Witamy na PZD!

Welcome to PZD!

Register Zaloguj

Podejrzana wersja Total Commandera na stornie producenta

al

The janitor
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
4416
Polubienia
1701
Autor tematu #1
Jak poinformował nas Czytelnik
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
, na stronie totalcmd.pl do godziny 10:30 znajdował się dziś “zmodyfikowany” instalator Total Commandera 9.21a, popularnego managera plików. Według
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
, plik został zatrojanowany.

Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć


Ale jest zbyt wcześnie, aby ustalić, co konkretnie robi ta binarka i czy jest to coś złego — to równie dobrze może być false positive. Nasza szybka analiza w maszynie wirtualnej pokazuje, że instalator po uruchomieniu kończy pracę ze względu na błąd i nie próbuje nawiązywać żadnych połączeń ani nie modyfikuje żadnych plików (innymi słowy, jest nieszkodliwy).

Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć


Tak czy inaczej plik nie jest tym, którym być powinien, więc należy go traktować jako podejrzany. Postaramy się niebawem wykonać bardziej szczegółową analizę.

AKTUALIZACJA
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
dla instalatora pobranego z oficjalnej strony. Ale HybridAnalysis z kolei plik określa jako podejrzany i zwraca
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć
.
Błyskawiczna reakcja totalcmd.pl
Tuż po zgłoszeniu Roberta, które równocześnie zostało podesłane do administracji serwisu totalcmd.pl, odezwał się do nas Adam Bukowiński z softx.pl, który zarządza stroną totalcmd.pl. Adam potwierdził, że wersja instalatora (32/64) faktycznie “była uszkodzona“. Niestety, to była ta wersja, do której pobrania zachęcała strona:

Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć


O godzinie 10:30 plik został podmieniony na poprawny.

Pobrałem Total Commandera, co robić, jak żyć
Czekamy na informację, od jak dawna “uszkodzony” (czyt. być może zainfekowany) plik znajdował się na serwerze. Bez tego ciężko jest określić ile osób mogło zostać zainfekowanych, gdyby instalator faktycznie okazał się “złośliwy”. Jeśli wierzyć metadanym instalatora, to plik stworzony został 25 lipca.

Jeśli jednak w ostatnich dniach pobieraliście Total Commandera z totalcmd.pl w wariancie 32/64, to proponujemy na wszelki wypadek przeskanować system operacyjny pod kątem zagrożeń. Jeśli jeszcze macie instalator, to zweryfikujcie jego sumę kontrolną MD5. Powinna być taka:
1024e52e635ae373453a49cc147992d9

MD5 dla zmodyfikowanego instalatora to:
aa5b96c61d7a7eec4f854a93e16b763b

Robert zauważa jeszcze jeden mankament strony totalcmd.pl. Serwis udostępnia pliki po HTTP, co oznacza, że choć teraz na serwerze leży już poprawny instalator, to dalej może zostać przez kogoś przechwycony i podmieniony “w tranzycie” ze względu na brak szyfrowania…

IOC
Zmodyfikowany instalator serwowany był z URL:
hxxp://pliki.totalcmd[.]pl/pobierz.php?typ=app&plik=tcmd921ax32_64.exe

Jego MD5:
aa5b96c61d7a7eec4f854a93e16b763b


Aktualizacja 11.10.2018, 11:18
Adam z softx.pl informuje, że:

Ze wstępnej analizy wynika, iż wszystkie 3 pliki (32, 64 i 32/64) były wgrane w tym samym momencie przez nas. Wcześniej zostały pobrane ze strony producenta. Skoro więc te 2 pliki są prawidłowe a 1 z nich już nie to wynika, że wystąpił albo błąd podczas pobierania albo błąd podczas przesyłania pliku na ftp. Świadczy o tym komunikat o uszkodzeniu instalatora (załączony poniżej) wygenerowany przez aplikację. Plik na 100% nie został przez nikogo podmieniony o czym świadczy data jego wgrania a zagrożenia, które pokazały 3 z 67 silników świadczą raczej o uszkodzeniu instalatora a nie o szkodliwej zawartości.

Co ciekawe, uszkodzony plik jest większy niż oryginalny, co raczej nie jest charakterystyczne dla “uszkodzeń podczas pobierania pliku”. Być może więc problem rozpoczął się na oficjalnym serwerze Total Commandera, gdzie po wykryciu usterki, plik został podmieniony na poprawny.

Na totalcmd.pl ma się też niebawem pojawić certyfikat HTTPS. Przynajmniej tyle dobrego z tego zamieszania ;)

Ten incydent to świetne przypomnienie, dlaczego oprogramowanie powinniśmy zawsze pobierać bezpośrednio ze strony producenta. I po pobraniu, sprawdzać sumę kontrolną z publikowaną na stronie.
Nie masz uprawnień do przeglądania zaloguj się lub zarejestruj aby zobaczyć