Abo
  • Services:
Anzeige
Die mit Ccleaner verteilte Malware soll Tech-Unternehmen angegriffen haben.
Die mit Ccleaner verteilte Malware soll Tech-Unternehmen angegriffen haben. (Bild: Cisco)

Optimierungsprogramm: Ccleaner-Malware sollte wohl Techkonzerne ausspionieren

Die mit Ccleaner verteilte Malware soll Tech-Unternehmen angegriffen haben.
Die mit Ccleaner verteilte Malware soll Tech-Unternehmen angegriffen haben. (Bild: Cisco)

Cisco widerspricht Avast: Die zweite Stufe der mit Ccleaner verteilten Malware sei sehr wohl aktiviert worden. Angeblich sollen die Macher der Kampagne es auf Betriebsgeheimnisse großer Techfirmen abgesehen haben.

Die mit dem kostenfreien Programm Ccleaner verteilte Malware hat nach Angaben von Ciscos Talos-Team auf einer Reihe von Rechnern die zweite Stufe aktiviert, um zusätzlichen Schaden anzurichten. Damit widerspricht Cisco der Darstellung von Avast. Das Unternehmen hatte geschrieben, dass kein weiterer Code nachgeladen wurde und sich dabei auf Telemetriedaten des eigenen Antivirusprogramms bezogen.

Anzeige

Angreifern war es gelungen, für rund einen Monat eine mit Malware infizierte Version von Ccleaner in Umlauf zu bringen. Diese war von Mitte August bis Mitte September abrufbar. Weil sie mit einem gültigen Zertifikat signiert wurde, hatten Anwender kaum eine Möglichkeit, die Fälschung festzustellen. Ccleaner kann einige Reparaturaufgaben auf einem Rechner durchführen - ob dieser davon wirklich profitiert, ist allerdings umstritten.

Cisco geht von gezielter Kampagne aus

Cisco schreibt auf Basis eigener Forschungen jetzt, dass man von einer "sehr gezielten" Kampagne ausgehe, die insbesondere große IT-Unternehmen im Visier habe. Eine vom Command-and-Control-Server abgelegte Datei enthalte die Domains zahlreicher großer Unternehmen, darunter Sony, VMware, Intel und Microsoft. Auch der deutsche Automatenhersteller Gauselmann scheint im Visier der Angreifer zu stehen, mit der Domain gg.gauselmann.com.

Die Malware sei demnach vermutlich darauf ausgelegt, wertvolle Betriebsgeheimnisse auszuspionieren. Auch Cisco selbst sei betroffen. Warum gerade Mitarbeiter in diesen Unternehmen eine Software wie Ccleaner verwenden sollen, ist allerdings nicht ganz klar. Nach Angaben von Cisco gibt es mindestens 20 "eindeutige Hosts", die mit der zweiten Stufe der Malware infiziert wurden. Diese 20 Rechner stehen nach Angaben von Avast in acht verschiedenen Unternehmen.

Die Malware soll vor allem einen dauerhaften Zugang zum System gewährleisten ('persistenz'). Sie ist in der Datei mit dem Namen GeeSetup_x86-dll enthalten. Es werden mehrere Dateien mit den Namen legitimer Programme abgelegt, etwa SymEFA, das Teil von Symantecs Endpoint-Protection ist. Außerdem würden verschiedene Verschleierungstechniken genutzt, um die Erkennung durch Virenscanner zu erschweren.

Die Malware weist nach Cisco-Angaben Zeitstempel aus der Zeitzone der Volksrepublik China auf. Das Unternehmen weist aber darauf hin, dass allein auf Basis dieser Informationen noch keine Attribution des Angriffs möglich sei.

Der Schadcode sucht nach zahlreichen Informationen über das System und sendet die Betriebssystemversion, Host- und Domainnamen sowie Nutzernamen an den C2-Server. Außerdem wird eine Liste aller aktiven Prozesse und installierter Programme übermittelt. Die aktuellste Version von Ccleaner hat die Schwachstellen entfernt. In Version 5.35 wurde zudem das zum Signieren der Malware genutzte Zertifikat zurückgezogen. Avast geht weiterhin davon aus, dass Privatnutzer nur die betroffene Version entfernen müssen. Bei Unternehmen sei möglicherweise eine andere Risikobewertung notwendig.


eye home zur Startseite
SensenMannLE 24. Sep 2017

Tja, ich benutze seit Jahren Windows und habe nie Viren. Muss wohl an der individuellen...

logged_in 22. Sep 2017

Mal schnell geschaut, die stellen Glücksspielautomaten her. Könnte mir gut vorstellen...

Evron 22. Sep 2017

Der war in dem offiziellen Download aus der Herstellerseite.



Anzeige

Stellenmarkt
  1. BWI GmbH, München
  2. Carmeq GmbH, Ingolstadt
  3. implexis GmbH, verschiedene Standorte
  4. KOMET GROUP GmbH, Besigheim


Anzeige
Top-Angebote
  1. (u. a. NBA 2K18 PS4/XBO 29€)
  2. 42€
  3. 599€ + 5,99€ Versand (Bestpreis!)

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Funktioniert nicht

    User_x | 03:12

  2. Re: Wenn eMail so kritisch ist....

    User_x | 02:53

  3. Re: "Das Eigenlob Trumps ließ nicht lange auf...

    FreierLukas | 02:48

  4. Re: Supercomputer sind wie Beton - es kommt drauf...

    Proctrap | 02:43

  5. Re: DOW Jones +30% in nur einem Jahr

    Garrona | 02:40


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel