ComputerBase Menü
Aktuelles

News CCleaner: Hacker haben Software auf Firmen-Server manipuliert

Eigentlich nicht, weiß nicht was der IT-Experte hier mit seinem System macht, aber meine laufen seit Ewigkeiten wunderbar und das ohne ständiges Neuinstallieren. ;)
 
So langsam finde ich die Richtung in die sich das entwickelt sehr beängstigend. Ich bin mir zwar ziemlich sicher, das diese Methode seit Jahren gang und gäbe ist, die Rechner auszuspionieren, aber es hat einfach schlicht und ergreifend keiner mitbekommen, oder es hat niemanden interessiert.
Im Grunde telefoniert alles was auf dem Rechner installiert wird irgendwohin. Es ist für den "normalen" Benutzer überhaupt nicht mehr nachvollziehbar was mit wo oder wem kommuniziert. Allein wenn der Rechner neu installiert ist, und ich mir die Verbindungen die in Glasswire getrackt werden ansehe, bekomme ich das kalte grausen. Hier im Forum bin ich bestimmt nicht allein, der noch einen Squid o.ä. laufen hat, aber das kann man von den Usern nicht erwarten. Rein darf erst mal nix und raus nur der Standard... Aber trotzdem ist man nicht wirklich geschützt... Ich finde das extrem frustrierend...
 
Einhörnchen schrieb:
Nicht nur deine Meinung. c't hatte das auch mal getestet und kam zum gleichen Schluss wie du ;)
Zum Vergrößern anklicken....

Nichts passiert?
- ein Hersteller-Unternehmensserver, der Software verteilt wurde manipuliert
- der ganze Zertifizierungsprozess wurde manipuliert
- keine Schutzsoftware, bis auf eine, hat nur ansatzweise einen Verdacht geschöpft
- das Vertrauen, auch zu anderen Unternehmen, ist erstmal wieder hinüber
reicht das nicht?
 
Domingo2010 schrieb:
Was ist an Avast verkehrt?
Zum Vergrößern anklicken....
Das sind Betrüger und jetzt sind sie auch noch unfähig.
Nach dem Fund von Schadsoftware durch deren freien AV-Scanner haben sie behauptet, dieser könne den Schädling nicht entfernen - dafür müsse sich der AW die Vollversion kaufen!
 
TP555 schrieb:
Re

@Gelbsucht

SHA1 wurde geknackt , von MD5 weiss ich nix soweit !.
Zum Vergrößern anklicken....

Bei md5 gab es bereits 2004 eine Kollision.... Das kann heutzutage jeder PC in Sekunden berechnen
 
Bei der Nachricht vom Heise-Verlag ("Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht ") kann einem direkt wieder bewusst werden warum man den CCleaner benutzt.

Die IndexedDB wird (bei allen Browsern) seit Version 5.03 gelöscht.
 
So schlecht ist der CCleaner nicht.
Aber schon interessant was alles passieren kann, und wer weiß wie oft sowas passiert ?!
 
Könnten die Herren vorher mir erklären, warum ein Offlineinstaller besser / sicherer ist als ein Downloader?

Tut mir leid, ich sehe da bei bestem willen keinen Sicherheitsvorteil. Beide machen das gleiche, das Problem wird doch nur verschoben.
Insbesondere bei diesem Fall waren doch auch die FullInstallation betroffen?

Vielleicht kann mich ja jemand erleuchten, aber meiner Meinung nach ist beides gleich sicher / unsicher.

Zugegeben, ich habe die Überprüfung der nachgeladenen Dateien nicht in meiner Hand.
Andererseits macht das der reguläre User sowieso nicht, aber bei einem Großkonzern erwarte ich dann wenigstens eine Überprüfung der Quelle und der Daten. Für diese User ein kleines Stück mehr Sicherheit, solange der Loader nicht kompromittiert ist.
 
Zuletzt bearbeitet:
vampy2k schrieb:
Das Tool kann doch sowieso fast nix. Am besten man schreibt sich selber eine batch. In der Datei dann alle cache/temp Verzeichnisse des jeweiligen zu löscheden Programmes hinterlegen.
Ab damit in den Autostart und gut.
Zum Vergrößern anklicken....

Gut dass jeder weiß, wo welches Programm Caches und temporären Dateien so versteckt und welche Arten und Kategorien es überhaupt für jedes einzelne Programm gibt.



Cokocool schrieb:
Bei md5 gab es bereits 2004 eine Kollision.... Das kann heutzutage jeder PC in Sekunden berechnen
Zum Vergrößern anklicken....

Wie sieht sowas eigentlich aus, wenn da nochn Salt mit drin ist? Sowas mit MD5 ist ja auch heute noch weit verbreitet.
 
Zuletzt bearbeitet:
mit den aktuellen ESET definitionen wird die betreffende CCCleaner Version Detectet, kann ich bestätigen :)
 
Laut dem Artikel von motherboard wurde die Software schon vor dem upload auf den Server kompromittiert, also spästens während des Build-Prozesses:

"Given the presence of this compilation artifact as well as the fact that the binary was digitally signed using a valid certificate issued to the software developer, it is likely that an external attacker compromised a portion of their development or build environment and leveraged that access to insert malware into the CCleaner build that was released and hosted by the organization," the Cisco Talos researchers said in a blog post.
Zum Vergrößern anklicken....

Vor ca. fünf Jahren habe ic CCleaner selber benutzt und auch regelmäßig weiter empfohlen. Ich wusste gar nicht, dass Piriform mittlerweile zu Avast gehört.
 
Zuletzt bearbeitet:
Re

Mac_Leod

Dann erstelle doch bitte mal Hashwerte , und gib auch die Datei grösse an , und um welche version es sich vom CCLEANER handelt !

mfg.
 
Zuletzt bearbeitet:
Was immer wieder ungeachtet bleibt. Die Berechtigung, mit der in Windows gearbeitet wird.
Natürlich mit admin. Rechten, denn man will ja die Kontrolle übers System haben.
... The malware then checks to determine the privileges assigned to the user running on the system. If the current user running the malicious process is not an administrator the malware will terminate execution. ...
Zum Vergrößern anklicken....
... Die Malware prüft dann die Berechtigungen, die dem Benutzer zugewiesen sind, der auf dem System ausgeführt wird. Wenn der aktuelle Benutzer, der den schädlichen Prozess ausführt, kein Administrator ist, wird die Malware die Ausführung beenden. ...
Zum Vergrößern anklicken....
http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html
Der blog beschäftigt sich ja offensichtlich sehr ausführlich mit dem Thema.
 
Re

Ah 7MB soll die Mod. Datei gross sein , im Vergleich zum Original mit 9MB.

mfg.
 
klopogo schrieb:
wat ne schande für Kaspersky als angeblich bestes av
Zum Vergrößern anklicken....
Guter Witz!

Sepp Depp schrieb:
Macht jetzt auch nicht soviel Sinn Virustotal-Ergebnisse zu posten nachdem die Meldung raus ist. Die 5.33 wurde seit Mitte August verteilt. Gehen wir nun ein paar Tage in die Vergangenheit:
So gut wie alle haben nix erkannt. :lol:
Zum Vergrößern anklicken....
Mach denen doch nicht ihre einfältige Friede-Freude-Eierkuchen-Welt kaputt^^
 
Zuletzt bearbeitet:
TP555 schrieb:
Re

Mac_Leod

Dann erstelle doch bitte mal Hashwerte , und gib auch die Datei grösse an , und um welche version es sich vom CCLEANER handelt !

mfg.
Zum Vergrößern anklicken....

was genau brauchst du?

die Console sieht so aus:
eset_console.JPG

Problem ist, das es das File nicht mehr gibt, kann ich dir keinen Hash erstellen. Ins Backup zu schauen dafür hab ich gerade keine Zeit.
Die Version 5.33 war installiert
 
Zuletzt bearbeitet:
Re

Hash Werte z.b. SHA 256 384 512 , SFV.

Nicht nur ich kann diese werte gebrauchen , sondern auch viele hier im Forum.

Aber wir wissen ja , das die infizierte datei 7MB ist , das Original 9MB.

Das nur der 32Bit installer Modifiziert wurde , könnte ein Trick sein , das das Originale Zertifikat geblieben ist , weil mann es ja unter einem 64Bit OS unter den Eigenschaften abruft, vlt würde der TAB komplett fehlen unter einem 32Bit OS.

mfg.
 
cbtestarossa schrieb:
Nee CCleaner dient in erster Linie wie der Name schon sagt zum reinigen.
Da wird nix optimiert.
Zum Vergrößern anklicken....
https://de.wikipedia.org/wiki/CCleaner Erster Satz:
CCleaner (früherer Name Crap Cleaner)[5] ist ein kostenloses Programm zur Optimierung für die Betriebssysteme Windows, macOS und Android.
Zum Vergrößern anklicken....
Letztlich ist das sowieso aber doch nur Haarspalterei. Die Reinigung ist eine Form der Optimierung. Vielleicht kann man bei manchen Spezialfällen von besonders großen und vielen temporären Dateien noch mit Gewinn von Speicherplatz argumentieren, aber spätestens beim Löschen überflüssiger Einträge aus der Registry der Punkt erreicht, wo der gewonnenen Speicherplatz niemanden interessiert, sondern man das vor allem in der Hoffnung einer Verbesserung (=Optimierung) der Performance macht.
 
Crumar schrieb:
Könnten die Herren vorher mir erklären, warum ein Offlineinstaller besser / sicherer ist als ein Downloader?
Zum Vergrößern anklicken....

Sicherer im Sinne von:
Du hast schon alles im Installer was benötigt wird. Es braucht nichts nachgeladen werden.
Du hast auch eventuell eine Checksumme vom Installer.
Und ein FullSetupInstaller sollte auch gar nicht ins Internet müssen. Warum auch.

Und was wenn DNS auch manipuliert wurde DNSsec dümpelt z.b. vor sich hin
Und was wenn kein HTTPS/TLS etc verwendet wird?
Es gibt dermaßen viele Angriffspunkte.

Es geht auch vorranging gar nicht um den CCleaner sondern darum dass der normale Anwender sowieso mit dem Ganzen überfordert ist und darauf vertraut dass die Firmen alles richtig machen.
Tun sie aber scheinbar nicht und wenn doch gibt es trotzdem Exploits in Software und Servern.
Lest mal nach wer schon alles gehackt wurde. Sogar "Sicherheitsfirmen" die es besser wissen müssten.

Oder Router die nie Patches bekommen und deren Firmware teilweise von Haus aus ein Supergau ist.
Dann noch die ganzen Begehrlichkeiten von Firmen, Diensten und Staaten.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mr E
E-Mail-Server auf NAS (nur zum Abruf)? - Empfehlung
Antworten
5
Aufrufe
3.015
Mr E
Mr E
David7
Wie effektiv vor Malware schützen?
2
Antworten
20
Aufrufe
10.104
sandreas
S
Arjab
[Erfahrungsbericht] Virtualisierung mit PCI-Passthrough auf Manjaro Linux
2 3
Antworten
59
Aufrufe
24.630
Xenophon61
X
Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
158.447
Boogeyman
Boogeyman
derMutant
  • Gesperrt
Ist das Internet kaputt?
2
Antworten
23
Aufrufe
6.638
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz