Abo
  • Services:

Avast: Ccleaner-Malware hat drei Stufen und verschont 64-Bit-PCs

Die Malware in einer Ccleaner-Version hatte mindestens drei Stufen - von der ersten waren 1,65 Millionen Personen betroffen. Wer ein 64-Bit-Windows nutzt, soll allerdings nichts zu befürchten haben.

Artikel veröffentlicht am ,
Die Malware verteilt sich auf mindestens drei Stufen.
Die Malware verteilt sich auf mindestens drei Stufen. (Bild: Fanghong/Wikimedia Commons/CC-BY-SA 3.0)

Auf der Sicherheitskonferenz Virus Bulletin in Madrid haben Jakub Křoustek und Jiří Bracek von Avast neue Erkenntnisse zur Malware vorgestellt, die im August und September für rund einen Monat mit Ccleaner verteilt wurde. Gute Nachrichten gibt es für Nutzer von 64-Bit-Systemen.

Stellenmarkt
  1. EDG AG, Frankfurt
  2. Eckelmann AG, Wiesbaden

Insgesamt habe es in dem Zeitraum 2,27 Millionen Installationen der infizierten Software gegeben, etwa 1,65 Millionen nahmen danach Kontakt mit dem Command-and-Control-Server auf. Die zweite Stufe der Malware sei auf etwa 40 Rechnern installiert worden, was Ciscos These eines gezielten Angriffs stützt. Neben der kostenfreien Ccleaner-Version für 32-Bit-Systeme soll auch die Version Ccleaner Cloud in der Version 1.7.0.3191 den Payload enthalten haben, allerdings in einer leicht modifizierten Version.

Die Malware in der einfachen Ccleaner-Version bricht den weiteren Installationsvorgang ab, wenn Nutzer keine Administratorrechte haben. Diese Einschränkung gibt es in der Cloud-Version nicht, die zweite Stufe der Malware wird dort demnach aktiviert, auch wenn Nutzer nur beschränkte Rechte haben. Auch bei der zweiten Stufe der Malware handelt es sich nur um ein Programm, das weitere Software nachlädt - es gibt also mindestens drei Stufen.

Auf die Inhalte der dritten Stufe wollte Avast aus Rücksicht auf noch andauernde Ermittlungen nicht eingehen. Es könne aber auch sein, dass es noch mehr Stufen gebe.

Einbruch bei Piriform schon im April

Die Angreifer haben die Operation offenbar sorgfältig vorbereitet. Das selbst signierte Zertifikat für den Command-and-Control-Server wurde am 4. Juli 2017 erstellt, bereits im April soll der Einbruch in die Infrastruktur von dem zu Avast gehördenden Ccleaner-Hersteller Piriform erfolgt sein. Der Einbruch erfolgte, bevor Avast das Unternehmen im Juli übernahm. Die Infrastruktur von Avast selbst soll nicht infiziert worden sein.

Der Command-and-Control-Server der ersten Stufe kommunizierte mit der Malware vor allem über eine hardcodierte IP-Adresse. Eine weitere dynamische Kontaktmöglichkeit, mit Hilfe eines Algorithmus generierte Domains, wurde in Zusammenarbeit mit Cisco eingedämmt. Das geschah durch Manipulation im DNS, sogenanntes sinkholing.

Die zweite Stufe der Malware verwendete einige leicht abgewandelte Domains wie adoble.net, außerdem fingierte Nutzeraccounts auf Wordpress und Githubs, die IP-Adressen für C-und-C-Server übermitteln. In dieser Stufe findet sich die harmlos aussehende neue Funktion get_tls_callback, die ihrerseits verschlüsselte Inhalte enthält. Der Code wird von dem Programm entschlüsselt und der Download für die nächste Stufe der Malware gestartet. Dabei läuft der Prozess als eigener Thread abseits der Ccleaner-Installation.

Bevor der Download gestartet wird, vergehen zehn Minuten. Dass sei eine gute Nachricht für Nutzer von 64-Bit-Systemen, so die Avast-Forscher. Denn wenn Nutzer auf diesen Systemen die 32-Bit-Version von Ccleaner nutzten, ließe diese sich zwar installieren, würde aber nur wenige Momente laufen und ein Update auf die 64-Bit-Version empfehlen.



Anzeige
Top-Angebote
  1. bis zu 50% auf über 250 digitale Xbox-Spiele sparen
  2. (u. a. Forza Motorsport 7 34,99€, Ark: Survival Evolved 23,99€, Mittelerde: Schatten des...
  3. 219€ (Vergleichspreis 251€)

zilti 08. Okt 2017

Ein paar tausend kaputte Registryeinträge können schon mal ein .NET-Programm nicht mehr...

Bluejanis 05. Okt 2017

Avast hatte ja schon länger ähnliche Zusatzfunktionen, haben die ccleaner da schon...

Cok3.Zer0 05. Okt 2017

Auch leider fälschlicherweise eine Nebeninfo, wer jetzt eigentlich das Ziel des Angriffs...

onkel_joerg 05. Okt 2017

ICH BIN VEGANER!


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

    •  /