Ccleaner: Avast verteilt Malware mit Optimierungsprogramm

Der Antivirenhersteller Avast hat mit einer ordentlich signierten Version des Optimierungsprogramms Ccleaner Malware verteilt. Wie das zu Cisco gehörende Talos-Team in einem Blogbeitrag schreibt, war in dem Installationspaket eine Zeit lang ein Schadprogramm enthalten.

Die betroffene Version 5.33 für 32-Bit-Architektur wurde am 15. August erstmals auf die Seite gestellt, mit Version 5.34 wurde das Problem behoben. Diese ist am 12. September veröffentlicht worden. Die Malware-Version von Ccleaner war nach Angaben von Talos direkt auf dem offiziellen Server gehostet. Frühere, nicht betroffene Versionen sind weiterhin verfügbar, Version 5.33 hingegen nicht mehr.

Malware war ordentlich signiert

Für Nutzer gab es dem Blogpost zufolge keine Möglichkeit, die verseuchte Version zu erkennen. Sie war mit einem gültigen Zertifikat für Piriform Ltd. signiert. Piriform ist der ursprüngliche Hersteller von Ccleaner und wurde von Avast übernommen. Nach Angaben von Cisco habe es "erheblichen" Traffic zu den in der Malware enthaltenen Domains gegeben, nachdem die infizierte Datei hochgeladen wurde.

Talos geht davon aus, dass sich ein externer Täter Zugang zum Entwicklungsprozess von Ccleaner verschaffen konnte, um die entsprechenden Dateien zu verteilen. Die Malware selbst sammelt zunächst Informationen über das befallene System, um dann weitere Module nachzuladen. Wie viel die Malware selbst anstellen kann, hängt auch von den Berechtigungen des ausführenden Nutzers ab. Bislang gibt es keine Bestätigung, dass der erweiterte Zugang des Programms zur Installation weiterer Schadsoftware wie zum Beispiel Keylogger verwendet wurde.

Nutzer sollten umgehend die neue Version des Programms installieren. Da die kostenfreie Version von Ccleaner keinen automatischen Updatemechanismus besitzt, muss die Vorversion manuell deinstalliert werden. Cisco empfiehlt darüber hinaus ein Rollback des Rechners oder gar eine komplette Neuinstallation.

Nachtrag vom 19. September 2017, 15:04 Uhr

Avast hat sich in einem Blogbeitrag zu dem Vorfall geäußert. Nach Darstellung des Unternehmens sind insgesamt rund 2,7 Millionen Nutzer betroffen gewesen. Dank einer hohen Patchrate hätten aktuell noch etwa 700.000 eine verwundbare Version der Software auf dem Rechner. Die Command-und-Control-Server seien in Zusammenarbeit mit Sicherheitsfirmen und den Behörden stillgelegt worden.

Avast geht davon aus, dass die zweite Stufe der Malware zu keinem Zeitpunkt aktiviert wurde. Dies begründet Avast mit einer Datenanalyse von Kunden, die neben Ccleaner auch Avasts Virenscanner verwenden. Ein Zurücksetzen des Systems ist daher nach Ansicht des Unternehmens unnötig.

Avast gibt außerdem an, nicht von Cisco zuerst über den Vorfall informiert worden zu sein, sondern von der Sicherheitsfirma Morphisec. Das Unternehmen bedankt sich für die Hinweise und will dafür sorgen, dass entsprechende Angriffe in Zukunft nicht mehr möglich sind.