Abo
  • IT-Karriere:

Avast: Ccleaner-Malware hat drei Stufen und verschont 64-Bit-PCs

Die Malware in einer Ccleaner-Version hatte mindestens drei Stufen - von der ersten waren 1,65 Millionen Personen betroffen. Wer ein 64-Bit-Windows nutzt, soll allerdings nichts zu befürchten haben.

Artikel veröffentlicht am ,
Die Malware verteilt sich auf mindestens drei Stufen.
Die Malware verteilt sich auf mindestens drei Stufen. (Bild: Fanghong/Wikimedia Commons/CC-BY-SA 3.0)

Auf der Sicherheitskonferenz Virus Bulletin in Madrid haben Jakub Křoustek und Jiří Bracek von Avast neue Erkenntnisse zur Malware vorgestellt, die im August und September für rund einen Monat mit Ccleaner verteilt wurde. Gute Nachrichten gibt es für Nutzer von 64-Bit-Systemen.

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte
  2. Karl Simon GmbH & Co. KG, Aichhalden

Insgesamt habe es in dem Zeitraum 2,27 Millionen Installationen der infizierten Software gegeben, etwa 1,65 Millionen nahmen danach Kontakt mit dem Command-and-Control-Server auf. Die zweite Stufe der Malware sei auf etwa 40 Rechnern installiert worden, was Ciscos These eines gezielten Angriffs stützt. Neben der kostenfreien Ccleaner-Version für 32-Bit-Systeme soll auch die Version Ccleaner Cloud in der Version 1.7.0.3191 den Payload enthalten haben, allerdings in einer leicht modifizierten Version.

Die Malware in der einfachen Ccleaner-Version bricht den weiteren Installationsvorgang ab, wenn Nutzer keine Administratorrechte haben. Diese Einschränkung gibt es in der Cloud-Version nicht, die zweite Stufe der Malware wird dort demnach aktiviert, auch wenn Nutzer nur beschränkte Rechte haben. Auch bei der zweiten Stufe der Malware handelt es sich nur um ein Programm, das weitere Software nachlädt - es gibt also mindestens drei Stufen.

Auf die Inhalte der dritten Stufe wollte Avast aus Rücksicht auf noch andauernde Ermittlungen nicht eingehen. Es könne aber auch sein, dass es noch mehr Stufen gebe.

Einbruch bei Piriform schon im April

Die Angreifer haben die Operation offenbar sorgfältig vorbereitet. Das selbst signierte Zertifikat für den Command-and-Control-Server wurde am 4. Juli 2017 erstellt, bereits im April soll der Einbruch in die Infrastruktur von dem zu Avast gehördenden Ccleaner-Hersteller Piriform erfolgt sein. Der Einbruch erfolgte, bevor Avast das Unternehmen im Juli übernahm. Die Infrastruktur von Avast selbst soll nicht infiziert worden sein.

Der Command-and-Control-Server der ersten Stufe kommunizierte mit der Malware vor allem über eine hardcodierte IP-Adresse. Eine weitere dynamische Kontaktmöglichkeit, mit Hilfe eines Algorithmus generierte Domains, wurde in Zusammenarbeit mit Cisco eingedämmt. Das geschah durch Manipulation im DNS, sogenanntes sinkholing.

Die zweite Stufe der Malware verwendete einige leicht abgewandelte Domains wie adoble.net, außerdem fingierte Nutzeraccounts auf Wordpress und Githubs, die IP-Adressen für C-und-C-Server übermitteln. In dieser Stufe findet sich die harmlos aussehende neue Funktion get_tls_callback, die ihrerseits verschlüsselte Inhalte enthält. Der Code wird von dem Programm entschlüsselt und der Download für die nächste Stufe der Malware gestartet. Dabei läuft der Prozess als eigener Thread abseits der Ccleaner-Installation.

Bevor der Download gestartet wird, vergehen zehn Minuten. Dass sei eine gute Nachricht für Nutzer von 64-Bit-Systemen, so die Avast-Forscher. Denn wenn Nutzer auf diesen Systemen die 32-Bit-Version von Ccleaner nutzten, ließe diese sich zwar installieren, würde aber nur wenige Momente laufen und ein Update auf die 64-Bit-Version empfehlen.



Anzeige
Top-Angebote
  1. (u. a. mit TV-, Netzwerk- und Kameraangeboten)
  2. (aktuell u. a. Haushaltsgeräte)
  3. 49,90€ (Bestpreis!)
  4. 87,90€ + Versand

zilti 08. Okt 2017

Ein paar tausend kaputte Registryeinträge können schon mal ein .NET-Programm nicht mehr...

Bluejanis 05. Okt 2017

Avast hatte ja schon länger ähnliche Zusatzfunktionen, haben die ccleaner da schon...

Cok3.Zer0 05. Okt 2017

Auch leider fälschlicherweise eine Nebeninfo, wer jetzt eigentlich das Ziel des Angriffs...

onkel_joerg 05. Okt 2017

ICH BIN VEGANER!


Folgen Sie uns
       


Escape Room in VR ausprobiert

Wir haben uns das Spiel Huxley von Exit VR näher angesehen.

Escape Room in VR ausprobiert Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

      •  /