• IT-Karriere:
  • Services:

Avast: Ccleaner-Malware hat drei Stufen und verschont 64-Bit-PCs

Die Malware in einer Ccleaner-Version hatte mindestens drei Stufen - von der ersten waren 1,65 Millionen Personen betroffen. Wer ein 64-Bit-Windows nutzt, soll allerdings nichts zu befürchten haben.

Artikel veröffentlicht am ,
Die Malware verteilt sich auf mindestens drei Stufen.
Die Malware verteilt sich auf mindestens drei Stufen. (Bild: Fanghong/Wikimedia Commons/CC-BY-SA 3.0)

Auf der Sicherheitskonferenz Virus Bulletin in Madrid haben Jakub Křoustek und Jiří Bracek von Avast neue Erkenntnisse zur Malware vorgestellt, die im August und September für rund einen Monat mit Ccleaner verteilt wurde. Gute Nachrichten gibt es für Nutzer von 64-Bit-Systemen.

Stellenmarkt
  1. Hama GmbH & Co KG, Monheim (Bayern)
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München

Insgesamt habe es in dem Zeitraum 2,27 Millionen Installationen der infizierten Software gegeben, etwa 1,65 Millionen nahmen danach Kontakt mit dem Command-and-Control-Server auf. Die zweite Stufe der Malware sei auf etwa 40 Rechnern installiert worden, was Ciscos These eines gezielten Angriffs stützt. Neben der kostenfreien Ccleaner-Version für 32-Bit-Systeme soll auch die Version Ccleaner Cloud in der Version 1.7.0.3191 den Payload enthalten haben, allerdings in einer leicht modifizierten Version.

Die Malware in der einfachen Ccleaner-Version bricht den weiteren Installationsvorgang ab, wenn Nutzer keine Administratorrechte haben. Diese Einschränkung gibt es in der Cloud-Version nicht, die zweite Stufe der Malware wird dort demnach aktiviert, auch wenn Nutzer nur beschränkte Rechte haben. Auch bei der zweiten Stufe der Malware handelt es sich nur um ein Programm, das weitere Software nachlädt - es gibt also mindestens drei Stufen.

Auf die Inhalte der dritten Stufe wollte Avast aus Rücksicht auf noch andauernde Ermittlungen nicht eingehen. Es könne aber auch sein, dass es noch mehr Stufen gebe.

Einbruch bei Piriform schon im April

Die Angreifer haben die Operation offenbar sorgfältig vorbereitet. Das selbst signierte Zertifikat für den Command-and-Control-Server wurde am 4. Juli 2017 erstellt, bereits im April soll der Einbruch in die Infrastruktur von dem zu Avast gehördenden Ccleaner-Hersteller Piriform erfolgt sein. Der Einbruch erfolgte, bevor Avast das Unternehmen im Juli übernahm. Die Infrastruktur von Avast selbst soll nicht infiziert worden sein.

Der Command-and-Control-Server der ersten Stufe kommunizierte mit der Malware vor allem über eine hardcodierte IP-Adresse. Eine weitere dynamische Kontaktmöglichkeit, mit Hilfe eines Algorithmus generierte Domains, wurde in Zusammenarbeit mit Cisco eingedämmt. Das geschah durch Manipulation im DNS, sogenanntes sinkholing.

Die zweite Stufe der Malware verwendete einige leicht abgewandelte Domains wie adoble.net, außerdem fingierte Nutzeraccounts auf Wordpress und Githubs, die IP-Adressen für C-und-C-Server übermitteln. In dieser Stufe findet sich die harmlos aussehende neue Funktion get_tls_callback, die ihrerseits verschlüsselte Inhalte enthält. Der Code wird von dem Programm entschlüsselt und der Download für die nächste Stufe der Malware gestartet. Dabei läuft der Prozess als eigener Thread abseits der Ccleaner-Installation.

Bevor der Download gestartet wird, vergehen zehn Minuten. Dass sei eine gute Nachricht für Nutzer von 64-Bit-Systemen, so die Avast-Forscher. Denn wenn Nutzer auf diesen Systemen die 32-Bit-Version von Ccleaner nutzten, ließe diese sich zwar installieren, würde aber nur wenige Momente laufen und ein Update auf die 64-Bit-Version empfehlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Mega-Man 11 für 11,99€, Lost Planet 3 für 3,99€, Barotrauma für 11€)
  2. 15,99€
  3. 6,99€

zilti 08. Okt 2017

Ein paar tausend kaputte Registryeinträge können schon mal ein .NET-Programm nicht mehr...

Bluejanis 05. Okt 2017

Avast hatte ja schon länger ähnliche Zusatzfunktionen, haben die ccleaner da schon...

Cok3.Zer0 05. Okt 2017

Auch leider fälschlicherweise eine Nebeninfo, wer jetzt eigentlich das Ziel des Angriffs...

onkel_joerg 05. Okt 2017

ICH BIN VEGANER!


Folgen Sie uns
       


Assassin's Creed Valhalla - Fazit

Im Video stellt Golem.de das Action-Rollenspiel Assassins's Creed Valhalla vor, das Spieler als Wikinger nach England schickt.

Assassin's Creed Valhalla - Fazit Video aufrufen
Sprachsteuerung mit Apple Music im Test: Es funktioniert zu selten gut
Sprachsteuerung mit Apple Music im Test
Es funktioniert zu selten gut

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen. Aber die Realität sieht ganz anders aus.
Ein Test von Ingo Pakalski

  1. Streaming Apple Music kommt auf Google-Lautsprecher
  2. Internetradio Apple kündigt Apple Music 1 an und bringt zwei neue Sender

Quereinsteiger: Mit dem Master in die IT
Quereinsteiger
Mit dem Master in die IT

Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
Ein Bericht von Peter Ilg

  1. IT-Arbeit Es geht auch ohne Chefs
  2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
  3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
USA
Die falsche Toleranz im Silicon Valley muss endlich aufhören

Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
Ein IMHO von Sebastian Grüner

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
  3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

    •  /