Cyber-Bösewichte verdarben CCleaner Version 5.33

Schadsoftware getarnt als Anti-Malware

CCleaner, ein weit bekanntes und beliebtes Tool, um optimierte Prozesse zu pflegen und Computer von Adware und andere Arten von Schadsoftware zu bereinigen, konnte den Händen von Cyberkriminellen nicht entgehen. Alle Computernutzer, die zwischen dem 15. August und 12. September von CCleaner die Version 5.33 heruntergeladen haben, liefen der Gefahr entgegen sich mit der Schadsoftware Floxif zu infizieren.

Mehr als 2 Millionen Nutzer in den USA, Russland und Westeuropa waren wahrscheinlich aufgrund der großen Popularität der Software in diesen Ländern und Regionen betroffen. Obwohl nur 32-Bit-Systeme betroffen waren, wird allen Nutzern empfohlen die Software zu der neuesten Version zu aktualisieren.

Was macht der Floxif-Virus?

IT-Forscher haben herausgefunden, dass der Floxif-Virus Informationen über technische Spezifikationen sammelt und sie an C&C-Server sendet. Forscher von Cisco Talos, die die korrupte Version identifiziert haben, haben außerdem offenbart, dass die Schadsoftware an die IP-Adresse 216.126.225.148 Anfragen schickt..

Die korrupte Version erregte anfänglich keinen Verdacht, da sie mit einer gültigen digitalen Signatur erstellt wurde. Die Schadsoftware wurde folglich mutmaßlich vom Herausgeber Piriform (dem ursprünglichen Entwickler, mittlerweile im Besitz von Avast) als Version 5.33 veröffentlicht.

Die in der Software eingebettete Bedrohung wartete vor ihrer Ausführung exakte 601 Sekunden, um hiermit das bekannte Sandboxing zu umgehen. Der Floxif-Virus wird interessanterweise nur auf Systemen mit Administratorrechten ausgeführt.

Nach dem Herunterladen und der Durchführung des Updates lokalisiert und ersetzt die Schadsoftware die bereits vorhandene Datei CBkdr.dll mit einer identischen, aber korrupten Variante. Neben der Erfassung von Daten und der Übertragung an den entsprechenden Servern weist die Infizierung keine anderen Verhaltensweisen auf.

Cybersicherheitsspezialisten hegen bereits einen Verdacht, wie die Schadsoftware das Erkennungssystem von Avast überwunden konnte. Es wird spekuliert, dass es einen Insider, der Zugriff auf die Entwicklung der Software hat, gibt und er mit dem Angreifer kommuniziert haben könnte.

Ist der Download von CCleaner jetzt wieder sicher?

Es sind zwar noch Installationsprogramme für CCleaner 5.33 erhältlich, aber die Schadsoftware wurde erfolgreich beseitigt. Avast hat bereits am 13. September die Version 5.34 veröffentlicht.

Obwohl Computernutzer keine Chance hatten die Infiltrierung zu verhindern, weil sich das Tool als legitime Version ausgab, könnten für die Zukunft folgende Tipps hilfreich sein:

• Installieren Sie mehrere Tools zur Prävention und Entfernung von Schadsoftware auf dem Computer.
• Laden Sie sie nur von den dazugehörigen offiziellen Seiten herunter und installieren Sie die aktuellste Version, sobald sie zur Verfügung steht.