Witam chciałbym ostrzec przed virusem
Mozna go pobrać z oficjalnej strony twórcy slimjet.com wraz z przegladarką.
Udało mi się ich przyłapać na tym iż są 2 pliki 48.2 MB i 61.3 z koniem trojańskim.
Za każdym (pierwszym) razem kiedy łącze sie z nowego IP pobieram plik 61.3 MB(virus) za drugim raem już się zdarza że już leci plik 48.2MB .
Nie wiem jaką mają strategie podmieniania pliku.
“Instalka” slimjet 61.3MB pobrana ze slimjet*com https://www.virustotal.com/pl/file/c8c67676e3fcb6c02adc5ca6ccbcd436a17b0d925dbba3d9e720a8c9ca10e138/analysis/1520482385/
Najbardziej boli mnie fakt iż widzę to od ponad 2 tygodni i nikt nie jest w stanie rozwiązać nagłośnić problemu problemu
Czy możecie zablokować pobieranie programu ?
Nic nie jest zawirusowane testowałem to na 3 różnych komputerach z innym dostawcą neta.
Pobierasz z linku https://www.slimjet.com/release/sjtsetup_x64.exe
Wogóle co ty za linka z analizy dajesz to jest poprzednia wersja przeglądarki
Człowieku czego ty nie rozumiesz zmień sobie IP i komputer i pobierz jeszcze raz z oficjalnego linka https://www.slimjet.com/release/sjtsetup_x64.exe
Czy ty myślisz że hakerzy to są jakieś półmózgi?
Pierwsz próba z nowego IP skutkuje pobraniem pliku 61.3MB z koniem trojańskim kolejne nie koniecznie zazwyczaj jest to zdrowy plik 48.2 MB .
Za chwilę mogą wykombinować tak że bedzie można go pobrać tylko w określonych godzinach lub dopiero za 2 dni etc etc.
O ile pamiętam, to slimjet jest czysty. Chyba mylisz informacje o wirusie z blokowanego serwera dpcdn, który faktycznie jest blokowany przez AV jako trojan.
To jest fałszywy instalator - stamtąd, co pobierasz:
c8c67676e3fcb6c02adc5ca6ccbcd436a17b0d925dbba3d9e720a8c9ca10e138
8e1e5b3bd179696e5ee35fc68270d697427a19ae6c68d135a81410c5fa50de7a
Suma kontrolna czystego instalatora z DP: 16b8629b1bebe52ce75b07c765cef712dfe381909b6535d3bc8452878d461a8d
@synaptyk dziękuje bardzo czyli nareszcie mamy to potwierdzone @anon25492837 nic nie jest czyste sprubój sobie to 61MB zainstalować na komputerze to się przekonasz jakie jest czyste
Bogdan_G ty z Ciebie to niezły “Ekspert” jest weź sie ogarnij masz podane na tacy co i jak i jeszcze nie rozumiesz
@synaptyk Dziękuje za potwierdzenie w końcu ktoś ogarnięty
I weź to teraz wytłumacz takiemu @Bogdan_G Ekspert
Twórcy slimjeta “pasą” ludzi trojanem jak leci, ale nie nikt nic nie widzi a nawet niektórzy pomagają go rozprzestrzeniać
edit
Jakbyście się zastanawiali Tak poinformowałem już dawno temu twórców przeglądarki i co? “zlali mnie” nic nie opowiedzieli przez co należy się domyślać że biorą w tym udział
Czy poinformowałeś autora programu o zaistniałej sytuacji?
Ja też nie wiem. Nie wiem też, czy nie miałeś wirusa przed pobraniem pliku.
Który Trojan? Ten pierwszy czy ten drugi?
Słyszałeś o czymś takim jak false/positiv?
Jakiego masz antywirusa?
W jaki sposób znalazłeś ten plik? Jesteś pewien, że nie pojawił się wcześniej lub, że nie masz nadal infekcji?
Nie powinieneś tak odzywać się do innych. To samo napiszesz o mnie? @Bogdan_G jest Ekspertem, w wielu sprawach pomaga, Tobie też próbował.
I tak mu dziękujesz.
Wracając do tematu.
Plik z “pseudo - trojanem” został upakowany
Zastosowano Inno Setup Installer
Efektem tego powstał kod źródłowy, który zwrócił uwagę skanerów i został oznaczony.
Kolejna wersja pliku ta 48MB, bardziej skompresowana już była czysta.
Tu już nie ma Inno
Nie wydaje Ci się rzeczywiście dziwne, że strona najpierw serwuje plik 61MB, a potem 48 MB? Skoro mają wersję 48MB, to po co serwują ludziom większy plik? W jaki sposób plik “upakowany” zajmuje znacznie więcej niż wersja zwykła?
Nie wydaje mi się dziwne.
Wystarczy zmienić stopień kompresji.
Ogólnie to nie zmieniła się wersja programu.
Zanim otrzymaliby po zgłoszeniu, że plik został, do wymienionych powyżej dwóch skanerów, dopisany do wyjątków, to zdążyliby napisać kolejną wersję programu.
A co za tym idzie, mogłoby to znów skutkować “flase/positiv”, więc lepiej było zmienić paker i/lub setup compiler, żeby pominąć fałszywe wykrywanie. Co się udało na powyższych przykładach.
BTW. Mam ten sam problem z moim edytorem, po dopisaniu kilku nowych linii i algorytmów wykrywania, pojawia się “false/positiv”, a wcześniej go nie było.
