Przeglądarka Slimjet instaluje malware


(taboss) #1

Witam chciałbym ostrzec przed virusem
Mozna go pobrać z oficjalnej strony twórcy slimjet.com wraz z przegladarką.
Udało mi się ich przyłapać na tym iż są 2 pliki 48.2 MB i 61.3 z koniem trojańskim.
Za każdym (pierwszym) razem kiedy łącze sie z nowego IP pobieram plik 61.3 MB(virus) za drugim raem już się zdarza że już leci plik 48.2MB .
Nie wiem jaką mają strategie podmieniania pliku.
“Instalka” slimjet 61.3MB pobrana ze slimjet*com
https://www.virustotal.com/pl/file/c8c67676e3fcb6c02adc5ca6ccbcd436a17b0d925dbba3d9e720a8c9ca10e138/analysis/1520482385/

Trojan instaluje plik vwzi6MCY.exe
https://www.virustotal.com/#/file/cc1c08d4a2f92d2d1c688019d6a90e8cfaefdad4a99c284409aee345dfec5a0d/detection

Najbardziej boli mnie fakt iż widzę to od ponad 2 tygodni i nikt nie jest w stanie rozwiązać nagłośnić problemu problemu
Czy możecie zablokować pobieranie programu ?


Strona DP = nadmierne użycie CPU/RAM
(Bogdan_G) #2

Zakładam, że wszyscy, co pobrali slimjet - mylą się. Trąbisz na wykopie i nawet kopiujesz zdania.
A nie przyszło Ci do głowy, że możesz mieć zawirusowane pobieranie?
https://www.virustotal.com/pl/file/c309dab2956d5f23ed6d977a76d11628bcc5f61465811373deb48ca677a1e4dd/analysis/

Na jaki system, jakie wersje pobierasz?


(taboss) #3

Nic nie jest zawirusowane testowałem to na 3 różnych komputerach z innym dostawcą neta.
Pobierasz z linku
https://www.slimjet.com/release/sjtsetup_x64.exe
Wogóle co ty za linka z analizy dajesz to jest poprzednia wersja przeglądarki


(Bogdan_G) #4

Taka wersja jest na dobreprogramy - a on jest z serwera slimjet.
Aha! Pobrałem SJ 18.0.1
Też czysty:
https://www.virustotal.com/pl/file/16b8629b1bebe52ce75b07c765cef712dfe381909b6535d3bc8452878d461a8d/analysis/
No i z Twojego linka dokładnie to samo pobiera się:
https://www.virustotal.com/pl/file/16b8629b1bebe52ce75b07c765cef712dfe381909b6535d3bc8452878d461a8d/analysis/

No to masz problem - pewnie z routerem.


(taboss) #5

Pobrałem po raz kolejny przed chwilą plik 61.3 MB
https://www.virustotal.com/pl/file/8e1e5b3bd179696e5ee35fc68270d697427a19ae6c68d135a81410c5fa50de7a/analysis/1520535899/
Przecież widze to że oni podmieniają te pliki raz jest do pobrania 48.2 MB a raz 61.3 MB z tego samego linku.
Jeśli nie pobierasz 61.3 to spróbuj z innego komputera/IP i pójdzie wirus
Edit
Zauważyłem że dziś do pobrania jest trochę inny plik
niż wczoraj
https://mega.nz/#!TPpmlDTQ!0WJ-hNBVWN1bar8u4mhmolnZ9s18BhatQ8e77vFma-o
Lecz to nic nie zmienia waży tyle samo i ma trojana.
Być może zmienili to dlatego że kaspersky już wykrywał już trojana
Edit
Nie mam problemu z routerem gdyż testowałem to na innych komputerach z innym łączem


(taboss) #6

Właśnie robiłem kolejną próbe z jeszcze innego komputera i internetu to samo można pobrać plik 61.3MB
https://www.virustotal.com/pl/file/8e1e5b3bd179696e5ee35fc68270d697427a19ae6c68d135a81410c5fa50de7a/analysis/1520535899/
I jeszcze raz informuje całą administracje dobreprogramy.pl iż pomagacie rozprzestrzeniać konia trojańskiego.
Proszę zablokować możliwość ściagania tej przeglądarki


(Bogdan_G) #7

Co chcesz? Pobrałem z dobreprogramy i czysty instalator.
https://www.virustotal.com/pl/file/16b8629b1bebe52ce75b07c765cef712dfe381909b6535d3bc8452878d461a8d/analysis/


(taboss) #8

Człowieku czego ty nie rozumiesz zmień sobie IP i komputer i pobierz jeszcze raz z oficjalnego linka
https://www.slimjet.com/release/sjtsetup_x64.exe
Czy ty myślisz że hakerzy to są jakieś półmózgi?
Pierwsz próba z nowego IP skutkuje pobraniem pliku 61.3MB z koniem trojańskim kolejne nie koniecznie zazwyczaj jest to zdrowy plik 48.2 MB .
Za chwilę mogą wykombinować tak że bedzie można go pobrać tylko w określonych godzinach lub dopiero za 2 dni etc etc.


(synaptyk) #9

Jak ściągam z twojego linku to plik ma 61mb https://www.virustotal.com/#/file/8e1e5b3bd179696e5ee35fc68270d697427a19ae6c68d135a81410c5fa50de7a/detection
i wykrywają cos 2 skanery
Z dobrych programów ma 48mb https://www.virustotal.com/#/file-analysis/NTRkYjU5MjA2MmE5YjBjNmFlMTM0NWE3OTg2OTdmMGY6MTUyMDU0MzU5MA==
a tu jest czysto
Sprawdzałem linki i są identyczne, to dziwne


(Seba228215) #10

O ile pamiętam, to slimjet jest czysty. Chyba mylisz informacje o wirusie z blokowanego serwera dpcdn, który faktycznie jest blokowany przez AV jako trojan.


(Bogdan_G) #11

To jest fałszywy instalator - stamtąd, co pobierasz:
c8c67676e3fcb6c02adc5ca6ccbcd436a17b0d925dbba3d9e720a8c9ca10e138
8e1e5b3bd179696e5ee35fc68270d697427a19ae6c68d135a81410c5fa50de7a
Suma kontrolna czystego instalatora z DP: 16b8629b1bebe52ce75b07c765cef712dfe381909b6535d3bc8452878d461a8d


(taboss) #12

@synaptyk dziękuje bardzo czyli nareszcie mamy to potwierdzone
@Seba228215 nic nie jest czyste sprubój sobie to 61MB zainstalować na komputerze to się przekonasz jakie jest czyste
Bogdan_G ty z Ciebie to niezły “Ekspert” jest weź sie ogarnij masz podane na tacy co i jak i jeszcze nie rozumiesz


(synaptyk) #13

Teraz pobiera mi wersję 48MB z tych dwóch linków, gdy włączę tryb prywatny to pobiera mi z linku 61MB


(taboss) #14

@synaptyk Dziękuje za potwierdzenie w końcu ktoś ogarnięty
I weź to teraz wytłumacz takiemu @Bogdan_G Ekspert
Twórcy slimjeta “pasą” ludzi trojanem jak leci, ale nie nikt nic nie widzi a nawet niektórzy pomagają go rozprzestrzeniać
edit
Jakbyście się zastanawiali Tak poinformowałem już dawno temu twórców przeglądarki i co? “zlali mnie” nic nie opowiedzieli przez co należy się domyślać że biorą w tym udział


(taboss) #15

@dobreprogramy.pl Proszę zablokować możliwość pobierania konia trojańskiego
Tak jest też wpis na wykopie


(iJuliusz) #16

Czy poinformowałeś autora programu o zaistniałej sytuacji?

Ja też nie wiem. Nie wiem też, czy nie miałeś wirusa przed pobraniem pliku.

Który Trojan? Ten pierwszy czy ten drugi?
obraz

Słyszałeś o czymś takim jak false/positiv?

Jakiego masz antywirusa?

W jaki sposób znalazłeś ten plik? Jesteś pewien, że nie pojawił się wcześniej lub, że nie masz nadal infekcji?

Nie powinieneś tak odzywać się do innych. To samo napiszesz o mnie?
@Bogdan_G jest Ekspertem, w wielu sprawach pomaga, Tobie też próbował.
I tak mu dziękujesz.

Wracając do tematu.
Plik z “pseudo - trojanem” został upakowany

obraz
Zastosowano Inno Setup Installer
obraz

Efektem tego powstał kod źródłowy, który zwrócił uwagę skanerów i został oznaczony.

Kolejna wersja pliku ta 48MB, bardziej skompresowana już była czysta.
obraz
Tu już nie ma Inno
obraz

Teraz proszę, przestań wypisywać takie rzeczy.

Czy takie wyjaśnienia są dla Ciebie zadowalające?


(AnonimX) #17

Nie wydaje Ci się rzeczywiście dziwne, że strona najpierw serwuje plik 61MB, a potem 48 MB? Skoro mają wersję 48MB, to po co serwują ludziom większy plik? W jaki sposób plik “upakowany” zajmuje znacznie więcej niż wersja zwykła?


(iJuliusz) #18

Nie wydaje mi się dziwne.
Wystarczy zmienić stopień kompresji.

Ogólnie to nie zmieniła się wersja programu.
Zanim otrzymaliby po zgłoszeniu, że plik został, do wymienionych powyżej dwóch skanerów, dopisany do wyjątków, to zdążyliby napisać kolejną wersję programu.
A co za tym idzie, mogłoby to znów skutkować “flase/positiv”, więc lepiej było zmienić paker i/lub setup compiler, żeby pominąć fałszywe wykrywanie. Co się udało na powyższych przykładach.

BTW. Mam ten sam problem z moim edytorem, po dopisaniu kilku nowych linii i algorytmów wykrywania, pojawia się “false/positiv”, a wcześniej go nie było.


(Bogdan_G) #19

@taboss linkuje do slima https://forum.dobreprogramy.pl/clicks/track?url=https%3A%2F%2Fwww.slimjet.com%2Frelease%2Fsjtsetup_x64.exe&post_id=3507209&topic_id=561083
Ja kopiuję adres do pliku z linka bezpośredniego na DP:
http://www.slimjet.com/release/sjtsetup_x64.exe


(AnonimX) #20

Ale po co serwują 2 wersje? Po co na start leci ta większa skoro mają mniejszą?