CCleaner ist ein Dienstprogramm, das dafür entwickelt wurde, unerwünschte Dateien von Computern zu löschen. Die Software beseitigt temporäre Dateien, die unnötig Speicherplatz belegen, sowie ungültige Windows-Registrierungsschlüssel. Bei der Bereinigung werden auch schädliche Dateien im System gelöscht. Im Januar 2017 vergab CNET dem Programm die Note „Sehr gut“.
Im September 2017 wurde dann jedoch CCleaner-Malware entdeckt. Hacker versahen das legitime Programm mit schädlichem Code, der darauf ausgerichtet war, Daten von Benutzern zu stehlen. So verwandelten sie ein Werkzeug, das dazu dient, Malware von Computern fern zu halten, in eine ernsthafte Bedrohung für vertrauliche und persönliche Daten.
Die Bedrohung im Detail
Die Malware bestand aus zwei Trojanern, Trojan.Floxif und Trojan.Nyetya, die in die kostenlosen Programme CCleaner Version 5.33.6162 und CCleaner Cloud Version 1.07.3191 injiziert wurden. Man nimmt an, dass die Hacker in die Build-Umgebung von CCleaner eindrangen, um die Malware zu injizieren.
Verschiedenen Berichten zufolge ist die Malware in der Lage, bestimmte Daten aus einem infizierten Computersystem zu sammeln, einschließlich IP-Adressen und Informationen über installierte und aktive Software, und diese an einen Drittanbieter-Server in den USA zu senden.
Der Mutterkonzern von CCleaner, Avast Piriform, fand die Malware am 12. September 2017 und unternahm sofort die erforderlichen Schritte, um das Problem zu beheben. Zunächst dachte man, dass sich die Infizierung auf die genannten Versionen beschränkte, die unter 32-Bit-Windows-Systemen liefen, und dass das Herunterladen von Upgrade-Versionen des Programms das Problem lösen würde. Man geht davon aus, dass mehr als zwei Millionen Benutzer infiziert wurden.
Das Unternehmen erkannte allerdings schon bald, dass die Malware-Infektion schwerwiegender war als ursprünglich angenommen. Cisco Talos entdeckte einen Payload der zweiten Stufe. Dieser Payload richtete sich an ca. 20 der größten Technologieunternehmen, darunter Google, Microsoft, Cisco und Intel, und infizierte 40 Computer.
Wired meldete Folgendes zum Payload: „Cisco gibt an, dass das Unternehmen von einer nicht näher benannten Quelle, die an der CCleaner-Untersuchung beteiligt war, eine digitale Kopie des Command-and-Control-Servers der Hacker erhalten habe. Der Server enthielt eine Datenbank sämtlicher kompromittierter Computer, die zwischen dem 12. und 16. September Informationen an den Rechner der Hacker übermittelte.“
Es gibt zwar keine eindeutigen Beweise, anhand derer sich die Verantwortlichen für die CCleaner-Malware identifizieren lassen, doch Ermittler fanden eine Verbindung zu einer chinesischen Gruppe von Hackern, die unter dem Namen „Axiom“ bekannt ist.
Die CCleaner-Malware weist den gleichen Code wie Tools von Axiom auf, und ein Zeitstempel auf einem kompromittierten Server deutete auf eine chinesische Zeitzone hin. Zeitstempel können allerdings geändert werden, was die genaue Bestimmung der Herkunft erschwerte.
Hinzu kam, dass große Technologieunternehmen im Visier standen, was Bedenken aufkommen ließ, dass die CCleaner-Malware Teil eines staatlich geförderten Angriffs sein könnte. Die Untersuchungen im Hinblick auf die Verantwortlichen für diesen Angriff sind noch immer im Gange (Stand: Ende 2017).
Wie wird man CCleaner-Malware wieder los?
Nach der ersten Entdeckung der CCleaner-Malware wurde den Benutzern empfohlen, ein Upgrade auf die neueste Version des Programms vorzunehmen. Diese Vorgehensweise basierte auf der Annahme, es handele sich um einen Einzelfall, und spätere Versionen seien sicher. Mit der Aufdeckung des Payloads der zweiten Stufe wurden das Entfernen der Malware und der Schutz dagegen aber viel komplizierter.
Ein Disaster-Recovery-Plan ist möglicherweise der einzige Weg, um effektiv sicherzustellen, dass Ihr Computer frei von CCleaner-Malware ist. Ermittler empfehlen die Wiederherstellung von Systemsicherungen von vor dem 15. August, also dem Tag, an dem die ersten infizierten Programme veröffentlicht wurden.
Es empfiehlt sich, die infizierte Version von CCleaner zu deinstallieren und Antivirenscans zu starten, um sicherzustellen, dass das System sauber ist. Wenn Sie sich für eine Neuinstallation von CCleaner entscheiden, sollten Sie die neueste verfügbare Version oder zumindest Version 5.34 oder höher wählen.
CCleaner ist als ausgezeichnetes Tool zur Beseitigung von schädlichen Programmen bekannt, die sich in den Untiefen von Computersystemen verstecken. Wie der Malware-Vorfall beweist, sind jedoch selbst die Programme, die dem Schutz unserer Computer vor Bedrohungen dienen, nicht immun gegen Hacker.
Weitere Artikel:
- Was ist Adware?
- Was ist ein Trojaner?
- Fakten und FAQs zu Computerviren und Malware
- Spam und Phishing
Weitere Produkte: