CCleaner 5.33.6162 oder der CCleaner Cloud 1.07.3191 in der 32-Bit Version unterwegs ist, sollte umgehend ein Update auf die neueste Version 5.34 oder höher durchführen. Der Hintergrund der Geschichte: Piriform berichtet heute in einem Blogbeitrag, dass es am 12.September zu einen unautorisierten Zugriff auf die Server kam. Dort wurde dann die *.exe geändert.

Diese führte dazu dass durch die Malware Backdoors auf eurem Rechner weit offen waren oder sogar noch sind. Diese sammelte auch Daten vom lokalen Computer. Unter anderem: Name des PCs, Liste der laufenden Prozesse, MAC-Adressen der ersten drei Netzwerkadapter. Sowie zusätzliche Informationen, ob der Prozess mit Administratorrechten ausgeführt wird, ob es sich um ein 64-Bit-System handelt usw.

Diese Infos wurden dann an eine bestimmte IP verschlüsselt übermittelt. Ihr solltet also umgehend auf die neueste Version updaten. Zur Sicherheit dann auch noch euren Rechner über die installierte Antivirensoftware sicherheitshalber einmal überprüfen.

(Stellungnahme von Piriform.)
"Wir möchten uns nochmals bei unseren Kunden für die Unannehmlichkeiten entschuldigen, die dieser Vorfall verursacht haben könnte. Wir unternehmen intern detaillierte Schritte, damit dies nicht noch einmal vorkommt und um Ihre Sicherheit bei der Verwendung unserer Piriform-Produkte zu gewährleisten. Benutzer unserer Cloud-Version haben ein automatisiertes Update erhalten."

---

>> https://www.heise.de/security/meldung/Backdoor-in-CCleaner-ermoeglichte-Fernzugriff-Update-dringend-empfohlen-3834851.html <<

Zitat
Alert!
Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen

Laut Piriform ist die Gefahr mittlerweile gebannt: Der als Kommandozentrale genutzte Server sei offline und weitere potenzielle Angriffsserver befänden sich außerhalb des Kontrollbereichs der Angreifer. Dennoch wird CCleaner-Nutzern dringend geraten, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde bereits am 15. September mit einem automatischen Update versehen. Wer hinter der Server-Kompromittierung steckt, ist bislang noch unklar; Piriform hat die Strafverfolgungsbehörden hinzugezogen.

Angeblich keine weitere Malware auf den Systemen
In einer Stellungnahme vom heutigen Dienstag ergänzte AV-Hersteller Avast, der Piriform am 18. Juli übernommen hat, dass die erste Server-Kompromittierung bei Piriform möglicherweise schon am 3. Juli erfolgt sei. Avast beziffert die Gesamtzahl betroffener CCleaner-Nutzer auf 2,27 Millionen; aktuell nutzten noch etwa 730 000 die mit Schadcode präparierte Version.

Avast riet in diesem Zusammenhang noch einmal zum Update. Eine vollständige Neuinstallation oder das Zurücksetzen der Systeme auf den Zustand vor dem Tag des verseuchten Updates sei jedoch nicht notwendig. Da 30 Prozent der CCleaner-Nutzer auch Avasts Sicherheitssoftware nutzten, habe das Unternehmen eine Verhaltens- und Traffic-Analyse dieser Systeme durchführen können. Dabei hätten sich keinerlei Hinweise darauf ergeben, dass auf den Systemen weiterer Schadcode ausgeführt worden sei.
Gespeichert

Kern

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Online Online
  • Beiträge: 8.836
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #4 am: 21. September 2017, 06:55:21 »

Obwohl nur zum Update geraten wird, finde ich es sicherer, die Version 5.33 zu deinstallieren und dann z.B. mit Malwarebytes Anti-Malware die Trojaner zu eliminieren.

Und hier gibt es die neuen "sauberen" CCleaner Versionen zum Download:
>> https://www.piriform.com/ccleaner/download <<
Gespeichert

malakor

  • Thailand Guru
  • *******
  • Online Online
  • Beiträge: 5.587
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #5 am: 21. September 2017, 07:25:36 »

Ich habe 5.32 (64 bit), keine Probleme.

Auf 5.33 habe ich nie geupdated.

Nun wird als update 5.35 angeboten, aber ich warte noch ein Weilchen. Irgendwann wird es schon wieder sicher sein.

Hacker sollte man hacken.
Gespeichert

Rangwahn

  • gehört zum Inventar
  • *****
  • Offline Offline
  • Beiträge: 1.004
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #6 am: 21. September 2017, 12:32:32 »

Und hier gibt es die neuen "sauberen" CCleaner Versionen zum Download:

Danke @Kern  [-]
Gespeichert
Solange ich lebe kriegt mich der Tod nicht!

aladoro

  • ist voll dabei
  • ****
  • Offline Offline
  • Beiträge: 142
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #7 am: 21. September 2017, 13:14:31 »

Obwohl nur zum Update geraten wird, finde ich es sicherer, die Version 5.33 zu deinstallieren und dann z.B. mit Malwarebytes Anti-Malware die Trojaner zu eliminieren.

5.33 32bit hat keinen Tojaner enthalten, sondern "nur" eine sogenannte Backdoor, die technische Daten gesammelt + an einen nicht von Piriform betriebenen Server übermittelt hat. Der Schadcode steckte einzig+allein in der ccleaner.exe; er wird somit durch Deinstallation oder Upgrade auf 5.33 resp 5.35 restlos entfernt.

Installation irgendeiner Antimalware-SW + System-Scan damit erübrigt sich ... und wenn schon: nehmt für einen Malware-Scan ein Tool, das Euch nicht selber den ganzen PC versaut, zB diesen da: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Original-Mitteilung von Piriform über den Vorfall: https://forum.piriform.com/index.php?showtopic=48869
technische detaillierte Beschreibung wie der Schadcode arbeitete: http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
Gespeichert
 

Kern

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Online Online
  • Beiträge: 8.836
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #8 am: 21. September 2017, 14:41:26 »

5.33 32bit hat keinen Tojaner enthalten, sondern "nur" eine sogenannte Backdoor, die technische Daten gesammelt + an einen nicht von Piriform betriebenen Server übermittelt hat. Der Schadcode steckte einzig+allein in der ccleaner.exe; er wird somit durch Deinstallation oder Upgrade auf 5.33 resp 5.35 restlos entfernt.

Zwar bin ich kein Fachmann, aber mein Computer war von dieser Backdoor (Hintertür) befallen.

Gestern zeigte mir mein kostenloses Avira Antivir plötzlich, dass die CCleaner.exe ein Schadprogramm enthält, welches Antivir gerade selbständig löschte.
Daraufhin googelte ich sofort nach "CCleaner gehackt" und wurde fündig.

Ich deinstallierte CCleaner und ließ anschließend das Programm "Malwarebytes Anti-Malware" mein gesamtes System durchsuchen.

Resultat
Nach der Deinstallation von CCleaner fand das Programm 3x Malware.
1x "Troj.Floxif" im Papierkorb (durch die Deinstallation)

und 2x "Troj.Floxif.Trace" in der HKLM (=HKEY_LOCAL_MACHINE), also in der Registrierungsdatenbank.

Der Schadcode wurde also durch die Deinstallation nicht restlos entfernt!

Siehe auch >> https://sensorstechforum.com/de/ccleaner-trojan-floxif-malware-how-to-remove/ <<
Gespeichert

Kern

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Online Online
  • Beiträge: 8.836
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #9 am: 21. September 2017, 22:58:54 »

Installation irgendeiner Antimalware-SW + System-Scan damit erübrigt sich ... und wenn schon: nehmt für einen Malware-Scan ein Tool, das Euch nicht selber den ganzen PC versaut, zB diesen da: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 ???
Das ist schon ein bisschen witzig, denn der "AdwCleaner" (übrigens auch aus der Software-Schmiede Malwarebytes  :-) ) ist mehr ein Programm, welches Adware , also Werbe-Programme, unerwünschte Toolbars usw. entfernen soll.
Siehe z.B. >> https://de.wikipedia.org/wiki/Adware <<

Aber immerhin fand AdwCleaner  (den ich auch immer wieder nutze) das Schadprogramm im Papierkorb.
Die 2x "Troj.Floxif.Trace" in der Registry entgingen ihm dagegen.

Diesbezüglich habe ich gestern einiges getestet.
Gespeichert

aladoro

  • ist voll dabei
  • ****
  • Offline Offline
  • Beiträge: 142
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #10 am: 22. September 2017, 12:28:38 »

Nach der Deinstallation von CCleaner fand das Programm 3x Malware.
1x "Troj.Floxif" im Papierkorb (durch die Deinstallation)
und 2x "Troj.Floxif.Trace" in der HKLM (=HKEY_LOCAL_MACHINE), also in der Registrierungsdatenbank.
Der Schadcode wurde also durch die Deinstallation nicht restlos entfernt!

korrekt, der Registry-Schlüssel HKLM\SOFTWARE\Piriform\Agomo wird von der Deinstallation nicht entfernt, ist aber auch völlig harmlos, wenns die EXE nicht mehr gibt.
von einem 2. RegKey weiss ich nix ...
ob das Ding Trojan oder Backdoor genannt wird ist nicht relevant ...

Zitat von: Kern
der "AdwCleaner" (übrigens auch aus der Software-Schmiede Malwarebytes

richtig; das Prog wurde von einem Einzelnen entwickelt + gepflegt. vor ein paar Monaten von Malwarebytes übernommen. Weiterentwicklung aber nach wie vor durch "fr33tux"

Zitat von: Kern
ist mehr ein Programm, welches Adware , also Werbe-Programme, unerwünschte Toolbars usw. entfernen soll. ...
Die 2x "Troj.Floxif.Trace" in der Registry entgingen ihm dagegen.

korrekt, AdwCleaner findet den CCleaner-"Virus" nicht! bitte um Entschuldigung für gutgemeinten aber falschen Hinweis!

schüchterne Frage: weshalb bist Du (immer noch) mit einer 32bit-Windows (welche Version?) unterwegs?
Gespeichert
 

Suksabai

  • Thailand Guru
  • *******
  • Offline Offline
  • Beiträge: 5.261
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #11 am: 22. September 2017, 12:56:11 »

schüchterne Frage: weshalb bist Du (immer noch) mit einer 32bit-Windows (welche Version?) unterwegs?

Heisse zwar nicht Kern, aber fühle mich auch betroffen.

Gegenfrage:

Wenn du zwei mal die Woche 500 m einkaufen fährst - würdest du dir einen Porsche kaufen?

Oder würde es doch noch der alte Pickup, der nebenbei bestens läuft, tun?

 ???

 [-]

Gespeichert
Das ganze Leben ist gefährlich und endet garantiert tödlich! - Was soll's!

Non2011

  • gehört zum Inventar
  • *****
  • Offline Offline
  • Beiträge: 927
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #12 am: 23. September 2017, 16:25:53 »

Tjaaaaaaaaaaa, wenn man den Kommentaren / Beiträgen vom Non200 mehr Beachtung beimessen würde  :)

Habe schon vor Wochen vor dem Ccleaner gewarnt. Ist def. nur Schrott.
Gespeichert

dolaeh

  • Thailand Guru
  • *******
  • Offline Offline
  • Beiträge: 6.020
    • http://www.smilies.4-user.de/include/Flaggen/deutschlandflagge_2.gif
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #13 am: 23. September 2017, 16:59:54 »

Ist def. nur Schrott.

Ich glaube mich erinnern zu koennen, dass @ Kern es war der den "Cleaner" hier ins Spiel brachte.
Falls ich falsch liege, sorry! Falls nicht, es soll kein Vorwurf sein nur eine Anmerkung  ;)
Gespeichert


Bruno99

  • Globaler Moderator
  • Thailand Guru
  • *****
  • Offline Offline
  • Beiträge: 7.627
Re: ACHTUNG: CCleaner wurde gehackt
« Antwort #14 am: 23. September 2017, 20:56:43 »

Tjaaaaaaaaaaa, wenn man den Kommentaren / Beiträgen vom Non200 mehr Beachtung beimessen würde  :)

Habe schon vor Wochen vor dem Ccleaner gewarnt. Ist def. nur Schrott.

Bin deine Kommentare bis zum 1. Juni dieses Jahres durchgegangen, kein einziges Statement zum CCleaner deinerseits gefunden.
Waere nett, wenn du diesbezueglich darauf refenzieren wuerdest, und dem Leser auch erklaeren wuerdest, warum er angeblich Schrott sein soll.

Nicht IT kundige Leser sind sicher gespannt auf deine Antwort und hoffen natuerlich auch darauf, was du ihnen als Alternative empfehlen wuerdest.
Gespeichert
Persönlich bin ich immer bereit zu lernen, obwohl ich nicht immer belehrt werden möchte. Winston Churchill
 

Seite erstellt in 0.166 Sekunden mit 20 Abfragen.