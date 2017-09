Die beliebte Windows-Software CCleaner enthielt wochenlang ein Schadprogramm. Das berichtet das zu Cisco gehörende Talos-Team in einem Blogbeitrag. Die betroffene Version 5.33 für 32-Bit-Architektur wurde am 15. August erstmals auf die offizielle Website gestellt, mit Version 5.34 wurde das Problem behoben. Diese ist am 12. September veröffentlicht worden.

Nach Angaben des Antivirusunternehmens Avast wurde das Programm in dem Zeitraum zwischen Mitte August und Mitte September etwa zwei Millionen mal heruntergeladen. Wer in diesem Zeitraum das Programm installiert hat, könnte sich mit der Malware infiziert haben.

Die betroffene Version von CCleaner war nach Angaben von Talos direkt auf dem offiziellen Server gehostet. Für Nutzer gab es dem Blogpost zufolge keine Möglichkeit, die verseuchte Version zu erkennen. Sie war mit einem gültigen Zertifikat für Piriform Ltd. signiert. Piriform ist der ursprüngliche Hersteller von CCleaner und wurde von Avast übernommen. Nach Angaben von Cisco habe es "erheblichen" Traffic zu den in der Malware enthaltenen Domains gegeben, nachdem die infizierte Datei hochgeladen wurde.

Angreifer verschaffte sich offenbar Zugriff auf Entwicklung

Talos geht davon aus, dass sich ein externer Täter Zugang zum Entwicklungsprozess von CCleaner verschaffen konnte, um die entsprechenden Dateien über den offiziellen Server zu verteilen.



Die Malware selbst sammelt zunächst Informationen über das befallene System, um dann weitere Module nachzuladen. Wie viel die Malware selbst anstellen kann, hängt auch von den Berechtigungen des ausführenden Nutzers ab. Bislang gibt es keine Bestätigung, dass der erweiterte Zugang des Programms zur Installation weiterer Schadsoftware wie zum Beispiel Keylogger verwendet wurde.

Nutzer sollten dennoch umgehend die neue Version des Programms installieren. Da die kostenfreie Version von CCleaner keinen automatischen Updatemechanismus besitzt, muss die Vorversion manuell deinstalliert werden. Cisco empfiehlt darüber hinaus ein Rollback des Rechners oder gar eine komplette Windows-Neuinstallation.