HWMonitorin ja CPU-Z:n sivut kaapattu, asennustiedostoissa viruksia

Kaotik · tänään klo 11:49

Redditissä valppaat käyttäjät ovat huomanneet HWMonitor- ja CPU-Z-sovellusten verkkosivujen ohjaavan käyttäjän lataamaan viruksilla höystettyjä versioita sovelluksista.

HWMonitorin kohdalla saastunut versio on versiota 1.63 ja asiasta ensimmäisenä raportoineen mukaan ladatun tiedoston nimi on "HWiNFO_Monitor_Setup.exe", kun normaalisti sitä jaetaan hwmonitor_versionumero.exenä, esim hwmonitor_1.62.exe. Myös uusi 1.63-versio (hwmonitor_1.63.exe) löytyy manuaalisella latauslinkin korjaamisella ja se on tarkistettu vapaaksi viruksista. HWMonitorin lataussivujen linkki saastuneeseen versioon johtaa jälkensä venäjälle.

Myös CPU-Z:n virallisten latauslinkkien kerrotaan johtavan ajankohtaisesti saastuneeseen versioon.

Lähde: Reddit - Please wait for verification

Huom! HWMonitor ja HWiNFO ovat kaksi eri ohjelmaa.

Päivitys: sivustot on korjattu ja jaossa on taas puhtaat versiot. Saastuneet linkit ehtivät olla linjoilla kuutisen tuntia

weezer · tänään klo 11:59

Just asensin windowsin uuteen koneeseen, mikähän versio tuli tuosta hwinfosta ladattua… saa nähdä pitääkö koko windows asentaa uudelleen

Edit typo

zepi · tänään klo 11:59

Kannattaa huomata, että malwaret ovat hyvin kehittyneitä. Jos epäilet että kone on saastunut, niin irti sisäverkosta ja vaikka pois päältä ja odottelemaan että puhdistuskeinot tulevat julki. Tällä hetkellä asiaan syvällisemmin perehtymättä sanoisin, että ainoa varma keino päästä tuosta eroon nukettaa koko kone - jos edes se riittää.

Toivottavasti saatuneen version asentaneilla on backupit kunnossa.

Myös - jos olet asentanut saastuneen hw-infon ja olet sen jälkeen syöttänyt koneelle nettipalveluiden salasanoja, niin nopeasti vaihtamaan... Toivottavasti on 2FA käytössä kaikkialla.

mok86 · tänään klo 12:05

weezer sanoi:
Just asensin windowsin uuteen koneeseen, minähän versio tuli tuosta hwinfosta ladattua… saa nähdä pitääkö koko windows asentaa uudelleen

Hwmonitor on eri softa.

Kaotik · tänään klo 12:29

weezer sanoi:
Just asensin windowsin uuteen koneeseen, minähän versio tuli tuosta hwinfosta ladattua… saa nähdä pitääkö koko windows asentaa uudelleen

mok86 sanoi:
Hwmonitor on eri softa.

Jep, tuossa on HWMonitorin saastuneessa versiossa vain HWiNFOon viittaava tiedostonimi

Tege · tänään klo 12:48

Saastunut versio ollut jaossa 9.4. - 10.4. GMT välisenä aikana.

Reddit - Please wait for verification

www.reddit.com

Sivusto korjattu jokunen tunti sitten.

Griffin · tänään klo 12:54

weezer sanoi:
Just asensin windowsin uuteen koneeseen, minähän versio tuli tuosta hwinfosta ladattua… saa nähdä pitääkö koko windows asentaa uudelleen

Jos tiedosto on tallessa, niin tutki, onko siinä viruksia. Laita paketti esim tikulle ja toisella koneella tutkit, erinäisin sovellutuksin, mitä se sisältää..

Admiral General Aladeen · tänään klo 12:58

Eipä ole itsellä paljoa mitään tarvetta näitä päivitellä, kun joskus ladannut portable versiot joita helppo jakaa LAN:n yli jokaiselle koneelle kotona, mutta mietin vain, miten jos tällainen hakkeri voisi kaapata devaajien tilit niin, että tällainen malwarella höystetty päivitys menee jonkin windows storen appiin ja pakotetun updaten kautta sadoille miljoonille käyttäjille automaattisesti. Ehkä storen taustalla on paremmat suojaukset, mutta en noista niin tiedä mitään.

PyleP · tänään klo 13:01

itsellä edelleen winXP:n kultavuosilta tuttu tapa, eli lataan aina pykälää vanhemman version softasta ja ajan paketin virustotalin kautta.

t: kääpä

DaNightlander · tänään klo 13:04

Griffin sanoi:
Jos tiedosto on tallessa, niin tutki, onko siinä viruksia. Laita paketti esim tikulle ja toisella koneella tutkit, erinäisin sovellutuksin, mitä se sisältää..

Taikka toisen koneen kautta lähettää se tuonne:

VirusTotal

www.virustotal.com

Kummallista, ettei tuosta ole vielä mitään mainintaa noiden ohjelmien sivuilla, vaikka nuo latauslinkit ovatkin jo korjattu.

Freeze · tänään klo 13:05

Löysinpä tällaisen: CPU-Z 2.19 Supply Chain Attack - Malware Analysis Report
>> Edit: ei antanut linkittää suoraan

Itsellä oli asennettuna tuo uusi versio, mutta ilmeisesti puhtaasta lähteestä. Koneella on skannaukset menossa, ja ainakaan mainittuja tiedostoja, rekisteriavaimia tai prosesseja ei omalta koneelta löytynyt.

Linkki: https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84

Välittömat estokeinot: blokkiin domainit supp0v3.com ja *.supp0v3.com

weezer · tänään klo 13:25

Tege sanoi:
Saastunut versio ollut jaossa 9.4. - 10.4. GMT välisenä aikana.

Reddit - Please wait for verification

www.reddit.com

Sivusto korjattu jokunen tunti sitten.

Mulla on aiemmin jo asennettu, täytyy vielä tarkistaa kaikki kun kotiutuu.

Tege · tänään klo 13:36

Admiral General Aladeen sanoi:
Eipä ole itsellä paljoa mitään tarvetta näitä päivitellä, kun joskus ladannut portable versiot joita helppo jakaa LAN:n yli jokaiselle koneelle kotona, mutta mietin vain, miten jos tällainen hakkeri voisi kaapata devaajien tilit niin, että tällainen malwarella höystetty päivitys menee jonkin windows storen appiin ja pakotetun updaten kautta sadoille miljoonille käyttäjille automaattisesti. Ehkä storen taustalla on paremmat suojaukset, mutta en noista niin tiedä mitään.

Koskee myös portablea nämä saastumiset. Sivusto kaapattiin ja linkit ohjattiin saastuneeseen pakettiin.

HWMonitorin ja CPU-Z:n sivut kaapattu, asennustiedostoissa viruksia

Kaotik

Banhammer

weezer

zepi

mok86

Kaotik

Banhammer

Tege

Reddit - Please wait for verification

Griffin

Admiral General Aladeen

PyleP

DaNightlander

Powered by 3dfx Voodoo

VirusTotal

Freeze

Elitisti

weezer

Reddit - Please wait for verification

Tege

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Hinta.fi

Arvostamme yksityisyyttäsi