Schadsoftware vom Virenschutz-Hersteller

Wochenlang Backdoor in CCleaner

Das Windows-Säuberungs-Tool CCleaner wurde einige Zeit mit integrierter Schadsoftware ausgeliefert. Für den Anbieter ist das besonders peinlich, weil die Unternehmensgruppe auch Virenschutz-Software herstellt.

Von Axel Vahldiek und Olivia von Westernhagen

CCleaner ist eines jener Säuberungs-Programme für Windows, das die einen für unverzichtbar und die anderen für überflüssig bis schädlich halten. Letztere dürfen sich einmal mehr bestätigt fühlen: Hersteller Piriform räumte ein, dass die 32-Bit-Variante von Version 5.33.6162 sowie die Cloud-Version 1.07.3191 von Mitte August bis Mitte September kompromittiert waren.

Eigentlich verspricht der CCleaner nur das Aufräumen des Systems, brachte aber im Gegenzug einige Wochen lang eine Backdoor mit.

Enthalten war eine zweistufige Backdoor, die Angreifern das Ausführen von Code aus der Ferne sowie das Nachladen weiterer Daten ermöglichte. Der Schadcode steckte in der Initialisierungsroutine: Zu Beginn der Programmausführung wurde daraus eine DLL extrahiert, die in einem eigenen Thread im Kontext der Anwendung lief. Sie sammelte Infos unter anderem zu Computernamen, installierter Software, laufenden Prozessen und MAC-Adressen und verschickte sie an einen Command-and-Control-Server.