Malware über CCleaner-Update verteilt

Über ein Update der 32-Bit-Version (5.33.6162) des CCleaners wurde offenbar Malware verteilt. Davor warnen jetzt die Entwickler hinter dem Säuberungstool. Außerdem soll auch die Cloud-Lösung in der Version 1.07.3191 betroffen sein.

Vor wenigen Tagen hätten die Sicherheitsforscher von Cisco Talos eine verdächtige Aktivität von einer unbekannten IP-Adresse festgestellt. Hackern war es vermutlich gelungen, das Update noch vor Veröffentlichung so zu manipulieren, dass damit Schadsoftware auf die Rechner der Nutzer verteilt wurde.

Das Problem bestand laut Entwickler darin, dass vor der eigentlichen Anwendung ein bestimmter Code ausgeführt wurde. Dieser entschlüsselte und entpackte Hardcoded Shellcode mit einer Größe von 10 KByte. Dabei handelte es sich um eine XOR-basierten Chiffre. Damit konnte eine Dynamic Link Library (DLL) mit fehlendem MZ-Header geladen und in einem unabhängigen Thread im Hintergrund ausgeführt werden.

Inzwischen sei das Problem behoben und das Update wieder sauber, heißt es. Nutzer der schadhaften Version 5.33.6162 würden derzeit eine entsprechende Aktualisierung erhalten. Bei CCleaner-Cloud-Anwendern wäre dies bereits automatisch geschehen.

CCleaner gehört seit einiger Zeit zum Security-Experten Avast und sei laut eigenen Aussagen rund zwei Milliarden Mal heruntergeladen worden. Damit ist es ein besonders beliebtes Ziel für Hacker, sagt Talos. Weiter heißt es, es sei nicht klar, wie viele Anwender von der Bedrohung betroffen wären. Laut Talos wird die Software jedoch rund fünf Millionen Mal pro Woche heruntergeladen.