Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties
Submitter: Kpz

Versie r94 van de Windows-client van screendumpsoftware puush bleek ge´nfecteerd met malware. De laatste update r100 controleert of de gebruiker ge´nfecteerd is en verwijdert de malware. Volgens de maker was de webserver van puush enige tijd gehackt.

Voor mensen die geen vertrouwen meer hebben in de software, is ook een stand-alone cleaner uitgebracht. Dat schrijft de ontwikkelaar op zijn Tumblr. De cleaner kijkt of er een infectie heeft plaatsgevonden en verwijdert de malware.

De hoofdwebserver van puush is enige tijd gehackt geweest, waarbij voor zover bekend de database en puushed-screendumps niet in gevaar zijn geweest. De Windows-versie r94 van de software was vervangen door een variant met malware. Alle andere versies van de software zijn schoon. De versies voor OS X en mobiele platformen zijn niet geïnfecteerd.

De malware gebruikt de bestandsnaam 'puush.daemon.exe' en staat in “\%AppData%\Roaming\puush” of "Program Files\puush" en start automatisch op via een registry key.

De malware verzamelt mogelijk lokaal opgeslagen wachtwoorden, maar er is nog niet bevestigd of die wachtwoorden ook zijn verzonden naar een server. Ondanks dat raadt de ontwikkelaar aan om wachtwoorden te veranderen, inclusief wachtwoorden opgeslagen in Chrome en Firefox.

Moderatie-faq Wijzig weergave

Reacties (52)

Mocht je momenteel nog r93 hebben, dan ben je niet ge´nfecteerd met de malware. Ik heb gisternacht Puush gesloten nadat ik deze Reddit thread had gelezen. Overigens kun je teruggelezen op hun Twitter hoe de nacht was verlopen.

Het ziet er naar uit dat er wel data werd verzonden naar een server.

EDIT: De screenshot in die tweet is trouwens live memory, de packets waren encrypted dus was niet meteen uit te lezen wat er precies verzonden werd. Maar het is wel bijzonder aannemelijk dat het om login data gaat.

[Reactie gewijzigd door diederikhu op 30 maart 2015 10:22]

Even voor de duidelijkheid:
  • r100 haalt de infectie volledig weg. Met de autoupdate hoef je niks meer te doen. Daarnaast geeft deze een popup als je systeem geinfecteerd was.
  • Er is ook een simpele losse cleaner uitgebracht, voor mensen die puush handmatig geheel verwijderd hebben of er gewoon vanaf willen. Deze is hier te vinden en heeft een geldige signature van Dean Herbert, de ontwikkelaar van puush. Draaien is niet nodig als je op puush r100 zit, maar het kan geen kwaad.
  • Indien je de infectie gehad hebt is het sterk aan te raden alle wachtwoorden die in alle gangbare webbrowsers, Outlook, Pidgin en Thunderbird opgeslagen zijn te wijzigen. De malware haalt specifiek wachtwoorden uit die programmas. Ook was er een keylogger actief.
  • De infectie bestaat uit 2 versies van "puush.daemon.exe", eentje in de program files map en een andere in %APPDATA%\puush. Ook wordt er een autorun entry toegevoegd, deze is met Sysinternals Autoruns (of iedere andere tool) weg te halen als je het zelf wilt doen. Verder niks, geen rootkit, eigenlijk best saai ding. Had veel erger kunnen zijn.
  • De command & control servers gingen na een tijdje offline en zijn niet meer online gekomen. Voor een bepaalde subset gebruikers is de malware wel actief geweest maar heeft het uiteindelijk niks kunnen verzenden. Geluk, maar je kunt er niet zeker van zijn.
  • Door de manier waarop de update check van puush werkt zullen ongeveer 50% van de gebruikers die actief waren op dat tijdstip de update gekregen hebben. Gezien de tijd (20:51-23:41 lokale tijd) zullen dat er wel genoeg zijn.
  • Mocht je een ander programma willen, dan raad de ontwikkelaar zelf ShareX aan.
Goed alternatief: Lightshot.
Goed alternatief: Lightshot.
En als het simpel om het afvangen en bewaren van een screenshot gaat werkt win + PrtScrn ook goed genoeg in Windows 8(.1)

Screendump wordt bewaard als .png met een volgnummer in \pictures\screenshots.
Wist niet dat Windows 8 dit ingebouwd had, thanks voor de tip!
Als je nou een hele staple screenshots wilt verzamelen (voor een handleiding bijvoorbeeld), zou je psr.exe eens moeten proberen.
Zit vanaf Windows 7 er bij (graties en voor niets).

Alles wordt dan keurig in een mht bestand verzameld.
Screenshots worden wat kleiner in de MHT weergegeven, maar zijn wel clickable waarbij de opware grootte worden getoond)

Win + PrtScrn werkt al sinds windows 95 (minimaal), alleen werd het tot voor kort opgeslagen op je clipboard...

[Reactie gewijzigd door walteij op 30 maart 2015 13:36]

Oh das handig! Precies waar voor ik Lightshot gebruik namelijk.. handleidingen.
Zorg er voor dat je precies goed klikt, want iedere klik wordt een screenshot en een (beschreven) stap.
Klik je dus een keer mis of verkeerd, heb je al snel wat foutieve plaatjes er bij staan en dat is zonde, omdat je dat het hele bestand weer moet bewerken (inclusief de links in het bestand).
Als je nou een hele staple screenshots wilt verzamelen (voor een handleiding bijvoorbeeld), zou je psr.exe eens moeten proberen.
Handig !
Win + PrtScrn werkt al sinds windows 95 (minimaal)
Weet ik. Zelfs zonder 'win'.. Maar daarna moest je dan weer handelingen plegen voor het opslaan.

edit:
PSR gevonden ('steps recorder' bij \accessoires) en tevens een snipping tool, ook daar. Het uitproberen waard. Dank.

[Reactie gewijzigd door stresstak op 30 maart 2015 15:10]

Jup, lightshot is vol met ads, super alternatief.
Ik gebruik zelf ShareX die verbonden is met mijn eigen FTP Server, ideaal.
Waar zie je die ads precies, enkel bij het uploaden neem ik aan?
BTW shareX lijkt wel een zeer uitgebreide tool, dank! :)
Thuis meteen even checken of ik de .exe ook heb, is deze bij een bepaalde update erbij gekomen? Want ik heb het programma al een tijd niet meer geupdate..

Al met al is het wel vervelend, heb er niet zo trek in om al m'n wachtwoorden te wijzigen, maar ach, ik zit ook niet te wachten op een inbraak of verlies van bepaalde accounts.

Spijtig! Vind het een fijn programma. :)
Ja de malware versie betreft alleen r94. Als je een oudere of nieuwere versie hebt dan heb je geen probleem.

Het versienummer te vinden door bijvoorbeeld met je rechtermuisknop op de systemtray icoon te klikken. Het versienummer staat dan bovenaan het menu, bijvoorbeeld "puush r100".
OkÚ thanks.

Als ik m'n laptop aandoe, zal hij dan niet direct update voordat ik heb kunnen kijken naar de versie? Of zal hij hier toestemming om vragen. Anders kan ik even checken of versie 94 erop staat.

Zoja, dan wordt het wachtwoorden wijzigen. Is R94 de enigste ge´nfecteerde versie?
Mogelijk kun je opstarten in de vliegtuig-modus. Dan kan er geen verbinding gemaakt worden met internet en dus ook niet geŘpdatet worden.
Dat is ook een goeie, zal eens kijken of ik dat kan doen.

Thanks!
Volgens Puush ben je niet getroffen als je je pc niet aan had tussen 8 en 11 uur gisteravond.

Ik dus wel, maar ben momenteel niet thuis dus kan niet kijken of mijn computer ge´nfecteerd is.

Desondanks blijf ik wel gewoon lekker bij Puush. Het is en blijft een fijne service. Dit voorval had elke soortgelijke service kunnen overkomen.

EDIT: Ik ben inmiddels thuis en draai nu r100. Geen malware gevonden!

[Reactie gewijzigd door Ionicawa op 30 maart 2015 17:52]

In principe zou Puush een melding moeten geven als er iets gevonden werd na het (auto) updaten naar r100. Bij mij geen melding, en ik was ook online. Blijkbaar is het auto-update mechanisme van Puush wat random, en check hij elke 1-6 uur voor een update. Als je dan juist wat "geluk" hebt en hij checkt juist voor de update uitgebracht werd, heb je dus geen probleem.
Same here, tooltje en puush zelf geven allebij aan dat ik niks heb, maar was wel online.
Mijn firewall begon gisteren over dat Puush een verbinding wilde maken met "suid.at", als ik een tracert doe naar dat domein zie ik ÚÚn russisch domein langs komen, goede kans dat het dus een stel russiche "hackers" waren. Ook goed mogelijk dat de doelgroep russisch is, maar dat weet ik natuurlijk niet.

Nu maar hopen dat ik op "Blokkeren" had gedrukt in mijn Interactieve Firewall, mijn geheugen zegt vaagjes van wel...
Vroeg me af welke firewall je gebruikt?
Firewall van Eset Smart security.
Tijdens de installatie kan je opgeven of je interactief wilt.
Gistermiddag gaf AVG mij de melding dat er iets niet klopte met puush.daemon.exe en heeft het gelijk in quarantine gezet. Snelle oplossing van Puush zelf! Ik ben benieuwd of de .exe de wachtwoorden daadwerkelijk heeft verstuurd.
Ik zou je paswoorden onmiddellijk veranderen ipv na te denken of je wachtwoorden daadwerkelijk zijn verstuurd. Wanneer AVG het detecteert, is de grootste schade tijdens de dagen voordien al geleden.

[Reactie gewijzigd door biglia op 30 maart 2015 10:17]

Nou de PC stond het hele weekend uit, dus zo te lezen geen problemen hier. Ook zou de nieuwe versie moeten vertellen dat je ge´nfecteerd bent als dat het geval was.
Volgens mij moet de directory niet "\%AppData%\Roaming\puush" zijn, maar "\%AppData%\puush".
De variabele %AppData% bevat namelijk al de 'Roaming' directory. ;)
Volgens hun twitter bestond er enkel een kans op infectie als je computer aan stond op 29 maart (gister) tussen 20:51 en 23:51.
_O- Baas, dat was net toen ik in slaap gevallen was _O-

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True