Abo
  • Services:

Avast: Ccleaner-Malware hat drei Stufen und verschont 64-Bit-PCs

Die Malware in einer Ccleaner-Version hatte mindestens drei Stufen - von der ersten waren 1,65 Millionen Personen betroffen. Wer ein 64-Bit-Windows nutzt, soll allerdings nichts zu befürchten haben.

Artikel veröffentlicht am ,
Die Malware verteilt sich auf mindestens drei Stufen.
Die Malware verteilt sich auf mindestens drei Stufen. (Bild: Fanghong/Wikimedia Commons/CC-BY-SA 3.0)

Auf der Sicherheitskonferenz Virus Bulletin in Madrid haben Jakub Křoustek und Jiří Bracek von Avast neue Erkenntnisse zur Malware vorgestellt, die im August und September für rund einen Monat mit Ccleaner verteilt wurde. Gute Nachrichten gibt es für Nutzer von 64-Bit-Systemen.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. BIM Berliner Immobilienmanagement GmbH, Berlin

Insgesamt habe es in dem Zeitraum 2,27 Millionen Installationen der infizierten Software gegeben, etwa 1,65 Millionen nahmen danach Kontakt mit dem Command-and-Control-Server auf. Die zweite Stufe der Malware sei auf etwa 40 Rechnern installiert worden, was Ciscos These eines gezielten Angriffs stützt. Neben der kostenfreien Ccleaner-Version für 32-Bit-Systeme soll auch die Version Ccleaner Cloud in der Version 1.7.0.3191 den Payload enthalten haben, allerdings in einer leicht modifizierten Version.

Die Malware in der einfachen Ccleaner-Version bricht den weiteren Installationsvorgang ab, wenn Nutzer keine Administratorrechte haben. Diese Einschränkung gibt es in der Cloud-Version nicht, die zweite Stufe der Malware wird dort demnach aktiviert, auch wenn Nutzer nur beschränkte Rechte haben. Auch bei der zweiten Stufe der Malware handelt es sich nur um ein Programm, das weitere Software nachlädt - es gibt also mindestens drei Stufen.

Auf die Inhalte der dritten Stufe wollte Avast aus Rücksicht auf noch andauernde Ermittlungen nicht eingehen. Es könne aber auch sein, dass es noch mehr Stufen gebe.

Einbruch bei Piriform schon im April

Die Angreifer haben die Operation offenbar sorgfältig vorbereitet. Das selbst signierte Zertifikat für den Command-and-Control-Server wurde am 4. Juli 2017 erstellt, bereits im April soll der Einbruch in die Infrastruktur von dem zu Avast gehördenden Ccleaner-Hersteller Piriform erfolgt sein. Der Einbruch erfolgte, bevor Avast das Unternehmen im Juli übernahm. Die Infrastruktur von Avast selbst soll nicht infiziert worden sein.

Der Command-and-Control-Server der ersten Stufe kommunizierte mit der Malware vor allem über eine hardcodierte IP-Adresse. Eine weitere dynamische Kontaktmöglichkeit, mit Hilfe eines Algorithmus generierte Domains, wurde in Zusammenarbeit mit Cisco eingedämmt. Das geschah durch Manipulation im DNS, sogenanntes sinkholing.

Die zweite Stufe der Malware verwendete einige leicht abgewandelte Domains wie adoble.net, außerdem fingierte Nutzeraccounts auf Wordpress und Githubs, die IP-Adressen für C-und-C-Server übermitteln. In dieser Stufe findet sich die harmlos aussehende neue Funktion get_tls_callback, die ihrerseits verschlüsselte Inhalte enthält. Der Code wird von dem Programm entschlüsselt und der Download für die nächste Stufe der Malware gestartet. Dabei läuft der Prozess als eigener Thread abseits der Ccleaner-Installation.

Bevor der Download gestartet wird, vergehen zehn Minuten. Dass sei eine gute Nachricht für Nutzer von 64-Bit-Systemen, so die Avast-Forscher. Denn wenn Nutzer auf diesen Systemen die 32-Bit-Version von Ccleaner nutzten, ließe diese sich zwar installieren, würde aber nur wenige Momente laufen und ein Update auf die 64-Bit-Version empfehlen.



Anzeige
Top-Angebote
  1. 38,90€ + Versand (Bestpreis!)

zilti 08. Okt 2017

Ein paar tausend kaputte Registryeinträge können schon mal ein .NET-Programm nicht mehr...

Bluejanis 05. Okt 2017

Avast hatte ja schon länger ähnliche Zusatzfunktionen, haben die ccleaner da schon...

Cok3.Zer0 05. Okt 2017

Auch leider fälschlicherweise eine Nebeninfo, wer jetzt eigentlich das Ziel des Angriffs...

onkel_joerg 05. Okt 2017

ICH BIN VEGANER!


Folgen Sie uns
       


Nuraphone Kopfhörer- Test

Der Nuraphone bietet einen automatischen Hörtest, der den Frequenzgang des Kopfhörers je nach Nutzer unterschiedlich einstellt. Die Klangqualität des ungewöhnlichen Kopfhörers hat Golem.de im Test überzeugt.

Nuraphone Kopfhörer- Test Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /