![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" "\\"Sicherheit\\"")
Noch ein Nachtrag zum Thema CCleaner mit Malware verseucht. AVAST hat jetzt in einer zweiten Stellungnahme eingestanden, dass die Malware im CCleaner gezielt auf spezifische Firmen abgestimmt war. Mir ging die Info von AVAST per E-Mail zu. Hier einige Details.<\/p>\n
<\/p>\n
Die Malware bezog dann weiteren Code vom Malware Server und \u00fcbermittelte Daten wie die IP-Adresse, den Rechnernamen, installierte Software und vorhandene Netzwerkadapter an einen Server in den USA. Das passierte ab dem 15. August 2017\u00a0 mit CCleaner 5.33 und ab dem 24. August 2017, mit CCleaner Cloud 1.07 (beides das Auslieferungsdatum der betreffenden Releases). So viel war bisher bekannt, und das hatte ich im Blog-Beitrag Autsch: CCleaner als Malware-Schleuder<\/a> berichtet. Von AVAST gab es dann noch eine Stellungnahme 'alles halb so wild', wir haben die Server abgeschaltet, installiert die neue Version und gut ist (siehe AVAST-Stellungnahme zur CCleaner-Backdoor<\/a>).<\/p>\n Nun kommen die Details ans Licht, wie AVAST in einer heute ver\u00f6ffentlichten Stellungnahme<\/a> eingestehen musste. Es handelte sich um einen APT (Advanced Persistent Threat) Angriff. Zwar wurden \u00fcber 2 Millionen Rechner infiziert \u2013 aber aus dieser Masse fischten die Entwickler der Malware (gem\u00e4\u00df bisher ausgewerteten Log-Files) 20 Rechner aus 8 Domains von Firmen heraus. Ziel waren gro\u00dfe Technologie- und Telekommunikationsfirmen in Japan, Taiwan, Gro\u00dfbritannien, Deutschland und in den USA.<\/p>\n In einer zweiten Welle wurden dann diese Firmenrechner mit einer 'Payload' angegriffen. AVAST ver\u00f6ffentlichte keine Details zu den Firmen und Domains, und will erst die Betroffenen kontaktieren. Die Sicherheitsforscher von Cisco Talos haben aber Details genannt<\/a>.<\/p>\n Neben Sony sind Samsung, VMWare, Epson, Intel, Cisco und auch die deutsche Firma Gauselmann dabei. Auf deren Rechner wurden spezielle DLLs abgelegt, deren Analyse noch l\u00e4uft. Es wurden aber bereits Hinweise auf spezifische Konten bei GitHub und WordPress-Seiten gefunden, die f\u00fcr weitere Zwecke genutzt werden. Die bisher bekannten Details sind im AVAST-Statement<\/a> zu finden. Bei Talos finden<\/a> sich weitere Details zum Angriff und heise.de hat hier<\/a> einen deutschsprachigen \u00dcberblick gegeben. Laut Talos<\/a> deuten Dateien mit den Namen TSMSISrv.dll (32 Bit) und EFACli64.dll (64 Bit) auf eine Infektion hin (obwohl Symantec Endpoint die gleichen Dateinamen verwendet). Hinzu kommen folgende Registrierungseintr\u00e4ge:<\/p>\n Wie dem auch sei, mit einem simplen Update des CCleaner scheint die Sache irgendwie nicht bereinigt zu sein \u2013 meine Argumentation war ja: Der Rechner ist kompromittiert, niemand wei\u00df mehr, was da noch passiert ist \u2013 also neu aufsetzen. So ganz unrecht scheine ich nicht gehabt zu haben.<\/p>\n \u00c4hnliche Artikel:<\/strong>Der von Piriform entwickelte und mittlerweile unter dem AVAST-Portfolio segelnde CCleaner hat Malware installiert. Die zwischen dem 15. August und dem 12. September 2017 zum Download angebotene Version 5.33 der CCleaner App enthielt nach einem Bericht von Cisco Talos<\/a> die Floxif-Malware. Angreifern war es gelungen, in die Build-Server von Piriform einzudringen und die Malware direkt in den CCleaner-Installer zu integrieren.<\/p>\n
Gezielt Firmen im Fokus der Malware<\/h2>\n
![](\"https:\/\/1.bp.blogspot.com\/-7dDYVDimbuc\/WcLPu_KK-fI\/AAAAAAAABVc\/b0rTnVOkJngc6Sx6A8S7fQ6mrwo9C0iagCLcBGAs\/s400\/image13.png\")
(Quell: Talos)<\/p>\n\n
\nDigitales Schlangen\u00f6l: Registry-Cleaner, Driver-Updater & PUPs<\/a>
\nAutsch: CCleaner als Malware-Schleuder<\/a>
\nPUP: Kommt AVAST im Beipack mit Piriform CCleaner?<\/a>
\nAVAST-Stellungnahme zur CCleaner-Backdoor<\/a>
\nCCleaner Malware \u2013 weitere Analysen von AVAST<\/a><\/p>\n