CCleaner Beliebtes Windows-Programm enthielt wochenlang Schadsoftware

Der CCleaner soll Rechner von unnötigem Datenmüll befreien.

(Foto: SZ.de / Screenshot)
  • Version 5.33 des CCleaner war mit Malware infiziert.
  • Mehr als zwei Millionen Nutzer haben die infizierte Installationsdatei des beliebten Windows-Programms heruntergeladen.
  • Die verseuchte Software wurde direkt auf der Webseite des Herstellers Piriform zum Download angeboten.
  • Nach Angaben von Avast besteht "kein Grund zur Panik". Betroffene Nutzer sollten das Programm aber schnellstmöglich aktualisieren.
Von Simon Hurtz

Der CCleaner soll den Rechner eigentlich von Datenmüll und überflüssigen Programmresten säubern. Doch das weitverbreitete Reinigungs-Tool hat wochenlang das Gegenteil gemacht. Die 32-bit-Version der Exe-Datei von Version 5.33 enthielt Schadsoftware, die unbemerkt während der Installation den Rechner infizierte, wie das Unternehmen einräumte. IT-Sicherheitsforscher der Firma Cisco hatten zuerst auf die Schwachstellen hingewiesen. Die wichtigsten Fragen und Antworten:

Wer ist alles betroffen?

Der Hersteller hat die verseuchte Version zwischen 15. August und 12. September auf seiner Seite zum Download angeboten. Nach Angaben des Antivirus-Unternehmens Avast, das den CCleaner-Entwickler Piriform im Juli übernommen hatte, haben in diesem Zeitraum 2,27 Millionen Nutzer das Programm heruntergeladen und ihre Rechner mutmaßlich bei der Installation mit Malware infiziert. Gängige Antivirenprogramme schlugen dabei keinen Alarm. Nutzer der 64-bit-Version seien nicht betroffen, wie Avast auf Rückfrage mitteilte.

Die Software aktualisiert sich in der kostenlosen Variante CCleaner Free nicht selbstständig. Wenn Sie im entsprechenden Zeitraum also keine neue Version installiert haben, müssen Sie nichts befürchten. Sie finden die Versionsnummer, indem Sie den CCleaner öffnen und oben links unterhalb des Programmnamens nachschauen. Falls Sie bereits die aktuelle Version 5.34 nutzen, könnten Sie zwischenzeitlich jedoch durchaus Version 5.33 verwendet haben. Da die kostenpflichtige Variante einen Auto-Updater enthält, sind deren Nutzer wohl auf jeden Fall betroffen, sofern sie die 32-bit-Version verwenden. Falls hinter der Versionsnummer "(64-bit)" zu sehen ist, besteht nach Aussage von Avast kein Risiko.

An dieser Stelle finden Sie im CCleaner die Versionsnummer.

(Foto: SZ.de / Screenshot)

Was macht die Schadsoftware mit dem Rechner?

Bislang ist unklar, mit welchen Konsequenzen die betroffenen Nutzer rechnen müssen. Die Malware sendete verschlüsselte Informationen über den betroffenen Rechner an einen Server, den die Hacker zu diesem Zweck eingerichtet hatten. Das beinhaltete unter anderem den Namen des Computers, eine Liste der installierten Programme und laufenden Prozesse sowie die Mac-Adressen der Netzwerkadapter.

Das alleine sind keine allzu sensiblen Informationen. Doch die infizierte Datei öffnete eine Hintertür, die es den Angreifern ermöglichte, weitere Schadsoftware nachzuladen, etwa Erpresser-Software oder Keylogger. Avast zufolge haben die Kriminellen diese zweite Stufe jedoch nicht aktiviert.

Wie groß ist das Risiko für die Nutzer?

Glaubt man Avast, dann gibt es "keinen Grund zur Panik", wie Technik-Chef Ondrej Vlcek dem Wirtschaftsmagazin Forbes sagte. Das sei ein ernster Vorfall, den man in keiner Weise herunterspielen wolle. Der Angriff habe als Auftakt für "etwas Größeres" dienen sollen. Angeblich seien die Hacker jedoch gestoppt worden, bevor es so weit kommen konnte.

Allerdings beruhen die Aussagen von Vlcek nur auf einer Analyse von etwa einem Drittel der betroffenen Rechner. Das Unternehmen scannte die Systeme von Nutzern, die sowohl die Antivirensoftware von Avast als auch den CCleaner verwenden. Auf diesen Rechnern habe man keine Bedrohungen gefunden.

Wie erfolgte der Angriff?

Häufig werden verseuchte Versionen von beliebten Programme auf dubiosen Drittseiten angeboten. Diesmal ist es den Kriminellen gelungen, die Originaldatei des Herstellers zu manipulieren. Dementsprechend sind auch Nutzer betroffen, die den CCleaner direkt bei Piriform oder auf seriösen Portalen heruntergeladen haben. Piriform-Manager Paul-Young sagt, er wolle nicht spekulieren, wie die Malware in die finale Programmversion eingeschleust werden konnte. Ebenso wenig könne er Auskunft über Herkunft und Motive der Hacker geben.

Was sollten betroffene Nutzer tun?

Der Ratschlag von Avast und Piriform lautet: Installieren Sie schnellstmöglich die aktuelle Version 5.34, die Sie hier herunterladen können. Eine Sprecherin sagte, das Update entferne den bösartigen Code vollständig. Allerdings ist es fraglich, ob das ausreicht, um die verseuchten Systeme abzusichern. Wenn ein Rechner einmal von Malware infiziert wurde, hilft oft nur eine komplette Neuinstallation von Windows.

Genau das empfehlen auch die Sicherheitsforscher von Cisco. Sie raten den betroffenen Nutzern, ein Backup einzuspielen, das von einem Zeitpunkt datiert, bevor der CCleaner in Version 5.33 installiert wurde. Wer sich nicht erinnern kann, wann das war, und kein Risiko eingehen möchte, sollte mindestens bis zum 15.August (dem Erscheinungstag von Version 5.33) zurückgehen. Falls kein entsprechendes Backup vorhanden ist, solle Windows neu aufgesetzt werden.

Auf Nachfrage sagt Cisco, dass diese beiden Vorgehensweisen am sichersten seien. Allerdings können sie auch nicht mit Bestimmtheit sagen, welche Auswirkungen die Malware auf den betroffenen Rechnern hatte. Letztendlich müssen Nutzer also selbst entscheiden, ob sie der Beteuerung von Avast vertrauen, dass es reiche, auf Version 5.34 zu aktualisieren. In einem gemeinsamen Blogpost schreiben Avast-Chef Vince Steckler und Technik-Chef Vlcek, dass sie "nicht glauben", dass es nötig sei, betroffene Systeme vollständig neu aufzusetzen.

Das sind die Alternativen zum iPhone

Es muss nicht gleich ein mehr als 1000 Euro teures iPhone X von Apple sein. Auch andere Smartphones bieten randlose Displays und gute Kameras - aber perfekt sind sie nicht. mehr...