Abo
  • Services:

Avast: Ccleaner-Malware hat drei Stufen und verschont 64-Bit-PCs

Die Malware in einer Ccleaner-Version hatte mindestens drei Stufen - von der ersten waren 1,65 Millionen Personen betroffen. Wer ein 64-Bit-Windows nutzt, soll allerdings nichts zu befürchten haben.

Artikel veröffentlicht am ,
Die Malware verteilt sich auf mindestens drei Stufen.
Die Malware verteilt sich auf mindestens drei Stufen. (Bild: Fanghong/Wikimedia Commons/CC-BY-SA 3.0)

Auf der Sicherheitskonferenz Virus Bulletin in Madrid haben Jakub Křoustek und Jiří Bracek von Avast neue Erkenntnisse zur Malware vorgestellt, die im August und September für rund einen Monat mit Ccleaner verteilt wurde. Gute Nachrichten gibt es für Nutzer von 64-Bit-Systemen.

Stellenmarkt
  1. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  2. HAWK Hochschule für angewandte Wissenschaft und Kunst, Hildesheim

Insgesamt habe es in dem Zeitraum 2,27 Millionen Installationen der infizierten Software gegeben, etwa 1,65 Millionen nahmen danach Kontakt mit dem Command-and-Control-Server auf. Die zweite Stufe der Malware sei auf etwa 40 Rechnern installiert worden, was Ciscos These eines gezielten Angriffs stützt. Neben der kostenfreien Ccleaner-Version für 32-Bit-Systeme soll auch die Version Ccleaner Cloud in der Version 1.7.0.3191 den Payload enthalten haben, allerdings in einer leicht modifizierten Version.

Die Malware in der einfachen Ccleaner-Version bricht den weiteren Installationsvorgang ab, wenn Nutzer keine Administratorrechte haben. Diese Einschränkung gibt es in der Cloud-Version nicht, die zweite Stufe der Malware wird dort demnach aktiviert, auch wenn Nutzer nur beschränkte Rechte haben. Auch bei der zweiten Stufe der Malware handelt es sich nur um ein Programm, das weitere Software nachlädt - es gibt also mindestens drei Stufen.

Auf die Inhalte der dritten Stufe wollte Avast aus Rücksicht auf noch andauernde Ermittlungen nicht eingehen. Es könne aber auch sein, dass es noch mehr Stufen gebe.

Einbruch bei Piriform schon im April

Die Angreifer haben die Operation offenbar sorgfältig vorbereitet. Das selbst signierte Zertifikat für den Command-and-Control-Server wurde am 4. Juli 2017 erstellt, bereits im April soll der Einbruch in die Infrastruktur von dem zu Avast gehördenden Ccleaner-Hersteller Piriform erfolgt sein. Der Einbruch erfolgte, bevor Avast das Unternehmen im Juli übernahm. Die Infrastruktur von Avast selbst soll nicht infiziert worden sein.

Der Command-and-Control-Server der ersten Stufe kommunizierte mit der Malware vor allem über eine hardcodierte IP-Adresse. Eine weitere dynamische Kontaktmöglichkeit, mit Hilfe eines Algorithmus generierte Domains, wurde in Zusammenarbeit mit Cisco eingedämmt. Das geschah durch Manipulation im DNS, sogenanntes sinkholing.

Die zweite Stufe der Malware verwendete einige leicht abgewandelte Domains wie adoble.net, außerdem fingierte Nutzeraccounts auf Wordpress und Githubs, die IP-Adressen für C-und-C-Server übermitteln. In dieser Stufe findet sich die harmlos aussehende neue Funktion get_tls_callback, die ihrerseits verschlüsselte Inhalte enthält. Der Code wird von dem Programm entschlüsselt und der Download für die nächste Stufe der Malware gestartet. Dabei läuft der Prozess als eigener Thread abseits der Ccleaner-Installation.

Bevor der Download gestartet wird, vergehen zehn Minuten. Dass sei eine gute Nachricht für Nutzer von 64-Bit-Systemen, so die Avast-Forscher. Denn wenn Nutzer auf diesen Systemen die 32-Bit-Version von Ccleaner nutzten, ließe diese sich zwar installieren, würde aber nur wenige Momente laufen und ein Update auf die 64-Bit-Version empfehlen.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 216,71€
  3. 119,90€

zilti 08. Okt 2017

Ein paar tausend kaputte Registryeinträge können schon mal ein .NET-Programm nicht mehr...

Bluejanis 05. Okt 2017

Avast hatte ja schon länger ähnliche Zusatzfunktionen, haben die ccleaner da schon...

Cok3.Zer0 05. Okt 2017

Auch leider fälschlicherweise eine Nebeninfo, wer jetzt eigentlich das Ziel des Angriffs...

onkel_joerg 05. Okt 2017

ICH BIN VEGANER!


Folgen Sie uns
       


Der Mars-Maulwurf des DLR erklärt

Ulrich Köhler vom DLR erläutert die Funktionsweise des Mars-Maulwurfes.

Der Mars-Maulwurf des DLR erklärt Video aufrufen
Sechs Airpods-Konkurrenten im Test: Apple hat nicht die Längsten
Sechs Airpods-Konkurrenten im Test
Apple hat nicht die Längsten

Nach dem Klangsieger und dem Bedienungssieger haben wir im dritten Test den kabellosen Bluetooth-Hörstöpsel mit der weitaus besten Akkulaufzeit gefunden. Etwas war aber wieder nicht dabei: die perfekten True Wireless In-Ears.
Ein Test von Ingo Pakalski


    Zotac Geforce GTX 1660 Ti im Test: Gute 1440p-Karte für unter 300 Euro
    Zotac Geforce GTX 1660 Ti im Test
    Gute 1440p-Karte für unter 300 Euro

    Die Geforce GTX 1660 Ti von Zotac ist eine der günstigen Grafikkarten mit Nvidias Turing-Architektur, dennoch erhalten Käufer ein empfehlenswertes Modell: Der leise Pixelbeschleuniger rechnet praktisch so flott wie übertaktete Modelle, braucht aber weniger Energie.
    Ein Test von Marc Sauter

    1. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
    2. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern
    3. Metro Exodus im Technik-Test Richtiges Raytracing rockt

    Uploadfilter: Voss stellt Existenz von Youtube infrage
    Uploadfilter
    Voss stellt Existenz von Youtube infrage

    Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

    1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
    2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
    3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

      •  /