Ja mam nadzieje, że to nie żadne ransomware w javascript (czy nie wiadomo czym innym z pomocą starego Firefox).
Dziwne, wygląda to jak gdyby plik był podmieniany co jakiś czas aby nie wzbudzić podejrzeń twórców.
Raczej ktoś im wbił na stronę i naśmiecił, coś jak z Ccleaner?
Możliwe, oby szybko się z tym uporali. Czuję jutro newsa na DP o włamaniu na serwery i zabawie plikami.
Nie mam pewności ale ten update.exe firefox 3.6.3 może kasuje lub kradnie profil nowszych Firefox, właśnie mi wyczyściło i nie wiem czy nie poszedł gdzieś w sieć a ja miałem tam aktywny bitwarden…
Może ktoś napisze maila do redakcji żeby włączyli blokadę u siebie?
Coś mi tu nie pasuje.
Od samego początku mieliśmy dostęp tylko do dwóch wersji plików.
Plik 61MB z dwoma “false/positiv” i z mniejszym 48MB bez ostrzeżeń.
Opisałem możliwości zmiany plików na serwerach i ich powód.
Trudno było przyznać autorowi rację, gdyż nie mieliśmy styczności z zainfekowanym plikiem. Pobierało tylko te opisane wyżej.
Teraz okazuje się, że zainfekowany plik trafia losowo podczas pobierania.
Znalezione różnice z VirusTotal, wielkość pliku identyczna. 
Idąc tym tropem, po rozpakowaniu obu plików instalacyjnych, znalazłem plik 11111 w katalogu RCDATA
Jest również wewnętrzna zmiana w pliku głównym [0], która też nie zmienia wielkości pliku. Mimo to pliki nie wykazują infekcji.
Kolejną rzecz jaką zrobiłem to odkodowanie pliku głównego, znając program Setup. Mianowicie Inno Setup.
Użyłem programu InnoUnp. Wszystkie pliki w obu instalacjach są identyczne.
Po spakowaniu plików bez pliku setup i wysłaniu do Virustotal pojawia się
Nadal nie jest to prawdziwa infekcja.
Jak na razie sprawa związana z wykrywaniem wirusa i podmianą pliku jest niewyjaśniona.
@taboss Jak widzisz nie jest to sprawa zamknięta. Co do pliku generowanego przez rzekomego trojana, jest to sytuacja rzadko spotykana, aby tworzyła się dwa razy ta sama nazwa pliku. Zazwyczaj generuje się losowo. Nadal uważam, że infekcja przychodzi z innej strony. Czy dołączyłbyś pliki z Farbar (FRST) ? Poszukałbym infekcji.
Mam podejrzenie, że kasuje. Spora przepaść między wersjami, ale ścieżki w rejestrze w niektórych miejscach będą nadal takie same. Udało się przywrócić?
W tej chwili SlimJet na Portalu jest niedostępny w wersji dla Windows.
Gdzie ty chcesz szukać tej infekcji, szukaj na serwerze slimjeta, przecież pisał że.
U mnie i u innych też chcesz sprawdzać, a zapomniałem ja mam Debiana, ale mimo to uruchomiłem livecd dla czystości próbki, pobrałem instalator i jest taki wynik.
Nawet sam napisałeś że dobreprogramy zablokowały pobieranie slimjeta.
@iJuliusz
Niestety ja już wszystko pousuwałem i zainstalowałem sobie czysty system
Co mogę jeszcze dodać to to że plik
C:\Users\ \AppData\Roaming\RecovObj\crashreporter.exe próbuje połączyć sie ze stroną yunbi888.net
p.s.
Nie wiem czemu ale mam takie wrażenie iż próbujesz udowodnić że zagrożenie nie istnieje.
Dla mnie jest to kompletnie błędne/odwotne/bezpodstawne/przeciwne założenie w zaistniałej sytuacji.
Dla mnie na “zdrowy rozum” należało by założyć że zagrożenie jest a twórcy przeglądarki to przestępcy.
Plik 61.3 MB nadal można pobrać ze strony slimjet
pobrany 10 marca 2018
https://mega.nz/#!jTIT0IDD!-Id7ZWK2eqbjO2xPj5dTQdUhoiPtxHh18r3mo8kVdM8
Bardzo chętnie.
Nadal to jest wynik Instalatora, pliki po wyodrębnieniu są czyste.
Po wyodrębnieniu z obu instalatorów plik jest czysty.
Program wróci, jak sprawa się wyjaśni.
Tak. Bo w przeciwieństwie do Ciebie nie będę rzucał oskarżeń zanim ktoś tego nie udowodni. Inna sprawa, ja tu wciąż będę, bez znaczenia czy mam rację czy jej nie mam.
Dość lekko Ci to przychodzi. Sprawa robi się poważna.
Usunąłeś dowody 
Aha. No tak, przecież winnych już wskazałeś.
Nie dowiemy się co jeszcze miałeś w komputerze, szkoda.
Czekam cierpliwie, aż ktoś jeszcze (na całym świecie) wykaże infekcje komputera po instalacji tego programu.
@krystian3w znalazłeś u siebie jakieś wirusy po instalacji?
Pobierz to co było i zainstaluj u siebie, a nie bawisz się w detektywa. Tu @taboss umieścił starą instalkę. Ja też mam tą starą mogę ci dać (pobrana prosto z serwera slimjet w dniu 9.03.2018), bo widzę że coś robią i teraz dostępna jest tylko mniejsza 48 MB, więc teraz to te zrzutki do albumu możesz sobie włożyć. Przecież sam miałeś starą instalkę, są zrzutki na górze, nie wiem co ty chcesz udowodnić. Trzeba było czekać z instalacją dłużej, najlepiej do wydania następnej wersji. Nie masz wyjścia jak uwierzyć w analizę @taboss (ja nie mam podstaw by mu nie wierzyć), bo to co ty robisz to dziecinada, bez działania tego nie sprawdzisz.
Z kopii z okolicy stycznia, trochę zakładek przepadło, ręcznych modyfikacji interfejsu Firefox (userChrome / userContent) i trzeba było zmienić hasło do bitwarden by mnie wylogował (tak to jest jak dla wygody się trzyma aktywne zalogowanie i dane logowania, chociaż trochę zajmie ich wyciągnięcie pewnie, bo z kopi profilu dodatek się nie loguje i prosi o podanie na nowo danych).
Nie, może mieć na to wpływ 32 bitowy system i dał radę się tylko zainstalować Firefox 3, po cichu bez żadnych okienek instalatora / programu rozpakowującego.
A dlaczego z DP zniknął Slimjet dla Windowsa?
Bo pierwsze pobieranie wersji 64 bitowej uruchamiało pobieranie zmodyfikowanego instalatora 61 MB a ona ma w sobie ukryty stary Firefox 3.6.3 i chyba wersje 17.0.8 przy okazji, mimo że pobieramy 18.0.1 (jakieś aktualizacje detla, że użyto starego i zmodyfikowane pliki… 
) .
Dodatkowo ten Firefox 3.6.3 instaluje się potajemnie i z czymś próbuje połączyć ale procesy jego się nagle same zamykają.
Z forum slimjet też nic się nie dowiemy, nikt poza fanami tam nie odpowiedział (oficjalnie firma zajęła stanowisko że ich serwery są czyste).
Niby można było wywalić link do wersji 64 bitowej ale widać szybciej było wyłączyć całe pobieranie dla Windows - możliwe, że redakcja znalazła wątek po problemach z wersją 32 bitową też.
Dodatkowo były też machlojki z wersją 32 bitową, niby plik miał mieć 47,7 MiB a miał 54.8 MiB.
Też instalował po cichu stary Firefox.
Na obecną chwilę chyba ogarnęli serwery i podmienione pliki wykasowali i nie napisali u siebie o ataku, to ich nie odblokowano.
Chyba, że gdzieś na poziomie DNS czy czegoś takiego zachodziła jednorazowa podmiana - ale wątpię jak obecność cookie “OK” z wartością “1” pozwalała pobrać czysty plik.
A ja tu podrzucę jeszcze link do oficjalnego forum SlimJeta z odpowienią dyskusją:
No dobra, ale cos się wyjaśniło, czy dalej “nikt nic nie wie” dlaczego tak było?
Czy może nadal jest?
Czy przeglądarka wróci na łamy portalu jako program do pobrania?
Ja widzę, że wciąż lecą w kulki.
Instalator 32 bitowy rozmiar 59 MB i potem kolejne pobierania 47,7 MB
Instalator 64 bitowy rozmiar 59,6 MB i potem kolejne pobierania 48,3 MB
Wciąż tworzy się ciasteczko “ok” z wartością “1”.
Może trzeba im zgłosić co mają konkretnie sprawdzić na serwerze, że ktoś im infekuje linki:
hxxp://www.slimjet.com/download.php?version=win32&type=exe&beta=&server=
hxxp://www.slimjet.com/download.php?version=win64&type=exe&beta=&server=
>>> hxxp://www.slimjet.com/download.php?version=win32&type=exe&beta=&server=
> --------------------------------------------
> 200 OK
> --------------------------------------------
Status: 200 OK
Code: 200
Date: Thu, 12 Apr 2018 09:59:10 GMT
Server: Apache
Content-Description: File Transfer
Content-Disposition: attachment; filename="sjtsetup_x86.exe"
Expires: 0
Cache-Control: must-revalidate
Pragma: public
Set-Cookie: ok=1
Content-Length: 61898640
Connection: close
Content-Type: application/octet-stream>>> hxxp://www.slimjet.com/download.php?version=win64&type=exe&beta=&server=
> --------------------------------------------
> 200 OK
> --------------------------------------------
Status: 200 OK
Code: 200
Date: Thu, 12 Apr 2018 10:01:04 GMT
Server: Apache
Content-Description: File Transfer
Content-Disposition: attachment; filename="sjtsetup_x64.exe"
Expires: 0
Cache-Control: must-revalidate
Pragma: public
Set-Cookie: ok=1
Content-Length: 62454688
Connection: close
Content-Type: application/octet-streamI wciąż w tych większych plikach ukrywany Firefox 3.6 z profilem w %AppData%/AMozilla i ścieżką instalacji %AppData%/SlObj
I najgorsze proces Firefox 3.6 nie zamyka się mimo że okienko błysnęło (jakimś chyba holenderskim tytułem strony) i zniknęło.
Po tak długim czasie nic nie robienia przychodzi tylko jedna myśl. Świadomie pakują syf. Pewnie znowu jakieś ukryte sponsorowane świństwo coś jak asystent w latach swojej “świetności”.
Znów niby ogarnęli, już się nie tworzy ciasteczko “ok”="1" i nie ma wciskania pliku z śmieciami.
Albo zauważyli, że są atakowani lub czytają ten wątek (wykopowy wygląda na wykasowany / zakopany a forum slimjet nie przeglądałem skoro tylko moderator coś tam próbuje ustalić a firma / organizacja mówi, że to nie po ich stronie problem).
Nie wiem kto to jest Stephen Cheng, ale mam tam taką jego odpowiedź na uwagi odnośnie malware instalowanego z przeglądarką:
Stephen Cheng says…
We have removed the malware from the server after careful investigation. Everything should be clean now. Please try again and confirm on your side.
ReplyReply
13th April 2018 11:27am
Nie grzebałem bardzo dokładnie ale to chyba szef wszystkich szefów.
Nawet nagle nowy szablon mają na blogu i pewnie nowszy Wordpress.