CCleaner gehackt!

Fuck, das ist ja mal richtig krass :shock: Auch ich hab diese Version (portable) erst vorgestern gestartet und zwar nicht einmal um irgend etwas zu bereinigen, sondern nur um etwas zu überprüfen. Ich musste mir nämlich einen neuen Rechner zulegen, weil mein alter den Geist aufgegeben hat und hatte in mühevoller Arbeit Windows (jetzt Win 10 ) komplett neu installiert gehabt. Zum Glück habe ich danach lediglich die "CCleaner64.exe" gestartet und nicht die 32bit Version "CCleaner.exe". Die 64bit Version soll wohl nicht betroffen sein aber kann man da wirklich sicher sein? :grr: Ist auf jeden Fall ein richtiges Debakel und viel ist wohl noch im Dunkeln was den Angriff betrifft.
Danke für die Meldung hier Andreas

Zitat von Zitronella

Fuck, das ist ja mal richtig krass :shock:

Jepp.

Zitat

Auch ich hab diese Version (portable) erst vorgestern gestartet […] Zum Glück habe ich danach lediglich die "CCleaner64.exe" gestartet und nicht die 32bit Version "CCleaner.exe". Die 64bit Version soll wohl nicht betroffen sein aber kann man da wirklich sicher sein? :grr:

Vor allem war laut CHIP auch „nur“ der Installer betroffen. Aber wenn die/der Entwickler nicht bemerken/-t, dass Malware untergeschoben wurde, woher soll man sicher sein, dass nicht noch mehr geschehen kann? Wie ist das mit den anderen 3 Programmen?

Zitat

Ist auf jeden Fall ein richtiges Debakel und viel ist wohl noch im Dunkeln was den Angriff betrifft.
Danke für die Meldung hier Andreas

Genau, und ebenfalls danke.

Zitat von POLIKS

Es bringt keinen Vorteil, wenn man sich externe Programme, ausser den hauseigenen von Microsoft/Windows auf den PC lädt

Bist Du dir gaaanz sicher? Du schreibst hier immerhin in einem Forum von und für Nutzer eines externen Programms …

Der Heise-Artikel zum Thema Ccleaner

Zitat von Speravir

Vor allem war laut CHIP auch „nur“ der Installer betroffen.

Das stimmt wohl so nicht: CCleaner.exe (32bit) aus der portablen Version bei Virustotal und CCleane64.exe (64bit) aus der portablen Version bei Virustotal
Insofern ist nicht "nur" der Installer betroffen sondern die ausführbare exe Datei

Also jeder, der in letzter Zeit CCleaner nutzte und die die CCleaner.exe ausführte muss zwingend sein Betriebessystem neu aufsetzen

Zitat von Zitronella

Also jeder, der in letzter Zeit CCleaner nutzte und die die CCleaner.exe ausführte muss zwingend sein Betriebessystem neu aufsetzen

Ich nehme an, du beziehst dich damit nur auf Version 5.33 (nicht auch auf ältere). Ist das korrekt?

Hallo Zitronella.

starte ich die Portable Anwendung CCleaner64.exe Version 5.33 auf einem 64-Bit-Betriebssystem sehe ich kein Handlungsbedarf, das Betriebssystem neu aufzusetzen. "Also jeder," wie Du schreibst, ist für mich nicht nachvollziehbar. Besten Dank, Gruß, der_nachdenklicher

Verstehe da Zitronellas Aussage auch nicht so ganz :

Zitat von VirusTotal

SHA256: 70dd6da9d21c00ea759880aae779920675227cc19f54db514876de66552d088b
Dateiname: CCleaner64.exe
Erkennungsrate: 0 / 64
Analyse-Datum: 2017-09-19 03:16:34 UTC ( vor 0 Minuten )

Zitat von VirusTotal

SHA256: 6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9
Dateiname: CCleaner.exe
Erkennungsrate: 25 / 64
Analyse-Datum: 2017-09-19 03:04:40 UTC ( vor 12 Minuten )

Wenn Letzteres die 32bit Variante der -exe sein sollte, so wurde dort ja was gefunden. Bei der 64bit (der ersten hier gezeigten) wurde 0 gefunden :-??

Da hier bisher ja nur Links in den Raum geworfen wurde, die von der "Sensations"-Presse stammt ;), hier nun mal einer der so richtig "wichtig" und "nachvollziehbar" ist : http://blog.talosintelligence.com/2017/09/avast-…es-malware.html

Zitat von Kamper

Ich nehme an, du beziehst dich damit nur auf Version 5.33 (nicht auch auf ältere). Ist das korrekt?

ja

Zitat von der_nachdenklicher

starte ich die Portable Anwendung CCleaner64.exe Version 5.33 auf einem 64-Bit-Betriebssystem sehe ich kein Handlungsbedarf

das stimmt

Zitat von AngelOfDarkness

Verstehe da Zitronellas Aussage auch nicht so ganz

hm, ich hätte wirklich mehr präzisieren sollen. Also nochmal genauer:
Man sollte sein System neu installieren oder zumindest sein System zurücksetzen auf die Zeit vor Benutzung von CCleaner 5.33.6162 oder CCleaner Cloud version 1.07.3191 wenn man:
1. ein 32 bit System hat und die 32bit Version von CCleaner v5.33 nutzte (egal ob portable Version oder die installierte Version)
2. ein 64 bit System hat und die 32bit Version von CCleaner v5.33 nutzte (z.B. in der portablen Version, denn bei der installierten Version wird automatisch die unverseuchte CCleaner64.exe genutzt)
3. hier bin ich mir nicht so sicher, ob schon alleine schon der Installer von CCleaner v5.33 ausreichte, damit man betroffen ist :-??

Was mir generell auch noch nicht klar ist ist folgendes: Wie konnte eine Version von Beginn an der Bereitstellung durch Piriform verseucht sein? Absichtlich haben die das ja nicht gemacht. Hätte es was genutzt wenn die zb. auf ihrer Seite jeweils einen Hash-Wert (zb. SHA256) mit veröffentlicht hätten, sodass man es überprüfen könnte?

Als ich heute nach dem Urlaub die CCleaner.exe im Sicherungsordner gelöscht habe, ist der Defender "angesprungen" und hat eine
Warnung (Bedrohung) ausgegeben.

Ich hatte mal mit Malwarebytes gesucht, obwohl ich schon Version 5.34 hatte. Und es hat in der ccsetup533.exe einen Trojaner gefunden, ich habe ihn in die Quarantäne verschoben und mittlerweile gelöscht und auch alle CCleaner-exe-Dateien heruntegehauen. Auch die Version 5.34 habe ich deinstalliert.

Habe nochmal gegoogelt, weil ich den Namen schon wieder vergessen hatte. Es war derFloxif-Trojaner.

Zitat aus dem Heise-Artikel:

Zitat

Angeblich keine weitere Malware auf den Systemen

In einer Stellungnahme vom heutigen Dienstag ergänzte AV-Hersteller Avast, der Piriform am 18. Juli übernommen hat, dass die erste Server-Kompromittierung bei Piriform möglicherweise schon am 3. Juli erfolgt sei. Avast beziffert die Gesamtzahl betroffener CCleaner-Nutzer auf 2,27 Millionen; aktuell nutzten noch etwa 730 000 die mit Schadcode präparierte Version. Avast riet in diesem Zusammenhang noch einmal zum Update. Eine vollständige Neuinstallation oder das Zurücksetzen der Systeme auf den Zustand vor dem Tag des verseuchten Updates sei jedoch nicht notwendig. Da 30 Prozent der CCleaner-Nutzer auch Avasts Sicherheitssoftware nutzten, habe das Unternehmen eine Verhaltens- und Traffic-Analyse dieser Systeme durchführen können. Dabei hätten sich keinerlei Hinweise darauf ergeben, dass auf den Systemen weiterer Schadcode ausgeführt worden sei.

[Update: 13:25 - 19.09.17] Die Meldung wurde um Zusatzinformationen aus einer aktuellen Pressemeldung von Avast ergänzt. (ovw)

Gibts da einen Zusammenhang? :twisted:
BTW: Ich nutze ab und an Ccleaner portable von einem Stick und da nur die 64bit-Version. Die Suche nach Schadware erfolgte ohne ein Ergebnis...

Zitat von Zitronella

Das stimmt wohl so nicht: CCleaner.exe (32bit) aus der portablen Version bei Virustotal und CCleane64.exe (64bit) aus der portablen Version bei Virustotal
Insofern ist nicht "nur" der Installer betroffen sondern die ausführbare exe Datei

Ja, ist mir unterdessen auch aufgefallen.

Zitat von Boersenfeger

BTW: Ich nutze ab und an Ccleaner portable von einem Stick und da nur die 64bit-Version. Die Suche nach Schadware erfolgte ohne ein Ergebnis...

Es war „nur“ die 32-bit-Version betroffen. Aber die kann man auch auf einem 64-bit-System starten. Wenn Du wirklich immer nur die Ccleaner64.exe genommen hast, hattest Du wie auch ich Glück.

Mit meinem Post wollte ich auf AVAST als relativ neuen Eigner des CCleaners aufmerksam machen.. ich habe mir keine Sorgen gemacht....