ThailandTIP Forum
Thailand-Foren der TIP Zeitung => Technisches zu Computern und Internet => Thema gestartet von: Kern am 20. September 2017, 20:14:12
-
ACHTUNG: CCleaner wurde gehackt
Mindestens rund einen Monat lang wurde die CCleaner-Version 5.33 mit eingebauter Malware verteilt (von Mitte August bis Mitte September), was auch für Updates gilt!
Das betrifft mindestens die Version 5.33 (für 32-Bit-Systeme), mindestens die CCleaner Cloud Version 1.07.3191 und mindestens alle seit Mitte August geupdateten 32-Bit Versionen und Cloud Versionen.
Die beliebte Säuberungs-Software ist Opfer einer Cyber-Attacke geworden, wodurch diese Software den Trojaner Floxif durch Downloads rund 2 Millionen mal verteilte.
Siehe z.B. >> http://www.chip.de/news/Malware-im-CCleaner-von-Avast-Schadcode-sammelte-Nutzerinformationen_123247031.html <<
Ausführlich in englisch >> http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html <<
---
Es ist noch unklar, welche Daten dieser Trojaner in den betroffenen Computern (auch in meinem) sammelte, weiterleitete usw. :o
Da mir immer noch nicht ganz eindeutig geklärt zu sein scheint, welche CCleaner-Versionen Malware enthalten, rate ich dazu, CCleaner zu deinstallieren. (Und erst wieder nach seriöser Entwarnung neu zu installieren)
Nach der Deinstallatin benutzt man in Windows-Systemen z.B. das kostenlose Programm "Malwarebytes Anti-Malware (Download hier >> https://de.malwarebytes.com/mwb-download/ <<), um diesen Trojaner aus dem System zu löschen.
-
115 Bedrohungen gefunden ! :o
-
und wie sieht es mit den älteren Versionen aus ?
Ein Scan brachte bisher keine Auffälligkeiten. Immerhin habe ich monatelang die nervige Updateaufforderung ignoriert. C--
-
Wer eine Version vor 5.33.6162 verwendet und kein Update durchführte, ist anscheinend auf der sicheren Seite.
Weitere Infos:
>> https://www.deskmodder.de/blog/2017/09/18/malware-ccleaner-5-33-6162-und-ccleaner-cloud-1-07-3191-32-bit-version-verseucht/ <<
Wer mit dem CCleaner 5.33.6162 oder der CCleaner Cloud 1.07.3191 in der 32-Bit Version unterwegs ist, sollte umgehend ein Update auf die neueste Version 5.34 oder höher durchführen. Der Hintergrund der Geschichte: Piriform berichtet heute in einem Blogbeitrag, dass es am 12.September zu einen unautorisierten Zugriff auf die Server kam. Dort wurde dann die *.exe geändert.
Diese führte dazu dass durch die Malware Backdoors auf eurem Rechner weit offen waren oder sogar noch sind. Diese sammelte auch Daten vom lokalen Computer. Unter anderem: Name des PCs, Liste der laufenden Prozesse, MAC-Adressen der ersten drei Netzwerkadapter. Sowie zusätzliche Informationen, ob der Prozess mit Administratorrechten ausgeführt wird, ob es sich um ein 64-Bit-System handelt usw.
Diese Infos wurden dann an eine bestimmte IP verschlüsselt übermittelt. Ihr solltet also umgehend auf die neueste Version updaten. Zur Sicherheit dann auch noch euren Rechner über die installierte Antivirensoftware sicherheitshalber einmal überprüfen.
(Stellungnahme von Piriform.)
"Wir möchten uns nochmals bei unseren Kunden für die Unannehmlichkeiten entschuldigen, die dieser Vorfall verursacht haben könnte. Wir unternehmen intern detaillierte Schritte, damit dies nicht noch einmal vorkommt und um Ihre Sicherheit bei der Verwendung unserer Piriform-Produkte zu gewährleisten. Benutzer unserer Cloud-Version haben ein automatisiertes Update erhalten."
---
>> https://www.heise.de/security/meldung/Backdoor-in-CCleaner-ermoeglichte-Fernzugriff-Update-dringend-empfohlen-3834851.html <<
Alert!
Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen
Laut Piriform ist die Gefahr mittlerweile gebannt: Der als Kommandozentrale genutzte Server sei offline und weitere potenzielle Angriffsserver befänden sich außerhalb des Kontrollbereichs der Angreifer. Dennoch wird CCleaner-Nutzern dringend geraten, schnellstmöglich auf die aktuelle Version 5.34 upzudaten. Die Cloud-Version wurde bereits am 15. September mit einem automatischen Update versehen. Wer hinter der Server-Kompromittierung steckt, ist bislang noch unklar; Piriform hat die Strafverfolgungsbehörden hinzugezogen.
Angeblich keine weitere Malware auf den Systemen
In einer Stellungnahme vom heutigen Dienstag ergänzte AV-Hersteller Avast, der Piriform am 18. Juli übernommen hat, dass die erste Server-Kompromittierung bei Piriform möglicherweise schon am 3. Juli erfolgt sei. Avast beziffert die Gesamtzahl betroffener CCleaner-Nutzer auf 2,27 Millionen; aktuell nutzten noch etwa 730 000 die mit Schadcode präparierte Version.
Avast riet in diesem Zusammenhang noch einmal zum Update. Eine vollständige Neuinstallation oder das Zurücksetzen der Systeme auf den Zustand vor dem Tag des verseuchten Updates sei jedoch nicht notwendig. Da 30 Prozent der CCleaner-Nutzer auch Avasts Sicherheitssoftware nutzten, habe das Unternehmen eine Verhaltens- und Traffic-Analyse dieser Systeme durchführen können. Dabei hätten sich keinerlei Hinweise darauf ergeben, dass auf den Systemen weiterer Schadcode ausgeführt worden sei.
-
Obwohl nur zum Update geraten wird, finde ich es sicherer, die Version 5.33 zu deinstallieren und dann z.B. mit Malwarebytes Anti-Malware die Trojaner zu eliminieren.
Und hier gibt es die neuen "sauberen" CCleaner Versionen zum Download:
>> https://www.piriform.com/ccleaner/download <<
-
Ich habe 5.32 (64 bit), keine Probleme.
Auf 5.33 habe ich nie geupdated.
Nun wird als update 5.35 angeboten, aber ich warte noch ein Weilchen. Irgendwann wird es schon wieder sicher sein.
Hacker sollte man hacken.
-
Und hier gibt es die neuen "sauberen" CCleaner Versionen zum Download:
Danke @Kern [-]
-
Obwohl nur zum Update geraten wird, finde ich es sicherer, die Version 5.33 zu deinstallieren und dann z.B. mit Malwarebytes Anti-Malware die Trojaner zu eliminieren.
5.33 32bit hat keinen Tojaner enthalten, sondern "nur" eine sogenannte Backdoor, die technische Daten gesammelt + an einen nicht von Piriform betriebenen Server übermittelt hat. Der Schadcode steckte einzig+allein in der ccleaner.exe; er wird somit durch Deinstallation oder Upgrade auf 5.33 resp 5.35 restlos entfernt.
Installation irgendeiner Antimalware-SW + System-Scan damit erübrigt sich ... und wenn schon: nehmt für einen Malware-Scan ein Tool, das Euch nicht selber den ganzen PC versaut, zB diesen da: https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Original-Mitteilung von Piriform über den Vorfall: https://forum.piriform.com/index.php?showtopic=48869
technische detaillierte Beschreibung wie der Schadcode arbeitete: http://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users
-
5.33 32bit hat keinen Tojaner enthalten, sondern "nur" eine sogenannte Backdoor, die technische Daten gesammelt + an einen nicht von Piriform betriebenen Server übermittelt hat. Der Schadcode steckte einzig+allein in der ccleaner.exe; er wird somit durch Deinstallation oder Upgrade auf 5.33 resp 5.35 restlos entfernt.
Zwar bin ich kein Fachmann, aber mein Computer war von dieser Backdoor (Hintertür) befallen.
Gestern zeigte mir mein kostenloses Avira Antivir plötzlich, dass die CCleaner.exe ein Schadprogramm enthält, welches Antivir gerade selbständig löschte.
Daraufhin googelte ich sofort nach "CCleaner gehackt" und wurde fündig.
Ich deinstallierte CCleaner und ließ anschließend das Programm "Malwarebytes Anti-Malware" mein gesamtes System durchsuchen.
Resultat
Nach der Deinstallation von CCleaner fand das Programm 3x Malware.
1x "Troj.Floxif" im Papierkorb (durch die Deinstallation)
und 2x "Troj.Floxif.Trace" in der HKLM (=HKEY_LOCAL_MACHINE), also in der Registrierungsdatenbank.
Der Schadcode wurde also durch die Deinstallation nicht restlos entfernt!
Siehe auch >> https://sensorstechforum.com/de/ccleaner-trojan-floxif-malware-how-to-remove/ <<
-
Installation irgendeiner Antimalware-SW + System-Scan damit erübrigt sich ... und wenn schon: nehmt für einen Malware-Scan ein Tool, das Euch nicht selber den ganzen PC versaut, zB diesen da: https://toolslib.net/downloads/viewdownload/1-adwcleaner/
???
Das ist schon ein bisschen witzig, denn der "AdwCleaner" (übrigens auch aus der Software-Schmiede Malwarebytes :-) ) ist mehr ein Programm, welches Adware , also Werbe-Programme, unerwünschte Toolbars usw. entfernen soll.
Siehe z.B. >> https://de.wikipedia.org/wiki/Adware <<
Aber immerhin fand AdwCleaner (den ich auch immer wieder nutze) das Schadprogramm im Papierkorb.
Die 2x "Troj.Floxif.Trace" in der Registry entgingen ihm dagegen.
Diesbezüglich habe ich gestern einiges getestet.
-
Nach der Deinstallation von CCleaner fand das Programm 3x Malware.
1x "Troj.Floxif" im Papierkorb (durch die Deinstallation)
und 2x "Troj.Floxif.Trace" in der HKLM (=HKEY_LOCAL_MACHINE), also in der Registrierungsdatenbank.
Der Schadcode wurde also durch die Deinstallation nicht restlos entfernt!
korrekt, der Registry-Schlüssel HKLM\SOFTWARE\Piriform\Agomo wird von der Deinstallation nicht entfernt, ist aber auch völlig harmlos, wenns die EXE nicht mehr gibt.
von einem 2. RegKey weiss ich nix ...
ob das Ding Trojan oder Backdoor genannt wird ist nicht relevant ...
der "AdwCleaner" (übrigens auch aus der Software-Schmiede Malwarebytes
richtig; das Prog wurde von einem Einzelnen entwickelt + gepflegt. vor ein paar Monaten von Malwarebytes übernommen. Weiterentwicklung aber nach wie vor durch "fr33tux"
ist mehr ein Programm, welches Adware , also Werbe-Programme, unerwünschte Toolbars usw. entfernen soll. ...
Die 2x "Troj.Floxif.Trace" in der Registry entgingen ihm dagegen.
korrekt, AdwCleaner findet den CCleaner-"Virus" nicht! bitte um Entschuldigung für gutgemeinten aber falschen Hinweis!
schüchterne Frage: weshalb bist Du (immer noch) mit einer 32bit-Windows (welche Version?) unterwegs?
-
schüchterne Frage: weshalb bist Du (immer noch) mit einer 32bit-Windows (welche Version?) unterwegs?
Heisse zwar nicht Kern, aber fühle mich auch betroffen.
Gegenfrage:
Wenn du zwei mal die Woche 500 m einkaufen fährst - würdest du dir einen Porsche kaufen?
Oder würde es doch noch der alte Pickup, der nebenbei bestens läuft, tun?
???
[-]
-
Tjaaaaaaaaaaa, wenn man den Kommentaren / Beiträgen vom Non200 mehr Beachtung beimessen würde :)
Habe schon vor Wochen vor dem Ccleaner gewarnt. Ist def. nur Schrott.
-
Ist def. nur Schrott.
Ich glaube mich erinnern zu koennen, dass @ Kern es war der den "Cleaner" hier ins Spiel brachte.
Falls ich falsch liege, sorry! Falls nicht, es soll kein Vorwurf sein nur eine Anmerkung ;)
-
Tjaaaaaaaaaaa, wenn man den Kommentaren / Beiträgen vom Non200 mehr Beachtung beimessen würde :)
Habe schon vor Wochen vor dem Ccleaner gewarnt. Ist def. nur Schrott.
Bin deine Kommentare bis zum 1. Juni dieses Jahres durchgegangen, kein einziges Statement zum CCleaner deinerseits gefunden.
Waere nett, wenn du diesbezueglich darauf refenzieren wuerdest, und dem Leser auch erklaeren wuerdest, warum er angeblich Schrott sein soll.
Nicht IT kundige Leser sind sicher gespannt auf deine Antwort und hoffen natuerlich auch darauf, was du ihnen als Alternative empfehlen wuerdest.
-
Ich kann mich schon noch erinnern, dass vor ein paar Monaten jemand eine Warnung gepostet hat, auch wenn ich nicht mehr gewusst hätte wer es gewesen ist.
Bruno, noch eine klitzekleines Stück weiter wäre dann ein Treffer gewesen... {--
https://vpn-anbieter-vergleich-test.de/tipp-ccleaner-nicht-verwenden/
Sollte eigentlich ,, Funzen ;-)
Wenn wieder nicht, nochmals kurze Info bitte.
http://forum.thailandtip.info/index.php?action=post;topic=15233.msg1253978;quote=1253978
-
,,, Ich kann mich schon noch erinnern, dass vor ein paar Monaten jemand eine Warnung gepostet hat, auch wenn ich nicht mehr gewusst hätte wer es gewesen ist ,,,
- ICH -