17:13
3/8/2016

Fosshub to platforma hostująca znane projekty Open Source, którą pewne projekty (np. Classic Shell, qBittorrent, czy Audacity) wykorzystują jako podstawowe źródło do pobierania binarek.

FossHub

Jak informuje wątek na forum Classic Shella, dziś pewien internauta po zainstalowaniu tej paczki zauważył, że jest zainfekowany.

v4PjxRI_Aag0ftXx4NmDnD8hOfPvXk1xpY076nRq1AE

AS YOU REBOOT, YOU FIND THAT SOMETHING HAS OVERWRITTEN YOUR MBR !
IT IS A SAD THING YOUR ADVENTURES HAVE ENDED HERE!
DIRECT ALL HATE TO PEGGLECREW (@CULTOFRAZER ON TWITTER)

Wygląda na to, że ktoś włamał się na hosting i podmienił instalatory tak, aby zawierały również złośliwe oprogramowanie. Więcej informacji w wątku na reddicie.

Ps. bootrec /fixmbr, bootrec /fixboot i bootrec /rebuildbcd waszym przyjacielem.

Dziękujemy Sebastianowi za podesłanie informacji.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

15 komentarzy

Dodaj komentarz
  1. Dobrze, że olałem wczoraj aktualizacje classic shella… Uf.

    • Akurat aktualizacja by Ci nic nie zrobiła, chodzi o pobranie zainfekowanej instalki z FossHub’a.

  2. Pobrałem binarkę, zdeassemblerowałem pod linuksem. Okazuje się, że to dość stary kod, nieco zupdatowany coby pod nowymi “windami” działał, ale jednak dość stary kod. Peggle Crew to banda script kidów. Jedyne co zrobili to ominęli zabezpieczenia przeciwko nadpisaniu plików systemowych znajdujące się w windowsie od czasu WinXP (a to są dość badziewne zabezpieczenia, więc każdy głupi to potrafi) i zmienili NTLDR tak żeby nie ładował systemu i wyświetlał ten komunikat. Urocze.

    • Z ciekawości, pod linuksem używasz radare2?

    • Tak, tak się składa że tak.

  3. Spodziewali się pewnie, że po Anniversary Update wielu będzie szukało sposobu na powrót do starego menu start (chodź w sumie dużo w nim nie zmienili) i gdy znajdą Classic Shell to im się on spodoba, dlatego zaatakowali teraz.

    • Windows usuwał Classic Shell, dlatego szukali nowej wersji

  4. https://www.youtube.com/watch?v=DD9CvHVU7B4

    Pokazana jest tutaj ciekawa prezentacja tego złośliwca.

  5. A mnie dziwi dlaczego w dzisiejszych czasach deweloperzy nie podają MD5 albo SHA przy swoich plikach… Wiem że sporo osób nie wie do czego to użyć ale zapewne sporo kliknie prawym i podejrzy sumę. Takie narzędzie powinno być w standardzie zaimplementowane w Windows.

    • Powinno, lecz sam sobie już odpowiedziałeś.. Wiekszość ma to po prostu gdzieś czy MD5/SHA są zgodne :/

    • Jak podmienili binarkę, to mogą też i sumy kontrolne.

    • Porządny deweloper podpisuje każdy plik który wychodzi spod jego klawiatury swoim kluczem prywatnym, a odpowiadający mu klucz publiczny wrzuca na keyservery, wtedy nie ma bata żeby ktoś coś majstrował przy kodzie.

  6. Jeśli to rzeczywiście zwykłe nadpisanie, a nie ransomware, to po rękach bym całował! I od razu mówią, co zepsuli. o_O

    Tylko z odzyskiwaniem tablicy partycji nieco zabawy. :)

    • Eh, bootrec /fixmbr i wszystko działa.

  7. lustro dyskó na zew magazynie naszym drugim przyjacielem ^^

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.