Przeglądarka Slimjet instaluje malware

Oprogramowanie komputerowe Problemy z oprogramowaniem
#21

@Bogdan_G Wyczyść ciasteczka w przeglądarce i sprawdź ten link co podałeś jeszcze raz, a później pobierz jeszcze raz.

To nie jest chaotyczne pobieranie raz jednej raz drugiej wersji instalatora, to jest metoda w rodzaju coś innego dla nowego. Nie ma nic normalnego w tym, że serwują dla nowych (z wyczyszczonymi ciasteczkami w przeglądarce) inny instalator, niż dla tych którzy pobierali już wcześniej. Z dobrychprogramów przez link bezpośredni, czy z oficjalnej strony jest tak samo.

http://www.slimjet.com/release/sjtsetup_x64.exe

Opis też się nie zgadza „offline installer ( 47.74MB) ” na stronie, a pobiera za pierwszym razem 61MB.

https://www.slimjet.com/en/dlpage_win64.php

Wygląda że chłopaki próbują dorobić i zaszyli adware w instalatorze na próbę, na zasadzie zobaczymy co będzie i trochę się wycofali. Trzeba by przeanalizować, zwłaszcza tą starą wersje instalatora wykrywanego przez 6 skanerów. Serwowanie dwóch wersji instalatora do tej samej wersji przeglądarki, to jest co najmniej mało poważne i nie ma co ich bronić.

#22

Zmienili rodzaj kreatora setup.
Po usunięciu Inno Setup zmieniła się wielkość pliku.

Tak jak pisałem, zmienili wielkość pliku, ale nie zmienili wersji programu.
W tej chwili dostępny jest ten 48MB bez Inno Setup
obraz

Chyba nie masz pojęcia o czym piszesz. :scream:
Już sobie wyobrażam:
-Te stary, wrzuć adware, wpadnie parę centów, nikt nie zauważy.

@anon1494722 Jesteś programistą? Wiesz jak utworzyć plik exe lub setup i co się z tym wiąże?

#23

Na tą chwilę (9 marca 2018 godz. 12:05) nic się nie zmieniło, przy pierwszym (czystym) pobieraniu pobiera się instalator 61MB.

#24

Ale nie panikuj tak @iJuliusz, takie rzeczy już były, to nie jest nic nowego. Napisałem że trzeba by sprawdzić zwłaszcza stary instalator, co tam było i tyle. Wyjaśnij lepiej dlaczego dla “nowych” jest inny instalator pobierany, to może coś wniesie do dyskusji.

#25

Ale po co nadal serwują 2 wersje?

#26

Pobierałem raz, zaraz drugi i ponownie trzeci. Wciąż jeden czysty rozmiar. Uruchomiłem laptopa i pobrałem slimjet ze strony producenta instalator offline. Znowu to samo. Pobrałem z programki, pobrałem z programosy - czyste.

#27

Nigdy nie pobierałem tej przeglądarki, bo nawet nie jest na mój system.
Kliknąłem w linka z posta kolegi i leciała wersja 61MB. Anulowałem, kliknąłem raz jeszcze i leciała wersja 48MB. Sytuacja jest identyczna w przypadku Opery na Linux (+ to samo w zakładce prywatnej) , Firefox (udającego pracę na Windows), Chromium Browser. We wszystkich 4 przypadkach to samo - najpierw większy, potem mniejszy. Wystarczy wcisnąć anuluj i potem pobierz ponownie.
https://imgur.com/VP83dj4
https://imgur.com/TwH693L
Ale ja nie umiem iść w zaparte nie sprawdzając…
Oczywiście cały czas rozmawiamy o linku z 3 posta: https://www.slimjet.com/release/sjtsetup_x64.exe

#28

sjtsetup_x64 Kaspersky Total Security
09.03.2018 12.32.10 Skanowanie obiektów Nie wykryto zagrożeń Zagrożenia: 0 Usunięty: 0 Niewyleczony: 0 Data opublikowania baz używanych podczas skanowania: 09.03.2018 10:48 Czas trwania: 28 s Czas zakończenia skanowania: 09.03.2018 12:32
08.03.2018 17.05.20 Wykrywanie rootkitów Nie wykryto zagrożeń Zagrożenia: 0 Usunięty: 0 Niewyleczony: 0 Data opublikowania baz używanych podczas skanowania: 08.03.2018 14:28 Czas trwania: 26 min 19 s Czas zakończenia skanowania: 08.03.2018 18:51

#29

On to skanował 18 godzin temu, Kaspersky wykrywał to jako Trojan.Win32.Agentb.ixpt.

#30

Za drugim razem pobiera z alternatywnego serwera.
https://www.slimjet.com/download.php?location=local&xp=&version=win64&type=exe&beta=&server=
lub
https://www.slimjet.com/download.php?xp=&version=win64&type=exe&beta=&server=

Widocznie nie podmienili wszystkich wersji na każdym z nich.

Panikę to ja widzę w oczach autora postu.
Ja tylko stwierdzam fakt, że posądzasz programistów o oszustwo.

#31

Ja wcale nie pisałem o linku Kolegi (od początku), że raz tak, drugi raz, że inak. Pisałem o linku bezpośrednim na dobreprogramy i wspomniałem o innych stronach, gdzie sprawdziłem pobrane instalatory.

3 polubienia
#32

@Bogdan_G ja nie wiem o jakim linku pisali inni, ale ja pisałem o twoim, i z twojego po wyczyszczeniu ciasteczek w przeglądarce przeładowaniu strony pobiera się instalator 61MB.

A dziwisz mu się, zobaczył 6 wykryć, to się przestraszył. Dalej poprosiłbym ciebie o odpowiedz na moje pytanie, dlaczego dla “nowych”, i tylko dla nich jest inny instalator pobierany, niż dla tych którzy już raz pobierali.
Nikomu nic nie zarzucam bo nic nie sprawdzałem oprócz pobrania, opieram się na opisie autora i do niego się odnoszę.

1 polubienie
#33

Wciąż pobiera na zmianę 61 MiB i 48 MiB…

image

image
62 790 czy 49 398 KB872×87 5.19 KB

#34

Przepraszam wszystkich. Usunąłem ciasteczka i wylogowałem się. Pobrałem z linka bezpośredniego.

MWSnap064
MWSnap064.jpg1261×858 179 KB

W trakcie pobierania zalogowałem się i właśnie w trakcie pobierania czort podmienił mi pik na mniejszy.
MWSnap065
MWSnap065.png758×483 29.3 KB

Pobrałem zwykłym pobieraniem ponownie wylogowując się i do końca nie logowałem:
MWSnap066
MWSnap066.png1189×490 91.7 KB

Wrzuciłem ten plik na ponowne skanowanie na virus total:
https://www.virustotal.com/pl/file/c8c67676e3fcb6c02adc5ca6ccbcd436a17b0d925dbba3d9e720a8c9ca10e138/analysis/1520598064/
Nie ma wątpliwości, że coś podmienia linki @Lisek - wystarczy wylogować się i usunąć ciasteczka strony i nie logować się do czasu zakończenia pobierania.

#35

“Eksperci” traktujecie mnie jak trola lub osobę która kłamie lecz ja nie mam żadnych złych intencji.
Opisuję sytuację jaka ma miejsce i wydawało mi się to łatwe do stwierdzenia.
Dla " testów " zrobiłem nawet tak
Zainstalowałem nowy windows7, poprawki, i dalej próba instalacji pliku 61.3 MB która jest nieudana lecz instalator instaluje dziwne pliki.
Plik od aktualiozacji łączy się średnio co 20 min z chińskim serwerem
Po paru godzinach pojawił mi się plik vwzi6MCY.exe którego wcześniej nie było.

I ostatecznie jestem traktowany przez was jak heretyk.
Mnie już problem nie dotyczy lecz po prostu chciałem ostrzec innych i takie są moje intencje.

@iJuliusz Pisałem do twórców slimjet pół miesiąca temu i do tej pory nie odpowiedzieli czy to coś znaczy?
Przypuszczam, iż kiedy ktoś do nich napisze puszczą “czystą” 48.2 MB instalke na jakiś czas co jest zrozumiałe w ich sutuacji
edit
@iJuliusz Tak kaspersky wykrywa gdyż wyłałem im plik do analizy pół miesiąca temu i stwierdzili że to trojan
Od was chce tylko żebyście przestali rozprzestrzeniać konia trojańskiego, ale wy najchętniej byście mnie rozjechali zrobili głupka i zamietli pod dywan

1 polubienie
#36

A mnie na sekundę odpala jakiś plik z ikoną firefox 2 3.6.3 (ma losową nazwę okna) i po chwili się to okienko zamyka.

https://www.google.pl/search?q=firefox+2&tbm=isch - ikonka praktycznie identyczna.

Trzeba zrobić analizę w https://www.hybrid-analysis.com/ i np https://any.run/ (niestety w opcji płatnej by - się uruchomił plik).

Dodał mi się do autostartu ten dziwny Firefox 2 3.6.3:

obraz
firefox 2749×43 4.67 KB

obraz

obraz
właściwości pliku442×509 13.9 KB

#37

wyślij ten update na virustotal

#38

Wskazuje, że czysty i plik pierwszy raz skanowany w podobnym okresie (8 lat temu), może jakiś dll został ruszony.

A dla całego katalogu już jest jedno oznaczenie jako  W32.Virus.Jeefo.Gen:
https://virustotal.com/pl/file/add0bd1d868dce4fb761cfe1858f4b769521e374aeba8794c7412481897d043e/analysis/1520623471/

Najciekawsze, że w katalogu roaming mam instalator o jeszcze innym rozmiarze 50 MiB z początku lutego:

obraz
obraz.png442×579 11.6 KB

Po odświeżaniu zainstalowałem już normalnie chrome i vivaldiego, więc nie wiem skąd on tam i czemu ma taką datę, dodatkowo system 32 bitowy.

obraz
obraz.png693×169 11.1 KB

#39

Ten mniejszy plik, który mi wysłałeś jest zdrowy przed i po przeskanowaniu.

obraz
obraz.png773×166 22.2 KB

obraz
Ten większy już nie.
obraz

#40

Czyli nic mi się nie wydawało… Instalki dwie różne są pobierane, Kaspersky Free blokuje instalacje.

Dziwne, wygląda to jak gdyby plik był podmieniany co jakiś czas aby nie wzbudzić podejrzeń twórców.