11:02
11/10/2018

Jak poinformował nas Czytelnik Robert Szurgot, na stronie totalcmd.pl do godziny 10:30 znajdował się dziś “zmodyfikowany” instalator Total Commandera 9.21a, popularnego managera plików. Według kilku antywirusów, plik został zatrojanowany.

Ale jest zbyt wcześnie, aby ustalić, co konkretnie robi ta binarka i czy jest to coś złego — to równie dobrze może być false positive. Nasza szybka analiza w maszynie wirtualnej pokazuje, że instalator po uruchomieniu kończy pracę ze względu na błąd i nie próbuje nawiązywać żadnych połączeń ani nie modyfikuje żadnych plików (innymi słowy, jest nieszkodliwy).

Tak czy inaczej plik nie jest tym, którym być powinien, więc należy go traktować jako podejrzany. Postaramy się niebawem wykonać bardziej szczegółową analizę.

AKTUALIZACJA
podobne wskazania zwracają antywirusy dla instalatora pobranego z oficjalnej strony. Ale HybridAnalysis z kolei plik określa jako podejrzany i zwraca ciekawe wyniki.

Błyskawiczna reakcja totalcmd.pl

Tuż po zgłoszeniu Roberta, które równocześnie zostało podesłane do administracji serwisu totalcmd.pl, odezwał się do nas Adam Bukowiński z softx.pl, który zarządza stroną totalcmd.pl. Adam potwierdził, że wersja instalatora (32/64) faktycznie “była uszkodzona“. Niestety, to była ta wersja, do której pobrania zachęcała strona:

O godzinie 10:30 plik został podmieniony na poprawny.

Pobrałem Total Commandera, co robić, jak żyć

Czekamy na informację, od jak dawna “uszkodzony” (czyt. być może zainfekowany) plik znajdował się na serwerze. Bez tego ciężko jest określić ile osób mogło zostać zainfekowanych, gdyby instalator faktycznie okazał się “złośliwy”. Jeśli wierzyć metadanym instalatora, to plik stworzony został 25 lipca.

Jeśli jednak w ostatnich dniach pobieraliście Total Commandera z totalcmd.pl w wariancie 32/64, to proponujemy na wszelki wypadek przeskanować system operacyjny pod kątem zagrożeń. Jeśli jeszcze macie instalator, to zweryfikujcie jego sumę kontrolną MD5. Powinna być taka:
1024e52e635ae373453a49cc147992d9

MD5 dla zmodyfikowanego instalatora to:
aa5b96c61d7a7eec4f854a93e16b763b

Robert zauważa jeszcze jeden mankament strony totalcmd.pl. Serwis udostępnia pliki po HTTP, co oznacza, że choć teraz na serwerze leży już poprawny instalator, to dalej może zostać przez kogoś przechwycony i podmieniony “w tranzycie” ze względu na brak szyfrowania…

IOC

Zmodyfikowany instalator serwowany był z URL:
hxxp://pliki.totalcmd[.]pl/pobierz.php?typ=app&plik=tcmd921ax32_64.exe

Jego MD5:
aa5b96c61d7a7eec4f854a93e16b763b


Aktualizacja 11.10.2018, 11:18
Adam z softx.pl informuje, że:

Ze wstępnej analizy wynika, iż wszystkie 3 pliki (32, 64 i 32/64) były wgrane w tym samym momencie przez nas. Wcześniej zostały pobrane ze strony producenta. Skoro więc te 2 pliki są prawidłowe a 1 z nich już nie to wynika, że wystąpił albo błąd podczas pobierania albo błąd podczas przesyłania pliku na ftp. Świadczy o tym komunikat o uszkodzeniu instalatora (załączony poniżej) wygenerowany przez aplikację. Plik na 100% nie został przez nikogo podmieniony o czym świadczy data jego wgrania a zagrożenia, które pokazały 3 z 67 silników świadczą raczej o uszkodzeniu instalatora a nie o szkodliwej zawartości.

Co ciekawe, uszkodzony plik jest większy niż oryginalny, co raczej nie jest charakterystyczne dla “uszkodzeń podczas pobierania pliku”. Być może więc problem rozpoczął się na oficjalnym serwerze Total Commandera, gdzie po wykryciu usterki, plik został podmieniony na poprawny.

Na totalcmd.pl ma się też niebawem pojawić certyfikat HTTPS. Przynajmniej tyle dobrego z tego zamieszania ;)

Ten incydent to świetne przypomnienie, dlaczego oprogramowanie powinniśmy zawsze pobierać bezpośrednio ze strony producenta. I po pobraniu, sprawdzać sumę kontrolną z publikowaną na stronie.

Przeczytaj także:

51 komentarzy

Dodaj komentarz
  1. U mnie nadal firewall wykrywa: PUA.Win.Trojan.Generic-6629273-0 w tych instalkach.

    • Dziwna sprawa bo to samo wykrywa jak się plik pobierze z oficjalnej strony. Albo ten virustotal keszuje wyniki albo te silniki co wykrywają coś są nadgorliwe.

    • Dosyć dobrze działa FreeCommander.

  2. Kto przy zdrowym umyśle używa TotalCMD w 2018 roku?

    • Ja akurat używam Multi Commandera, bo jest darmowy. Znasz jakieś lepsze alternatywy?

    • Multi Commander jest w tej chwili chyba najlepszym rozwiązaniem tego typu! W firmie przynajmniej można używać bez stresu ;]

    • A czego mamy używać? Windows Explorera? :)))

    • A dlaczego miałbym go nie używać? Jego funkcjonalność mi wystarcza i jestem do niego przyzwyczajony…. Kupiłem licencję kilkanaście lat temu (jest ważna dożywotnio).

    • Jestem przy zdrowym zmyśle (raczej) i używam Total Commandera. Bo lubię. Pojawiło się coś lepszego?

    • Kupiłem licencję na Totalcmd kilkanaście lat temu (jest dożywotnia). Dlaczego miałbym z niego nie korzystać? Przyzwyczaiłem się do niego i dzięki niemu wygodnie zarządzam plikami (funkcje mi wystarczają).

      Nowe wersje pobieram z oficjalnej strony, nie widzę w ogóle sensu korzystania z polskiej.

      Pobieranie z dobrychprogramow i instalek nie musi być niebezpieczne, bo jeśli się wybierze linki bezpośrednie, to często prowadzą one bezpośrednio do serwerów producenta. Jednak samo to, że lepiej widoczne lub domyślnie zaznaczone są “asystenty pobierania” (śmieciowe instalatory), to lepiej w ogóle nie korzystać z tych serwisów, bo nie wiadomo, czy nie zaczną dorzucać czegoś nowego… W ostateczności można czasem tam wejść z włączonym uBlockiem, itp. i sprawdzić czy jest coś nowego, a potem pobrać to ze strony producenta.

    • FAR jest lepszy

    • porównywanie totalcommandera do multicommandera to jak porównywanie kartofli do ziemniaków, just sayin

    • Ja osobiście korzystam z FreeCommander – również darmowy (do firmy również) a na dodatek produkt made in Poland :)

    • Ja. Ustawiłem sobie środowisko kilkanaście lat temu i teraz odcinam kupony + integracja z resztą systemu przy pomocy Listary. Bajka.

    • Ja

    • Raczej kto nie używa? :) Jakie według Ciebie są realne alternatywy dla niego?

    • Nie no, ludzie! Każdy przyzwoity geek używa Volkow Commandera. Pisany (ponoć) w asm. Jest przynajmniej 3 razy szybszy od zaśmieconego ostatnio Norton Commandera.
      :Trolling OFF
      Używam Total Commandera. I sobie chwalę.

    • Total commander to jest potężne narzędzie. W sumie jedyny powód dlaczego mam Windows na biurku. Dużo pracuje na plikach, różne zbiory danych. W Linux nie ma narzędzia nawet takiego, które zbliża się możliwościami do Total Commander. Mam licencje w dniu domu i do pracy.

    • Kto przy zdrowym umyśle NIE używa TotalCMD w 2018 roku?

    • @keiran 2018.10.11 12:53
      > Ja akurat używam Multi Commandera,
      > bo jest darmowy.
      > Znasz jakieś lepsze alternatywy?

      Altap Salamander.

    • @jackalek
      No, ale ten komentarz o “braku dobrego managera plików” na systemy linuksowe i używaniu windowsa z tego powodu dobry… Każdy jedzie, na czym chce, ale on Midnight Commander, vifm, Thunar, czy – na Android – Ghost Commander, kolega nie słyszał?

      A nawet nie wspominam o całej masie narzędzi CLI, posiadających o wiele większe możliwości, niż Total Commander + wszystkie powyższe, razem wzięte.

    • @MKS: szkoda że sporo mu brakuje w podstawowych funkcjach. Np. zaglądam na forum (bo nie używam), a tam w feature requests “add Skip All przy kopiowaniu” …
      No litości.

      Total Commander przynajmniej to ma. A w ogóle to używam Total Commander z dodatkiem PowerPack (v2).

    • Nie używam TC. Właściwie wszystko robię na Midnight Commander na linuxie. Ale czasem, muCommander(win), Double Commander (win,lin,osx,bsd), są “free”, nie wiem jak się mają do TC – używam sporadycznie graficznych managerów.

    • Ja uzywam akurat Krusadera pod KDE ale pod Windowsem nie widze nic lepszego niz TC.

    • Kolega jackalek 2018.10.13 08:09 | # | napisał:
      “Total commander to jest potężne narzędzie. W sumie jedyny powód dlaczego mam Windows na biurku. Dużo pracuje na plikach, różne zbiory danych. W Linux nie ma narzędzia nawet takiego, które zbliża się możliwościami do Total Commander. Mam licencje w dniu domu i do pracy.”

      Mój komentarz: Otóż mylisz się kolego, w Linuksie jest konsola i konsolowy Midnight Commander. Gdyby była potrzeba napisania czegoś w stylu Total Commandera, to by to na pewno ktoś napisał. Nie napisał, bo nie ma takiej potrzeby… Konsola i mc załatwiają wszystko.

    • a co pozwala na szybką synchronizację katalogów, na hurtową zmianę nazw, na wygodne kopiowanie, na podgląd binarek i na wiele innych funkcji w jednym sofcie?pomijając klony totalcommandera?
      nie pajacuj

  3. Ja pobrałem ze strony producenta https://www.ghisler.com/ i tam też coś wykrywa. Potem pobrałem z polskiej strony – pliki są indentyczne. Pytanie czy to nie fałszywy alarm? Albo coś u producenta?

    • Potwierdzam, plik pobrany z Ghislera jest również widziany jako zatrojanowany. Wygląda to na false positive.

    • U mnie w tej chwili jest 2/67 na virustotal (Antiy-AVL i Jiangmin) na oryginalnym pliku – nie traktuję tego poważnie.

  4. Trzeba w końcu do W3C uderzyć by wprowadzili taki prosty standard:

    Link

    Wtedy bez deface trudno będzie podmienić jakikolwiek plik niepostrzeżenie.

  5. Na mnie zawsze krzywo się patrzą jak “tracę czas” szukając jakichś dziwnych stron, zamiast pobrać z “dobreprogramy”

  6. Instala (tcmd921ax32_64.exe) ściągnąłem 23 września z ghisler.com; data pliku ‎21 ‎sierpnia ‎2018, ‏‎08:57:30 – czyli data wydania wersji 9.21a. MD5 poprawny, wszystko działa normalnie.

  7. “plik na 100% nie został przez nikogo podmieniony o czym świadczy data jego wgrania”

    Taa…
    Bo data to rzecz święta.
    Kiedyś, jak się nudziłem, to pozmieniałem daty na “ładniejsze”.

    Jest akapit o sumach kontrolnych. I dobrze.
    Od dawna na stronach wielu producentów brakuje mi podanych sum kontrolnych.
    Taka mała rzecz, a cieszy gdy jest.

  8. Dlaczego warto pobierać oprogramowanie z repozytorium dystrybucji Linuksa :)?

    Ale na poważnie, repozytoria w Linuksie są znacznie wygodniejsze i bezpieczniejsze niż ręczne pobieranie programów ze strony producenta czy z jakieś innej. Dodam że oprogramowanie ze strony producenta nie są odporniejsze na włamania.

    Na Windowsie można używać Chocolatey (https://chocolatey.org/) jako menadżera pakietów, ale mało osób z tej opcji korzysta. A szkoda, bo to znacznie zmniejsza ryzyko.

    • Powinno być jeszcze “Dlaczego warto pobierać oprogramowanie tylko ze Sklepu Microsoft?”, oczywiście “Dlaczego warto pobierać oprogramowanie tylko z App Store?” i “Dlaczego warto nie dodawać repozytoriów stron trzecich?”

    • Problem chocolatey polega na tym że wymaga ogromnego zaufania do samego narzędzia i wystawianych nim aplikacji. To oznacza dużo miejsc potencjalnych luk.

      Mówiąc inaczej – mam alternatywę. Albo program X ściągam od producenta – to jest jakieś ryzyko. Albo program X ściągają ludzie ze społeczności chocolatey (ryzyko) i udostępniają, a ja ściągam samego chocolatey (ryzyko) i wystawiony pakiet (kolejne ryzyko).

      Jak się widzi pakiety typu Google Chrome opublikowane przez użytkownika “JanKowalski” to się odechciewa ściągać. Z resztą na samym wykazie pakietów stoi wprost “Your use of the packages on this site means you understand they are not supported or guaranteed in any way” (https://chocolatey.org/packages).

    • > Problem chocolatey polega na tym że wymaga ogromnego zaufania do samego narzędzia i wystawianych nim aplikacji. To oznacza dużo miejsc potencjalnych luk.

      Zgodzę się, ale Chocolatey ma narzędzia aby sobie z tym radzić. Chocolatey jest wolnym oprogramowaniem, więc można sprawdzić jego kod źródłowy. Program jest podpisany cyfrowo i Windows w komunikacie UAC powinien informować o firmie odpowiedzialnej za ten program (nazwa firmy to “Chocolatey Software, Inc”). Jakość wszystkich pakietów jest weryfikowana automatycznie i ręcznie (zaufana osoba MUSI sprawdzać pakiety zanim będą dostępne). VirusTotal sprawdza co pewien czas Chocolatey i wszystkie jego pakiety. Więcej informacji jest na https://chocolatey.org/security

      > Z resztą na samym wykazie pakietów stoi wprost “Your use of the packages on this site means you understand they are not supported or guaranteed in any way” (https://chocolatey.org/packages).

      Prawda, ale powiedziałbym że to tak zwany “warranty disclaimer”. Bez tego disclaimera, użytkownik w Stanach Zjednoczonych mógłby myśleć że oprogramowanie ma gwarancje. Posiadanie takiego disclaimera zmniejsza ryzyko procesów sądowych i większość darmowego oprogramowania ma taki disclaimer.

      Jeśli zależy ci na gwarancji, możesz zapłacić za Chocolatey, ale to jest raczej opcja dla firm, patrząc na ceny zaczynające się od 600 dolarów rocznie.

  9. “po pobraniu, sprawdzać sumę kontrolną z publikowaną na stronie.”

    Wybaczcie, ale to porada rodem z ubiegłego wieku. Należy po prostu sprawdzić podpis cyfrowy ściągniętego pliku EXE: w Windowsie klikamy na pliku prawym klawiszem myszy -> Właściwości -> zakładka Podpisy cyfrowe -> wybieramy podpis na liście -> klikamy przycisk Szczegóły.

  10. Cześć, poprawcie tytuł artykułu. Prawdopodobnie chodzi o “oficjalną stronę producenta” a nie o “oficjalnego producenta” :-)

  11. Z Waszego linku do VT.
    Virus total twierdzi,że fałszywy plik jest podpisany cyfrowo
    Plik ma MD5 1024e52e635ae373453a49cc147992d9,który uznaliście za poprawny.

  12. Ja używam Double Commander

  13. Pobrany plik nie był

  14. Cylance to nie antywirus tylko false positive generator

  15. Pobierałem 2 października i już wtedy był podmieniony

  16. Pobieram zawsze ze strony ghisler.com wersję 32+64 bit, teraz przeanalizowałem ten instalator, suma kontrolna jest inna, ale te same detekcje:
    https://www.virustotal.com/#/file/5330b7a45e9881d885067bf7dfefa37f4502088d9fd259bf1f2cc3fbdd9e304b/detection

  17. Niedawno CCleaner w oryginalnym pliku (ze swojego serwera) dodał jakiegoś robaka . Po zainstalowaniu skanował dyski i wysyłał dość sporo MB .
    Dlaczego więc ” warto pobierać oprogramowanie ze strony producenta ” ? ;-)

  18. Można wspomnieć o bezpłatnej alternatywie, która jest najbliżej tego programu i się bardzo szybko rozwija na tyle że juz teraz łyka rozszerzenia :

    https://doublecmd.sourceforge.io/

    Używam na kilku różnych systemach i praktycznie nieodczuwam jakiś braków.

  19. “Ten incydent to świetne przypomnienie, dlaczego oprogramowanie powinniśmy zawsze pobierać bezpośrednio ze strony producenta. I po pobraniu, sprawdzać sumę kontrolną z publikowaną na stronie.”

    Jasli atakujacy byl w stanie podmienic plik, to podmienil tez sume kontrolna na taka odpowiadajaca plikowie

  20. @Wujek Paweł- niekoniecznie. Zdarzało się (np. Mint Linux), że została podmieniona instalka na serwerze ftp, ale atakujący nie miał dostępu do serwera www, na którym została opublikowana oryginalna suma kontrolna i hash.
    PS- WINDOWS=TC, próbowałem kiedyś Opus Commandera,
    UX=MC
    AND=TC+EsFM

  21. aha – wspomnieć mam o google play?
    nie kopmy leżącego heheheh

  22. jak ktoś może zapłacić to jest jeszcze Directory Opus – chyba najlepszy filemanager dla Windows.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.