'Screenshotdumper' Puush was geïnfecteerd met malware

Versie r94 van de Windows-client van screendumpsoftware puush bleek geïnfecteerd met malware. De laatste update r100 controleert of de gebruiker geïnfecteerd is en verwijdert de malware. Volgens de maker was de webserver van puush enige tijd gehackt.

Voor mensen die geen vertrouwen meer hebben in de software, is ook een stand-alone cleaner uitgebracht. Dat schrijft de ontwikkelaar op zijn Tumblr. De cleaner kijkt of er een infectie heeft plaatsgevonden en verwijdert de malware.

De hoofdwebserver van puush is enige tijd gehackt geweest, waarbij voor zover bekend de database en puushed-screendumps niet in gevaar zijn geweest. De Windows-versie r94 van de software was vervangen door een variant met malware. Alle andere versies van de software zijn schoon. De versies voor OS X en mobiele platformen zijn niet geïnfecteerd.

De malware gebruikt de bestandsnaam 'puush.daemon.exe' en staat in “\%AppData%\Roaming\puush” of "Program Files\puush" en start automatisch op via een registry key.

De malware verzamelt mogelijk lokaal opgeslagen wachtwoorden, maar er is nog niet bevestigd of die wachtwoorden ook zijn verzonden naar een server. Ondanks dat raadt de ontwikkelaar aan om wachtwoorden te veranderen, inclusief wachtwoorden opgeslagen in Chrome en Firefox.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 30-03-2015 10:02
52 • submitter: Kpz

30-03-2015 • 10:02

52

Submitter: Kpz

Lees meer

Verdachte .dll-bestanden Nexus Mods wijzen op mogelijke databasehack
Verdachte .dll-bestanden Nexus Mods wijzen op mogelijke databasehack Nieuws van 7 december 2015
Beveiligingsbedrijf: malware voor OS X maakt grote groei door
Beveiligingsbedrijf: malware voor OS X maakt grote groei door Nieuws van 5 november 2015
Onderzoeker: malware kan beveiliging op Mac OS X gemakkelijk omzeilen
Onderzoeker: malware kan beveiliging op Mac OS X gemakkelijk omzeilen Nieuws van 26 april 2015
Onderzoekers waarschuwen voor Installer Hijacking-lek in Android
Onderzoekers waarschuwen voor Installer Hijacking-lek in Android Nieuws van 24 maart 2015
Mozilla start met ondertekenen add-ons voor toekomstige Firefox-versies
Mozilla start met ondertekenen add-ons voor toekomstige Firefox-versies Nieuws van 11 februari 2015
Tunesische hackers defacen website Notepad++
Tunesische hackers defacen website Notepad++ Nieuws van 12 januari 2015
Beveiligingsbedrijf ontdekt iOS-trojan voor gejailbreakte apparaten
Beveiligingsbedrijf ontdekt iOS-trojan voor gejailbreakte apparaten Nieuws van 1 oktober 2014
Meer producten en artikelen
Software

Reacties (52)

-Moderatie-faq
52
48
34
2
0
0
Wijzig sortering

Sorteer op:

Weergave:
diederikhu 30 maart 2015 10:18
Mocht je momenteel nog r93 hebben, dan ben je niet geïnfecteerd met de malware. Ik heb gisternacht Puush gesloten nadat ik deze Reddit thread had gelezen. Overigens kun je teruggelezen op hun Twitter hoe de nacht was verlopen.

Het ziet er naar uit dat er wel data werd verzonden naar een server.

EDIT: De screenshot in die tweet is trouwens live memory, de packets waren encrypted dus was niet meteen uit te lezen wat er precies verzonden werd. Maar het is wel bijzonder aannemelijk dat het om login data gaat.

[Reactie gewijzigd door diederikhu op 29 juli 2024 10:26]

Kewne 30 maart 2015 10:35
Even voor de duidelijkheid:
  • r100 haalt de infectie volledig weg. Met de autoupdate hoef je niks meer te doen. Daarnaast geeft deze een popup als je systeem geinfecteerd was.
  • Er is ook een simpele losse cleaner uitgebracht, voor mensen die puush handmatig geheel verwijderd hebben of er gewoon vanaf willen. Deze is hier te vinden en heeft een geldige signature van Dean Herbert, de ontwikkelaar van puush. Draaien is niet nodig als je op puush r100 zit, maar het kan geen kwaad.
  • Indien je de infectie gehad hebt is het sterk aan te raden alle wachtwoorden die in alle gangbare webbrowsers, Outlook, Pidgin en Thunderbird opgeslagen zijn te wijzigen. De malware haalt specifiek wachtwoorden uit die programmas. Ook was er een keylogger actief.
  • De infectie bestaat uit 2 versies van "puush.daemon.exe", eentje in de program files map en een andere in %APPDATA%\puush. Ook wordt er een autorun entry toegevoegd, deze is met Sysinternals Autoruns (of iedere andere tool) weg te halen als je het zelf wilt doen. Verder niks, geen rootkit, eigenlijk best saai ding. Had veel erger kunnen zijn.
  • De command & control servers gingen na een tijdje offline en zijn niet meer online gekomen. Voor een bepaalde subset gebruikers is de malware wel actief geweest maar heeft het uiteindelijk niks kunnen verzenden. Geluk, maar je kunt er niet zeker van zijn.
  • Door de manier waarop de update check van puush werkt zullen ongeveer 50% van de gebruikers die actief waren op dat tijdstip de update gekregen hebben. Gezien de tijd (20:51-23:41 lokale tijd) zullen dat er wel genoeg zijn.
  • Mocht je een ander programma willen, dan raad de ontwikkelaar zelf ShareX aan.
Luukwa 30 maart 2015 11:03
Goed alternatief: Lightshot.
stresstak @Luukwa30 maart 2015 13:15
Goed alternatief: Lightshot.
En als het simpel om het afvangen en bewaren van een screenshot gaat werkt win + PrtScrn ook goed genoeg in Windows 8(.1)

Screendump wordt bewaard als .png met een volgnummer in \pictures\screenshots.
Luukwa @stresstak30 maart 2015 13:24
Wist niet dat Windows 8 dit ingebouwd had, thanks voor de tip!
walteij @Luukwa30 maart 2015 13:35
Als je nou een hele staple screenshots wilt verzamelen (voor een handleiding bijvoorbeeld), zou je psr.exe eens moeten proberen.
Zit vanaf Windows 7 er bij (graties en voor niets).

Alles wordt dan keurig in een mht bestand verzameld.
Screenshots worden wat kleiner in de MHT weergegeven, maar zijn wel clickable waarbij de opware grootte worden getoond)

Win + PrtScrn werkt al sinds windows 95 (minimaal), alleen werd het tot voor kort opgeslagen op je clipboard...

[Reactie gewijzigd door walteij op 29 juli 2024 10:26]

Luukwa @walteij30 maart 2015 13:41
Oh das handig! Precies waar voor ik Lightshot gebruik namelijk.. handleidingen.
walteij @Luukwa30 maart 2015 15:36
Zorg er voor dat je precies goed klikt, want iedere klik wordt een screenshot en een (beschreven) stap.
Klik je dus een keer mis of verkeerd, heb je al snel wat foutieve plaatjes er bij staan en dat is zonde, omdat je dat het hele bestand weer moet bewerken (inclusief de links in het bestand).
stresstak @walteij30 maart 2015 14:43
Als je nou een hele staple screenshots wilt verzamelen (voor een handleiding bijvoorbeeld), zou je psr.exe eens moeten proberen.
Handig !
Win + PrtScrn werkt al sinds windows 95 (minimaal)
Weet ik. Zelfs zonder 'win'.. Maar daarna moest je dan weer handelingen plegen voor het opslaan.

edit:
PSR gevonden ('steps recorder' bij \accessoires) en tevens een snipping tool, ook daar. Het uitproberen waard. Dank.

[Reactie gewijzigd door stresstak op 29 juli 2024 10:26]

Pilovali @Luukwa30 maart 2015 11:13
Jup, lightshot is vol met ads, super alternatief.
Ik gebruik zelf ShareX die verbonden is met mijn eigen FTP Server, ideaal.
Aardwolf @Pilovali30 maart 2015 11:54
Waar zie je die ads precies, enkel bij het uploaden neem ik aan?
BTW shareX lijkt wel een zeer uitgebreide tool, dank! :)
Hapkoek 30 maart 2015 10:17
Thuis meteen even checken of ik de .exe ook heb, is deze bij een bepaalde update erbij gekomen? Want ik heb het programma al een tijd niet meer geupdate..

Al met al is het wel vervelend, heb er niet zo trek in om al m'n wachtwoorden te wijzigen, maar ach, ik zit ook niet te wachten op een inbraak of verlies van bepaalde accounts.

Spijtig! Vind het een fijn programma. :)
Wubinator @Hapkoek30 maart 2015 11:13
Ja de malware versie betreft alleen r94. Als je een oudere of nieuwere versie hebt dan heb je geen probleem.

Het versienummer te vinden door bijvoorbeeld met je rechtermuisknop op de systemtray icoon te klikken. Het versienummer staat dan bovenaan het menu, bijvoorbeeld "puush r100".
Hapkoek @Wubinator30 maart 2015 11:15
Oké thanks.

Als ik m'n laptop aandoe, zal hij dan niet direct update voordat ik heb kunnen kijken naar de versie? Of zal hij hier toestemming om vragen. Anders kan ik even checken of versie 94 erop staat.

Zoja, dan wordt het wachtwoorden wijzigen. Is R94 de enigste geïnfecteerde versie?
henk1994 @Hapkoek30 maart 2015 15:50
Mogelijk kun je opstarten in de vliegtuig-modus. Dan kan er geen verbinding gemaakt worden met internet en dus ook niet geüpdatet worden.
Hapkoek @henk199430 maart 2015 15:55
Dat is ook een goeie, zal eens kijken of ik dat kan doen.

Thanks!
Ionicawa 30 maart 2015 10:29
Volgens Puush ben je niet getroffen als je je pc niet aan had tussen 8 en 11 uur gisteravond.

Ik dus wel, maar ben momenteel niet thuis dus kan niet kijken of mijn computer geïnfecteerd is.

Desondanks blijf ik wel gewoon lekker bij Puush. Het is en blijft een fijne service. Dit voorval had elke soortgelijke service kunnen overkomen.

EDIT: Ik ben inmiddels thuis en draai nu r100. Geen malware gevonden!

[Reactie gewijzigd door Ionicawa op 29 juli 2024 10:26]

azerty @Ionicawa30 maart 2015 11:21
In principe zou Puush een melding moeten geven als er iets gevonden werd na het (auto) updaten naar r100. Bij mij geen melding, en ik was ook online. Blijkbaar is het auto-update mechanisme van Puush wat random, en check hij elke 1-6 uur voor een update. Als je dan juist wat "geluk" hebt en hij checkt juist voor de update uitgebracht werd, heb je dus geen probleem.
Verwijderd @azerty30 maart 2015 11:43
Same here, tooltje en puush zelf geven allebij aan dat ik niks heb, maar was wel online.
ManIkWeet 30 maart 2015 19:44
Mijn firewall begon gisteren over dat Puush een verbinding wilde maken met "suid.at", als ik een tracert doe naar dat domein zie ik één russisch domein langs komen, goede kans dat het dus een stel russiche "hackers" waren. Ook goed mogelijk dat de doelgroep russisch is, maar dat weet ik natuurlijk niet.

Nu maar hopen dat ik op "Blokkeren" had gedrukt in mijn Interactieve Firewall, mijn geheugen zegt vaagjes van wel...
White_Collar @ManIkWeet30 maart 2015 21:22
Vroeg me af welke firewall je gebruikt?
ManIkWeet @White_Collar30 maart 2015 21:35
Firewall van Eset Smart security.
Tijdens de installatie kan je opgeven of je interactief wilt.
Petaht 30 maart 2015 10:07
Gistermiddag gaf AVG mij de melding dat er iets niet klopte met puush.daemon.exe en heeft het gelijk in quarantine gezet. Snelle oplossing van Puush zelf! Ik ben benieuwd of de .exe de wachtwoorden daadwerkelijk heeft verstuurd.
biglia @Petaht30 maart 2015 10:16
Ik zou je paswoorden onmiddellijk veranderen ipv na te denken of je wachtwoorden daadwerkelijk zijn verstuurd. Wanneer AVG het detecteert, is de grootste schade tijdens de dagen voordien al geleden.

[Reactie gewijzigd door biglia op 29 juli 2024 10:26]

TheNephilim 30 maart 2015 10:19
Nou de PC stond het hele weekend uit, dus zo te lezen geen problemen hier. Ook zou de nieuwe versie moeten vertellen dat je geïnfecteerd bent als dat het geval was.
AxelFP 30 maart 2015 10:25
Volgens mij moet de directory niet "\%AppData%\Roaming\puush" zijn, maar "\%AppData%\puush".
De variabele %AppData% bevat namelijk al de 'Roaming' directory. ;)
Schnoop 30 maart 2015 10:31
Volgens hun twitter bestond er enkel een kans op infectie als je computer aan stond op 29 maart (gister) tussen 20:51 en 23:51.
iaxe393 @Schnoop30 maart 2015 11:06
_O- Baas, dat was net toen ik in slaap gevallen was _O-

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq