Nou gaat die [25] over een "PDF forge toolbar" - en die ben ik niet tegengekomen op een systeem waar ik 2 avonden terug nog PDFCreator op heb geïnstalleerd.
Voor de gein heb ik het hier ook eens geïnstalleerd, screenshots gemaakt, en Process Monitor erbij gehouden. Hier de resultaten:
Download link:
http://download.pdfforge....DFCreator-stable?download
Bestand: PDFCreator-2_0_0-setup.exe
Grootte: 27,276,128 bytes
MD5: 044ff5e33535cedd1c2774b942727194
SHA512: 7a720ccc7d4ec4e315eb246c96510a66308946d3546445ea223db4f53dcb8530b542aff7c38cd72c15ed56686520f2e5c0c5c0bb4cf49194fd32b0f838230295
Installatie screenshots:
http://imgur.com/a/s8UOk
( Dit zag er voor de eerdere versie wel anders uit en zal in de toekomst ook wel weer veranderen. )
Process Monitor laat echter wel meer zien:
De installer draait eerst een .tmp versie van zichzelf (ten behoeve van het verwijderen, niet zo vreemd), draait een "DownloadUpdateInfo.exe" die ook weer een .tmp versie van zichzelf draait.
Die laatste maakt contact met 134.255.226.104 en hengelt een paar honderd bytes binnen - waarschijnlijk alleen maar een update check.
Vervolgens draait het CBStub.exe, bijvoorbeeld:
AppData\Local\Temp\is-EHQUB.tmp\CBStub.exe" /CBURL=http://www.coapr14pool.com/download.php?l3l9dQ== /SubID=20695
CBStub wordt al snel weer verwijderd, maar staat bekend als iets wat allerhande soort adware download:
https://www.virustotal.co...101fa26e4aaae8b/analysis/
In dit geval hengelde het weer een andere executable binnen:
Naam: InstallManager.exe
Grootte: 330,649 bytes
MD5: 26f99a738ed74833337bdba41863a571
SHA512: aaa8b285ea186c77de7b541129e3209e4311cc3286fa5980e50001aab85d9fa9c809995f73a4af671ecfaf0d5bd6b1240fc017b28df50120e89c528635aea7c0
Deze was al geanalyseerd bij virustotal, bij deze even een her-analyse:
https://www.virustotal.co...1efb/analysis/1417301899/
Adware troep, dus - en die draait het dan ook vrolijk:
InstallManager.exe 20695
Deze maakt dan weer contact met ec2-50-19-102-217.compute-1.amazonaws.com
Daarop volgt het schermpje met dat 'privacy in opera' installatie ding wat ik heb weggeklikt.
Daarna gebeurt er eigenlijk niet veel bijzonders - .NET assemblies worden geregistreerd, printer driver geïnstalleerd, etc.
PrinterHelper.exe wordt gedraaid, InstallCheck.exe -> .tmp wordt gedraaid, en dan is het einde.
De vraag is nu natuurlijk - heeft dat CBStub / InstallManager.exe nou eigenlijk nog wat anders gedaan? Nou, nee. Geen andere software, geen toolbars, geen addons, etc. Maar of je er 100% zeker van kan zijn is wat anders.
In ieder geval is het een stuk minder transparent dan ik graag zou zien in een installer. Aan de andere kant heb ik ook geen 'stealthy' installatie gezien.
Versie 2.0 van PDFCreator is uitgekomen. Dit programma is in staat om vanuit elke Windows-applicatie pdf-bestanden aan te maken. PDFCreator installeert zich als een printerdriver, met het verschil dat de uitvoer niet naar de printer gaat, maar naar een pdf-bestand. Sinds versie 1.6.0 wordt pdf-architect meegeleverd, waarmee pdf-documenten kunnen worden bewerkt. Deze module zit overigens niet in de download zelf, maar wordt tijdens de installatie opgehaald, indien gewenst. De installer bevat overigens ook enkele sponsormodules, dus let even op wat je wel en niet aanvinkt. De release notes voor deze uitgave zien er als volgt uit:
:strip_exif()/i/2000564534.png?f=thumbmedium)
:strip_icc():strip_exif()/u/6764/cergorach.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/8511/ronald_avatar.jpg?f=community){kind=avatar}
:strip_exif()/u/36533/Smaller_J_forum60x60.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/16677/crop5db01361a1e1e_cropped.jpeg?f=community){kind=small}
/u/103920/Boobs.png?f=community){kind=small}
:strip_exif()/u/32775/fokker-60x60.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/379078/crop58d8da5b23207_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/301133/crop6737b754ae5aa_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/332059/Pineka.jpg?f=community){kind=small}
/u/75437/crop5daf1210eb5fc.png?f=community){kind=small}