Wer mit dem CCleaner 5.33.6162 oder der CCleaner Cloud 1.07.3191 in der 32-Bit Version unterwegs ist, sollte umgehend ein Update auf die neueste Version 5.34 oder höher durchführen. Der Hintergrund der Geschichte: Piriform berichtet heute in einem Blogbeitrag, dass es am 12.September zu einen unautorisierten Zugriff auf die Server kam. Dort wurde dann die *.exe geändert.
Diese führte dazu dass durch die Malware Backdoors auf eurem Rechner weit offen waren oder sogar noch sind. Diese sammelte auch Daten vom lokalen Computer. Unter anderem: Name des PCs, Liste der laufenden Prozesse, MAC-Adressen der ersten drei Netzwerkadapter. Sowie zusätzliche Informationen, ob der Prozess mit Administratorrechten ausgeführt wird, ob es sich um ein 64-Bit-System handelt usw.
Diese Infos wurden dann an eine bestimmte IP verschlüsselt übermittelt. Ihr solltet also umgehend auf die neueste Version updaten. Zur Sicherheit dann auch noch euren Rechner über die installierte Antivirensoftware sicherheitshalber einmal überprüfen.
"Wir möchten uns nochmals bei unseren Kunden für die Unannehmlichkeiten entschuldigen, die dieser Vorfall verursacht haben könnte. Wir unternehmen intern detaillierte Schritte, damit dies nicht noch einmal vorkommt und um Ihre Sicherheit bei der Verwendung unserer Piriform-Produkte zu gewährleisten. Benutzer unserer Cloud-Version haben ein automatisiertes Update erhalten."
[Update 21.September]: Avast musste nun doch zugeben, dass die Auswirkungen der Malware schwere Folgen gerade für Firmen Rechner hatte. Genau auf diese hatte man es abgesehen. Avast selber führt in diesem Beitrag auf, worauf es den Angreifern abgesehen hatten. Ein Wort darüber wie es passieren konnte hat man aber nicht hinterlassen. Aber ihr werdet ja sicherlich nun schon die aktuelle Version installiert haben.
Indikatoren sind die TSMSISrv.dll (32-Bit) und EFACli64.dll (64 Bit). Diese Dateinamen stammen von der legitimen „Symantec Endpoint“ Software. Diese können in der Registry unter
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\001
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
enthalten sein. Alles weitere dazu findet ihr unter blog.talosintelligence
Mit der neuen Version 5.35 wurde eine neue digitale Signatur hinzugefügt, die solche Aktivitäten unterbinden soll.
Quelle: piriform.com via: caschy
wie gut das man bei den leuten die solche programme unbedingt
wegen der sicherheit (ich schmeiß mich vor lachen weg) verwenden wollen
das versenden solcher informationen und anderen inhalten
mit bestimmten firewallprogrammen blockieren kann.
(funktion entweder nicht vorhanden oder nur als kostenpflichtiger zusatz erhältlich!)
diese leute sind auch nicht davon ab zu bringen dauerhaft
irgendwelche unbekannten einträge/dateien/verzeichnisse zu löschen = dauernde Systemprobleme.
den spruch „schaue mal, da geht was nicht“ kann ich nicht mehr hören.
Schön, dass wenigstens Du die Schlauheit mit Schöpflöffeln gefressen hast.
dito
Nur nutzen die allerwenigsten dass zur Sicherheit, sondern so gut wie alle zur Datenmüllbereinigung! Die Reinigung temporärer Dateien ist auch (nach langjähriger Erfahrung mit CCleaner) nicht schädlich. (wobei bei Verwendung von CCEnhancer nicht alles aktiviert werden sollte wie auf manchen Systemen gesehen. Manche Deinstallationen vermissen dann vl. Daten, oder die Performance kann nicht optimiert werden, etc. aber auch nichts wirklich schlimmes, dass sich nicht beheben ließe. Nur eben die Zeit bis zur Lösungsfindung ….).
Zu dem aktuellen Problem: Selbst das Mircosoft Sicherheitscenter! hat es mal geschafft auf Porno-Seiten umgelenkt zu werden. So was entsteht halt bei …. entsprechenden Passwörtern, veralteter Software, falscher Konfiguration etc. Webseiten, egal von wem darf man da generell nicht blind vertrauen, weshalb entsprechende Sicherheitsmaßnahmen ja auch immer empfohlen werden. (Am besten ja VM, Virenscan bei Downloads, etc.)
Wieso war das ein Problem?
Ein untergeschobener, verseuchter Installer sollte doch wohl keine gültige Signatur haben und von Windows abgelehnt werden.
Wird das verseuchte Programm doch installiert? Dann sind aber signierte Programme unter Windows völlig sinnlos.
Ich nutze nur portable. Auch die aktuelle Version ist von mir portable erstellt worden… Bisher konnte ich dazu nichts feststellen, dass eine Malware darin ist. Ich nutze Version 5.34.6207 in der Professional-Variante…
Hey Roland,
ich hatte auch die Version 5.34.6207 portable und die war auch verseucht. Aber nur die 32 Bit exe, hier hat der Defender die Malware Backdoor:Win32/Floxif festgestellt und Quarantäne genommen. Ich hab das dann letztendlich gelöscht. Die 64 Bit Version scheint nicht betroffen zu sein. Habe mir dann Version 5.35.6210 und die war dann sauber.
gepostet mit der Deskmodder.de-App
Mal ehrlich mal sollte sowas nicht nutzen. Das ist meist Augenwischerei. Das macht viel bling bling und braucht höchste Rechte dafür, genau wie diese Antimaleware Programme, lasst lieber die Finger davon. Wenn was nicht geht mit dem System kann man besser gezielt nach einer Lösung suchen.
Stimmt. Ist schon ein Hammer, wenn so eine Firma mit einem sogenannten Optimierungstool Malware mittransportiert. Eine elende Schlamperei ist das!
Habe alle Tools ausschließlich von Win on Board. Und Win Tools wissen sehr genau, wo was im System nicht stimmt. Und die Third-Parties wollen das besser wissen, als der Konstrukteur seines Betriebssystem selbst? Ja, geht’s noch?
So etwas sollte erst recht nicht passieren, da AVAST Eigentümer von Piriform seit kurzem ist! Da stellt sich doch direkt die nächste Frage: Wie gut / schlecht ist AVAST?
Richtig, darum habe ich Avast nun auch prompt deinstalliert. Versuche es gerade mit Immunet 6 von Cisco ( http://www.immunet.com/index) , in welchem zum Teil genau die Technologie steckt, welcher diese unsägliche „Entdeckung“ zu verdanken ist.
Die Hashwerte einer eben heruntergeladenen Installer-Datei: (für die die ganz sicher gehen wollen – zumindest die Version zu haben die ich eben heruntergeladen habe):
File: ccsetup534.exe
CRC32: 0E7B46DE
MD5: 1A5AD5D2F52871C4F811485236671310
RIPEMD-256: 07931127967FE68E0007337F5F784AE4B40A9F568FD8458A3F8439DA3054816C
SHA-256: CBC2F423D035CF315AC724E61287420013C517CF3D95DBDFA673179436184E64
Whirlpool: 13F3655291B851E57AE789A78D09F4FC07C124292244B489ABDE70A184414697A90292C37D4A596979DE5F1E87252E7C35B0A7122AA5026BE3FBE1A77D477DC3
Ich benutze manchmal den CCleaner Pro.
Da ist die Version CCleaner 5.33 Pro auch davon betroffen.
Mit Gdata geprüft und verseucht.
Dann zieh mal deine Schlüsse draus. Auf deinem Rechner lief Malware und deine Antivirensoftware hat nichts bemerkt.
lol – also ich use sowas auch nicht – und hab auch ohne ccleaner keinerlei probleme