Jak poinformował nas CzytelnikZaloguj lub Zarejestruj się aby zobaczyć!, na stronie totalcmd.pl do godziny 10:30 znajdował się dziś “zmodyfikowany” instalator Total Commandera 9.21a, popularnego managera plików. WedługZaloguj lub Zarejestruj się aby zobaczyć!, plik został zatrojanowany.
Zaloguj lub Zarejestruj się aby zobaczyć!
Ale jest zbyt wcześnie, aby ustalić, co konkretnie robi ta binarka i czy jest to coś złego — to równie dobrze może być false positive. Nasza szybka analiza w maszynie wirtualnej pokazuje, że instalator po uruchomieniu kończy pracę ze względu na błąd i nie próbuje nawiązywać żadnych połączeń ani nie modyfikuje żadnych plików (innymi słowy, jest nieszkodliwy).
Zaloguj lub Zarejestruj się aby zobaczyć!
Tak czy inaczej plik nie jest tym, którym być powinien, więc należy go traktować jako podejrzany. Postaramy się niebawem wykonać bardziej szczegółową analizę.
AKTUALIZACJA
Zaloguj lub Zarejestruj się aby zobaczyć!dla instalatora pobranego z oficjalnej strony. Ale HybridAnalysis z kolei plik określa jako podejrzany i zwracaZaloguj lub Zarejestruj się aby zobaczyć!.
Błyskawiczna reakcja totalcmd.pl
Tuż po zgłoszeniu Roberta, które równocześnie zostało podesłane do administracji serwisu totalcmd.pl, odezwał się do nas Adam Bukowiński z softx.pl, który zarządza stroną totalcmd.pl. Adam potwierdził, że wersja instalatora (32/64) faktycznie “była uszkodzona“. Niestety, to była ta wersja, do której pobrania zachęcała strona:
Zaloguj lub Zarejestruj się aby zobaczyć!
O godzinie 10:30 plik został podmieniony na poprawny.
Pobrałem Total Commandera, co robić, jak żyć
Czekamy na informację, od jak dawna “uszkodzony” (czyt. być może zainfekowany) plik znajdował się na serwerze. Bez tego ciężko jest określić ile osób mogło zostać zainfekowanych, gdyby instalator faktycznie okazał się “złośliwy”. Jeśli wierzyć metadanym instalatora, to plik stworzony został 25 lipca.
Jeśli jednak w ostatnich dniach pobieraliście Total Commandera z totalcmd.pl w wariancie 32/64, to proponujemy na wszelki wypadek przeskanować system operacyjny pod kątem zagrożeń. Jeśli jeszcze macie instalator, to zweryfikujcie jego sumę kontrolną MD5. Powinna być taka:
1024e52e635ae373453a49cc147992d9
MD5 dla zmodyfikowanego instalatora to:
aa5b96c61d7a7eec4f854a93e16b763b
Robert zauważa jeszcze jeden mankament strony totalcmd.pl. Serwis udostępnia pliki po HTTP, co oznacza, że choć teraz na serwerze leży już poprawny instalator, to dalej może zostać przez kogoś przechwycony i podmieniony “w tranzycie” ze względu na brak szyfrowania…
IOC
Zmodyfikowany instalator serwowany był z URL:
hxxp://pliki.totalcmd[.]pl/pobierz.php?typ=app&plik=tcmd921ax32_64.exe
Jego MD5:
aa5b96c61d7a7eec4f854a93e16b763b
Aktualizacja 11.10.2018, 11:18
Adam z softx.pl informuje, że:
Ze wstępnej analizy wynika, iż wszystkie 3 pliki (32, 64 i 32/64) były wgrane w tym samym momencie przez nas. Wcześniej zostały pobrane ze strony producenta. Skoro więc te 2 pliki są prawidłowe a 1 z nich już nie to wynika, że wystąpił albo błąd podczas pobierania albo błąd podczas przesyłania pliku na ftp. Świadczy o tym komunikat o uszkodzeniu instalatora (załączony poniżej) wygenerowany przez aplikację. Plik na 100% nie został przez nikogo podmieniony o czym świadczy data jego wgrania a zagrożenia, które pokazały 3 z 67 silników świadczą raczej o uszkodzeniu instalatora a nie o szkodliwej zawartości.
Co ciekawe, uszkodzony plik jest większy niż oryginalny, co raczej nie jest charakterystyczne dla “uszkodzeń podczas pobierania pliku”. Być może więc problem rozpoczął się na oficjalnym serwerze Total Commandera, gdzie po wykryciu usterki, plik został podmieniony na poprawny.
Na totalcmd.pl ma się też niebawem pojawić certyfikat HTTPS. Przynajmniej tyle dobrego z tego zamieszania
Ten incydent to świetne przypomnienie, dlaczego oprogramowanie powinniśmy zawsze pobierać bezpośrednio ze strony producenta. I po pobraniu, sprawdzać sumę kontrolną z publikowaną na stronie.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
