HWMonitorin ja CPU-Z:n sivut kaapattu, asennustiedostoissa viruksia

Kaotik

Kaotik

Banhammer
Ylläpidon jäsen
Liittynyt
14.10.2016
Viestejä
25 005
Redditissä valppaat käyttäjät ovat huomanneet HWMonitor- ja CPU-Z-sovellusten verkkosivujen ohjaavan käyttäjän lataamaan viruksilla höystettyjä versioita sovelluksista.

HWMonitorin kohdalla saastunut versio on versiota 1.63 ja asiasta ensimmäisenä raportoineen mukaan ladatun tiedoston nimi on "HWiNFO_Monitor_Setup.exe", kun normaalisti sitä jaetaan hwmonitor_versionumero.exenä, esim hwmonitor_1.62.exe. Myös uusi 1.63-versio (hwmonitor_1.63.exe) löytyy manuaalisella latauslinkin korjaamisella ja se on tarkistettu vapaaksi viruksista. HWMonitorin lataussivujen linkki saastuneeseen versioon johtaa jälkensä venäjälle.

Myös CPU-Z:n virallisten latauslinkkien kerrotaan johtavan ajankohtaisesti saastuneeseen versioon.

Lähde: Reddit - Please wait for verification

Huom! HWMonitor ja HWiNFO ovat kaksi eri ohjelmaa.

Päivitys: sivustot on korjattu ja jaossa on taas puhtaat versiot. Saastuneet linkit ehtivät olla linjoilla kuutisen tuntia
 
Viimeksi muokattu:
Just asensin windowsin uuteen koneeseen, mikähän versio tuli tuosta hwinfosta ladattua… saa nähdä pitääkö koko windows asentaa uudelleen

Edit typo
 
Viimeksi muokattu:
Kannattaa huomata, että malwaret ovat hyvin kehittyneitä. Jos epäilet että kone on saastunut, niin irti sisäverkosta ja vaikka pois päältä ja odottelemaan että puhdistuskeinot tulevat julki. Tällä hetkellä asiaan syvällisemmin perehtymättä sanoisin, että ainoa varma keino päästä tuosta eroon nukettaa koko kone - jos edes se riittää.

Toivottavasti saatuneen version asentaneilla on backupit kunnossa.

Myös - jos olet asentanut saastuneen hw-infon ja olet sen jälkeen syöttänyt koneelle nettipalveluiden salasanoja, niin nopeasti vaihtamaan... Toivottavasti on 2FA käytössä kaikkialla.
 
weezer sanoi:
Just asensin windowsin uuteen koneeseen, minähän versio tuli tuosta hwinfosta ladattua… saa nähdä pitääkö koko windows asentaa uudelleen
Napsauta laajentaaksesi...
Jos tiedosto on tallessa, niin tutki, onko siinä viruksia. Laita paketti esim tikulle ja toisella koneella tutkit, erinäisin sovellutuksin, mitä se sisältää..
 
Eipä ole itsellä paljoa mitään tarvetta näitä päivitellä, kun joskus ladannut portable versiot joita helppo jakaa LAN:n yli jokaiselle koneelle kotona, mutta mietin vain, miten jos tällainen hakkeri voisi kaapata devaajien tilit niin, että tällainen malwarella höystetty päivitys menee jonkin windows storen appiin ja pakotetun updaten kautta sadoille miljoonille käyttäjille automaattisesti. Ehkä storen taustalla on paremmat suojaukset, mutta en noista niin tiedä mitään.
 
itsellä edelleen winXP:n kultavuosilta tuttu tapa, eli lataan aina pykälää vanhemman version softasta ja ajan paketin virustotalin kautta.

t: kääpä
 
Griffin sanoi:
Jos tiedosto on tallessa, niin tutki, onko siinä viruksia. Laita paketti esim tikulle ja toisella koneella tutkit, erinäisin sovellutuksin, mitä se sisältää..
Napsauta laajentaaksesi...
Taikka toisen koneen kautta lähettää se tuonne:

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

Kummallista, ettei tuosta ole vielä mitään mainintaa noiden ohjelmien sivuilla, vaikka nuo latauslinkit ovatkin jo korjattu.
 
Löysinpä tällaisen: CPU-Z 2.19 Supply Chain Attack - Malware Analysis Report
>> Edit: ei antanut linkittää suoraan

Itsellä oli asennettuna tuo uusi versio, mutta ilmeisesti puhtaasta lähteestä. Koneella on skannaukset menossa, ja ainakaan mainittuja tiedostoja, rekisteriavaimia tai prosesseja ei omalta koneelta löytynyt.

Linkki: https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84

Välittömat estokeinot: blokkiin domainit supp0v3.com ja *.supp0v3.com
 
Viimeksi muokattu:
Admiral General Aladeen sanoi:
Eipä ole itsellä paljoa mitään tarvetta näitä päivitellä, kun joskus ladannut portable versiot joita helppo jakaa LAN:n yli jokaiselle koneelle kotona, mutta mietin vain, miten jos tällainen hakkeri voisi kaapata devaajien tilit niin, että tällainen malwarella höystetty päivitys menee jonkin windows storen appiin ja pakotetun updaten kautta sadoille miljoonille käyttäjille automaattisesti. Ehkä storen taustalla on paremmat suojaukset, mutta en noista niin tiedä mitään.
Napsauta laajentaaksesi...
Koskee myös portablea nämä saastumiset. Sivusto kaapattiin ja linkit ohjattiin saastuneeseen pakettiin.
 
Omassa käytössä vain CPU-Z. En muista oliko siinä jotain automaattista päivitystä enkä pääse juuri nyt tarkistamaan kotikonetta. Mitenkähän sellaiset toimivat noiden ohjelmien kohdalla, jos automaattipäivitys sattui osumaan tuohon ajankohtaan?
 
Tege sanoi:
Koskee myös portablea nämä saastumiset. Sivusto kaapattiin ja linkit ohjattiin saastuneeseen pakettiin.
Napsauta laajentaaksesi...

Toki, mutta tarkoitin että olen ladannut tiedostot aikapäivää sitten ja en yleensäkkään turhantakia päivittele softia. Toki webbiselaimet ja internettiä käyttävät softat syytä olla viimeisintä versiota, koska niissä tietoturvariskit ovat suuret, mutta tällaiset vain lokaalisti toimivat ohjelmat harvoin päivityksiä kaipaa.
 
Rollerix sanoi:
Omassa käytössä vain CPU-Z. En muista oliko siinä jotain automaattista päivitystä enkä pääse juuri nyt tarkistamaan kotikonetta. Mitenkähän sellaiset toimivat noiden ohjelmien kohdalla, jos automaattipäivitys sattui osumaan tuohon ajankohtaan?
Napsauta laajentaaksesi...
Jos nyt en ihan väärin muista, niin ei päivitä automaattisesti vaan ilmoittaa käynnistyksen yhteydessä uudesta versiosta, jonka voi sitten itse ladata tai olla lataamatta.
 
Näyttää aika pahalta, ettei näiden softien tekijä CPUID ole laittanut sivuilleen mitään tiedotetta tästä. Pitää jostain Redditistä kaivella heidän kommenttejaan. Aika amatööritouhua...
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
304 873
Viestejä
5 164 696
Jäsenet
82 573
Uusin jäsen
adrian_x

Hinta.fi

Back
Ylös Bottom