News CCleaner: Hacker haben Software auf Firmen-Server manipuliert

Ich mag es gerne wenn eine Firewall mich dann immer fragt wenn ein Programm raus ins Netz will oder eben Datenpakete ankommen. Wo dann ein Dialog kommt der einem ggf. eine feste Regel erstellen lässt wenn man dem Programm/Datei vertraut. Das mag für einige sicherlich eher Quatsch sein da es grade zu Anfang auch sehr nervig sein kann aber damit wühl ich persönlich mich etwas wohler.

Jeder hat da mit sicherheit sein eigenes Vorgehen.

Edit: Die ganzen Installer blocke ich in der Regel auch und nutze lieber Offline-Pakete zum installieren. Wenn die freigegeben wurden ist es in der Regel eher unwahrscheinlicher dass die infiziert sind (bei den Live-Installationen weiß man ja nie). In diesem Fall zeigt es sich ja dass auch die Offline-Pakete infiziert sein können aber da warte ich in der Regel eine ganze Zeit. Interessant dass es sich hier (mal wieder) wohl um eine bereits signierte Datei handelte. Wie gesagt kann man heutzutage wohl auf eine Signatur, Zertifikat und auch Hash-Wert nicht mehr viel geben. Dabei hatte ich mich grade auf Hash-Werte eigentlich immer verlassen ... da war ja aber erst in den Schlagzeilen vor einer Weile dass man verschiedene manipulieren kann/könnte.
 
Zuletzt bearbeitet:
Naja statische Port Firewalls kann man ja auch verwenden. Am besten extern.

In Firmenumgebungen wird es aber schwierig denn da müsste man ja grundsätzlich mal alles blocken und nur gewisse Programme erlauben.
Da kannst du einem Mitarbeiter nicht zumuten dass er entscheidet was raus darf und was nicht.
Speziel da sich gewisse Dinge auch öfter ändern bei neuen Versionen etc.
Da darf dann keine Abfrage kommen und da wird wohl die WIndowsFW herhalten und extern noch ein wenig Hokuspokus.

Genau diese Live Installer sind die Pest. Das kann Gott und die Welt nachladen.
Aber warum OfflineFullSetupInstaller auch rauswählen wollen wissen wohl nur die superschlauen Programmierer dort.

Naja Hashwerte manipulieren können die sicher auch wenn sie schon den Server hacken.
Sind meist eh nur in Textdateien gespeichert.
Müsste man vielleicht zusätzlich einfach mit irgend einem externen Server per Datenbank abgleichen.
Wie es mit Zertifikaten o.Ä. aussieht kann ich nicht sagen aber Mozilla machts ja auch bei den Addons.

Zum Glück blocken die meisten Router eh schon eingehende Pakete die nicht angefragt wurden.
Somit muss man nur zusehen dass vorher nicht von innen etwas die Anfrage rausschickt.
Und dafür ist eben eine Personal Firewall auch gedacht.
 
Zuletzt bearbeitet:
Wer bitte installiert sich auch so eine Müll Software? Fällt in die gleiche Kerbe wie Tune Up und dritt Antiviren Software. Aber Laien lassen sich halt leicht beeindrucken leider.
 
Bin etwas irritiert, CCleaner hat keine separaten Installer, es ist nur einer für 32er & 64er Systeme, und dann soll trotzdem nur die 32er manipuliert worden sein?
Ist man da nun wirklich sicher wenn man ein 64er Windows hat?
 
Replay86 schrieb:
Wer bitte installiert sich auch so eine Müll Software? Fällt in die gleiche Kerbe wie Tune Up und dritt Antiviren Software. Aber Laien lassen sich halt leicht beeindrucken leider.

Du bist der :king:... nicht! Wir sind nur die Laien^^ Alleine der Vergleich mit TuneUp Utilities macht dich lächerlich. Versuch mal zu verstehen was dieses Programm kann/macht.

@cbtestarossa,
es bringt nichts. So viel Unwissenheit auf einen Haufen.... unglaublich.
 
Hi

Also , Ab sofort , werde ich Downloads min. 2-3mal Runterladen , einmal von der Hersteller Seite , und 2mal wo anders und dann alle 3 mit Total Commander vergleichen aufs bit Genau.

Total Commander erkennt sogar Die 2 Dateien vom SHA1 Hack , die waren im Hash zwar gleich, aber nicht im Daten vergleich identisch.

Denkt mal alle drüber nach , weil wer weis wär als Nächstes dran ist !

Gibt ja auch einen Virus der UR NEXT heist

mfg.
 
Die Kombination aus Router + Software-Firewall (Personal Firewall) + Benutzerkontensteuerung unter Windows finde ich schon ganz gut. Auch ist eine Sandbox sicherlich nicht verkehrt, eine 100% Sicherheit wird man aber wohl nie haben.

Das mit der Abfrage durch die Firewall, @cbtestarossa, bezog ich jetzt nur auf Privat-PCs. Sicher wäre das in einer Firma absolut unangebracht.
Bei den Hashwerten wurde doch nachgewiesen dass man bei einigen (die veralteten aber noch oft eingesetzten wie MD5 und so) mit genügend (extremen) Aufwand verschiedene/unterschiedliche Dateien mit demselben Hash-Wert erstellen konnte. Das wird im Alltag (bisher) wohl eher kaum eine Rolle spielen sondern wohl eher (schätze ich mal) in der Kryptographie vielleicht. Trotzdem gibt das (mir) nicht grade ein besseres Gefühl.

@TP555
Meinst du die Dateigröße? Wenn ich Hash-Werte vergleich dann auf oft den Wert und die Größe der Datei. Ich hoffe das hält noch für eine Weile. Finde das ganze schon arg bedenklich. Klar gibt es neue Algorythmen inzwischen aber trotzdem weckt das doch Bedenken. Ich habe bis vor einer Weile den Hash-Wertt einer Datei eigentlich immer für "einzigartig" und "sicher" gehalten.

Es wundert mich nach wie vor trotzdem wie die Version von CCleaner ordentlich mit einem Zertifikat signiert sein konnte wenn sie doch (angeblich) manipuliert war. Würde mich interessieren ob die Datei beim kombilieen dann schon befallen war oder erst im späteren Verlauf direkt irgendwie manipuliert (sollte ein Zertifikat nicht wie eine Art Siegel wirken!?). Sowas müßte doch (grade einem Sicherheitsunternehmen - auch wenn nur übernommen von denen) auffallen. Außer man verteilt seine Zertifikate wie Zuckerblättchen (wäre ja kein Einzelfall).

Edit: Lese grade dass direkt die schon erstellte CCleaner.exe manipuliert wurde. Ich hätte gedacht dass sich dann der Wert einer Datei verändert und dadurch das Zertifikat verlorengeht. Da habe ich wohl falsch gedacht.

Das ganze erinnert doch stark an die Steuersoftware MeDoc, mit diesem Schädling der sich dann übers Netzwerk ausbreitete.
Automatische-Updates. :(

@ChromeBeauty
Ich bin mir jetzt nicht sicher ob nur der reine Installer betroffen war (lese das nicht richtig raus).
Hast du die portable Version vom CCleaner? Soweit man im Moment liest sind konkret die 32-Bit-Version von CCLeaner 5.33.6162 und CCleaner Cloud 1.07.3191 betroffen. Angeblich soll die 64-Bit Variante wohl sauber sein (zumindest lese ich nichts anders). Wenn jemand (oder du) die Datei hast so kann diese ja auf https://www.virustotal.com/ hochgeladen und nachgeschaut werden.
Wenn du ein 64-Bit Windows hast sollte auch die 64-Bit CCleaner.exe gestartet werden, das kannst du auch über die Verknüpfung (oder wie du das Programm startest) einsehen, dort sollte dann die ccleaner64.exe als eingetragenes Programm stehen.


Ich persönlich frage mich was man da als normaler Nutzer überhaupt noch tun kann um sich sowas nicht einzufangen (hört bitte auf mit "dann installiert euch so ein Tool nicht" da es nachweislich auch andere Programme so trifft, wie z.B. die Steuersoftware). Woran soll man so einen Befall den noch merken (bitte BEVOR das System davon befallen ist)? In diesem Fall hätte wohl nur wenig ganz zu Anfang Alarm geschlagen (viele kostenfreien Programme ja noch immer nicht). Da kann man ja gleich alles nur noch in eine Sandbox packen (die aber wohl zum Teil auch nicht wirklich viel bringen wenn es jemand darauf anlegt und genügend Energie darauf verwendet).
 
Zuletzt bearbeitet:
Ohh da wurden PCs ausgespäht wie dramatisch... Als wenn das andere Programme wie Steam etc nicht jeden Tag machen ;)
 
ich glaube die meisten hier haben nicht den hauch einer ahnung wieviele backdoors, datensammelroutinen etc in gängiger Software steckt ;) in einem rechner der ohne netzwerk tief unter der erde in einem betonbunker steht ist datensicherheit gegeben, alles andere ist eine illussion.
 
Zuletzt bearbeitet:
Re

@Sith Nagetier

Auch beides , Aber eben zusätzlich mit Tc oder CdCheck wenn ich Verz. +Unter Verz. vergleichen muss.

mfg.
 
Sith Nagetier schrieb:
Auf Signaturen, Zertifikate und auch Hash-Werte kann man sich doch eh nur bedingt verlassen. Sicher ist das alles nicht und wohl für Leute die in der Materie sind auch zu fälschen.
Nunja, auf Hash-Werte kann man sich schon verlassen. Aber...

Voraussetzung wäre natürlich, das Piriform die originalen Prüfsummen zu jedem Release veröffentlicht -und genau hier liegt wieder ein Problem, denn auch Webseiten können gehackt werden. Also müßten die woanders abgelegt werden oder auf Abruf (zB per Email), was beides aber umständlich ist.

Der Download der .exe von CB ist auch tatsächlich derselbe, wie der von Piriform, eben grad aus Zeitvertreib mal geprüft=

CCleaner 5.34.6207

MD5: 1a5ad5d2f52871c4f811485236671310 (nur aus nostalgischen Gründen, md5 ist geknackt)

SHA-256: cbc2f423d035cf315ac724e61287420013c517cf3d95dbdfa673179436184e64

SHA3-512: bc52f2cd9b4d069d46fd3104d3bd7962d930571a55efe2b4582c1716f5284cc7eec40792f6cf4def447f20229e73a2b76c1515fd88607555ff177851e1eb8fca

@TP555

Bei mir ohne Bitgenau gucken zu können sieht es dennoch identisch aus=

ccleanervergleich.png
 
Re

@Gelbsucht

SHA1 wurde geknackt , von MD5 weiss ich nix soweit !

Die 5.34 ist doch die ausgetauschte version.
Die 5.33 war doch die Manipuluerte.

So meinte ich das nicht , ich meinte mit Bit Vergleich die Zeichen in der Datei.

Datei grösse hat nix damit zu tun , es gibt viele gleich grosse dateien die aber trodzdem nicht identisch sind !

ich hoffe ja mal das Dannoc1 noch ein Video dazu bringt , was das teil so anrichtet.

Wo Classic Shell infiziert war , da hatte er auch ein Video zu gebracht.

mfg.
 
Piriforms Analysen zufolge verbarg sich der verschlüsselte Schadcode in der Initialisierungsroutine des CCleaners. Zu Beginn der Programmausführung wurde daraus eine DLL extrahiert, die in einem eigenen Thread im Kontext der Anwendung lief.

Also ist es scheissegal ob installierte oder portable Version!

Ich persönlich frage mich was man da als normaler Nutzer überhaupt noch tun kann um sich sowas nicht einzufangen (hört bitte auf mit "dann installiert euch so ein Tool nicht" da es nachweislich auch andere Programme so trifft, wie z.B. die Steuersoftware). Woran soll man so einen Befall den noch merken (bitte BEVOR das System davon befallen ist)? In diesem Fall hätte wohl nur wenig ganz zu Anfang Alarm geschlagen (viele kostenfreien Programme ja noch immer nicht). Da kann man ja gleich alles nur noch in eine Sandbox packen (die aber wohl zum Teil auch nicht wirklich viel bringen wenn es jemand darauf anlegt und genügend Energie darauf verwendet).

Sicherheit im Netz gibt es nicht, damit musst du leben oder es bleiben lassen ... Software nutzen die dir zeigt was raus will und was rausgeht ( deep packet inspection) und grundsätzlich alles dabei sperren was nicht unbedingt raus muss! (Und das Ganze als externes Gerät nicht auf dem schützenden PC selbst) Warum auch sollte ccleaner den raus müssen, für seine Funktionsweise ist das nicht notwendig ... updates kann man auch manuell anstoßen. Software die sich dann nicht mehr starten/nutzen lässt, wenn man ihr den Internetzugang sperrt nutzt man eben nicht!
 
Zuletzt bearbeitet:
Hätte ich jetzt nicht gedacht. Also dass ein seriöses Programm wie CClean... Nein, Spaß. Das fällt für mich in die Kategorie PUPs, Placebo, Scareware... Ich bin überrascht, wie sich einige hier krampfhaft an die vermeintlichen Qualitäten dieses Programms klammern. Man sieht aber auch, WER sich hier positiv zum CCleaner äußert.... Noch nie was von diesen Usern in Problemthreads gelesen, bei denen wirkliche Kompetenz gefragt ist. :rolleyes:
 
Das Tool kann doch sowieso fast nix. Am besten man schreibt sich selber eine batch. In der Datei dann alle cache/temp Verzeichnisse des jeweiligen zu löscheden Programmes hinterlegen.
Ab damit in den Autostart und gut.
 
Sith Nagetier schrieb:
...
Es wundert mich nach wie vor trotzdem wie die Version von CCleaner ordentlich mit einem Zertifikat signiert sein konnte wenn sie doch (angeblich) manipuliert war. ...

Google-Übersetzung:
... Diese Version [32-Bit-CCleaner] wurde mit einem gültigen Zertifikat unterzeichnet, das von Symantec an Piriform Ltd ausgegeben wurde und gültig bis 10.10.2018 ist. Piriform war die Firma, die Avast vor kurzem erworben hat und war die ursprüngliche Firma, die die CCleaner Software-Anwendung entwickelt hat. ...
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

Vielleicht war das ein Sabotageakt oder wie schon mal erwähnt, alles gewollt, aber zum Glück nicht gut umgesetzt.

Also ehrlich, dauernd wird man kalt erwischt, somit
- kein Vertrauen mehr in sonst saubere Software
- kein Vertrauen in Zertifikate
- kein Vertrauen mehr in autom. Updates
- usw.
denn genau das wurde alles von den Verbrechern ausgenutzt.
Jeder hat sicher ein paar von diesen "guten" Tools auf dem PC, dazu zähle ich auch
- secunia psi
- notepad++
- alles "schönen" Tools halt
bis hin zum Windows Update selber.
 
Zuletzt bearbeitet:
Muffknutscher schrieb:
Hat ehrlich gesagt auch nicht wirklich was gebracht... Also meiner Meinung nach..
Nicht nur deine Meinung. c't hatte das auch mal getestet und kam zum gleichen Schluss wie du ;)
 
DerPessimist schrieb:
Nichts geht über eine ordentliche Neuinstallation!
Wichtige Daten auf eine reine Datenfestplatte speichern und das Betriebssystem mit den wichtigsten Programmen kann man spätestens alle 1-2 Jahre einfach komplett neu installieren.
Das hilft mehr als ominösen Tools das Pfuschen zu gewähren.

Oh man :eek: die Windows-Welt ist nach 10 Jahren immer noch so grausam? :evillol:
 
Zurück
Oben