Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: NotHere

Fosshub, een site waar foss-software te verkrijgen is, is enige tijd gehackt geweest. Als gevolg daarvan werden enkele Windows-installatiebestanden van populaire applicaties vervangen door kwaadaardige software die de master boot record overschrijft. FossHub is op dit moment offline.

Classic Shell mbr hackFossHub heeft nog geen verklaring gegeven, maar op dit moment is de website offline en kunnen er geen bestanden meer gedownload worden. Verschillende programma's, waaronder in ieder geval Classic Shell en audiobewerkingsprogramma Audacity, werden voor het offline gaan van de website aangeboden met kwaadaardige inhoud. De payload zorgde ervoor dat de mbr van de harde schijf overschreven werd. Het lijkt er niet op dat de malware iets anders doet dan het overschrijven van de mbr. Dat is vervelend, maar oplosbaar.

De eerste melding van vreemd gedrag stond op het Classic Shell-forum. Tijdens de installatie kreeg de betreffende forumgebruiker te zien dat het bestand uit niet-vertrouwde bron kwam. De gebruiker installeerde Classic Shell toch en na een herstart kwam hij direct in de bios terecht. Niet veel later kwamen op Reddit ook meldingen binnen over Audacity en mogelijk andere applicaties.

Na het overschrijven van de mbr, is het niet meer mogelijk normaal op te starten. Hoe de hackers zich precies toegang konden verschaffen tot FossHub, is niet helemaal duidelijk. Wel zegt hackersgroep Cult of Peggle in een tweet dat ze tijdelijk FossHub volledig in handen hadden en dat ze ook toegang hadden tot de e-mail van de admin.

Veel opensourceprojecten serveren downloads van hun applicaties niet via hun eigen servers. Deze projecten verwijzen vaak naar sites die bestanden hosten, zoals SourceForge of Fosshub. Audacity linkt vanaf zijn downloadpagina bijvoorbeeld rechtstreeks naar de bestanden op FossHub.

VirusTotal scanresultaat ClassicShellBron: Ghacks.net

Lees meer over

Gerelateerde content

Alle gerelateerde content (7)
Moderatie-faq Wijzig weergave

Reacties (31)

-131030+119+23+31Ongemodereerd6
1 2
+3 Bor

3 augustus 2016 11:33
Is er met zekerheid te zeggen dat de malware niet meer heeft gedaan dan de mbr overschrijven? Dat is nogal een raar doel op zich en iets wat direct opvalt. Dit kan natuurlijk een coverup zijn voor meer of andere achtergelaten malware zodat mensen na het repareren van de mbr het idee hebben dat ze weer veilig zijn of wellicht is het verprusten van de mbr een onbedoeld neveneffect geweest?

De Trojan.Siggen6 malware wordt vaak gebruikt voor het achterlaten van nog veel meer narigheid. Een volledige scan van het systeem wordt aanbevolen, ook na reparatie van de MBR. Bij twijfel is een volledige herinstallatie uit een bron waarvan je zeker bent dat deze schoon is altijd de beste optie.

Overigens is het mbr euvel makkelijk te verhelpen, bijvoorbeeld via onderstaande procedure (use at own risk)

-> boot met install media (dvd)
Kies "Repair computer"
Kies "Troubleshoot"
Kies "Advanced options"
Kies "command prompt"
Geef commando "bootrec /fixmbr"
Geef commando "exit"

Ga terug naar "Troubleshoot"
Kies "Advanced Options"
Kies "Startup Repair".

[Reactie gewijzigd door Bor op 3 augustus 2016 11:43]

Auteur +1 letatcest
@Bor3 augustus 2016 12:09
Nee, dat is niet met zekerheid te zeggen. Ik heb er nog maar weinig relatief betrouwbare bronnen over gevonden, behalve de reddit-thread:

https://www.reddit.com/r/...lassic_shell_read/d61w40i

vv relatief betrouwbaar he ;) vv

[Reactie gewijzigd door letatcest op 3 augustus 2016 13:08]

0 ManIkWeet
@letatcest3 augustus 2016 13:07
De betrouwbaarheid van een Reddit thread is over het algemeen niet goed 8)7
+1 flupke01
@Bor3 augustus 2016 12:47
Heb dit probleem ook, maar zonder de malware melding. fixmbr lijkt te werken, maar krijg na kiezen opstartherstel een foutmelding dat de pc niet kan worden hersteld. Als ik opnieuw instellen kies krijg ik eveneens een foutmelding. Beide zonder verdere uitleg of foutcodes... Systeemherstel meldt dat er geen herstelpunten zouden zijn, ook al zouden die er wel moeten zijn.
Als ik probeer W10 op te starten krijg ik de melding dat de BCD niet aanwezig is of fouten bevat. Dit met errorcode 0x000000f.

Kan iemand me hier mee helpen, alsjeblieft? Ik kom er niet meer uit, en zelfs opnieuw installeren lijkt niet te gaan werken.
0 Arnaud
@flupke013 augustus 2016 14:38
Fixmbr zet de MasterBootRecord terug maar niet de BCD (je bootmenu/bootopties)
wat jou probleem op gaat lossen is "bcdboot c:\windows" (dat voegt de Windows in C:\Windows toe aan je BCD en als je BCD er helemaal niet is fixed hij dat ook voor je)
0 flupke01
@Arnaud3 augustus 2016 15:45
Helaas, dat helpt niet. Heb ondertussen ontdekt dat ik mijn pc kan opstarten door mijn 3e hd te selecteren bij het opstarten? Snap er niet veel van, boel is flink door elkaar gehusseld blijkbaar. Heb ondertussen al zoveel uitgeprobeerd dat ik door de bomen het bod niet meer zie.
Helaas biedt systeemherstel ook al geen uitweg; hersteldata blijkt verwijderd...
0 MrCrazyID
@Bor4 augustus 2016 12:39
https://youtu.be/DD9CvHVU7B4

Hier wordt dit virus losgelaten op een virtuele machine.
+2 Clemens123
3 augustus 2016 11:10
Ik heb blijkbaar nog geluk gehad toen ik een paar dagen geleden Classic Shell geupdate heb...(alhoewel ik heb het via de updater gedaan, en daar was geen gevaar, aangezien het een andere mirror was en de signature automatisch gecontroleerd wordt)

Hier staat trouwens perfect uitgelegd hoe je het euvel kunt repareren:
http://www.classicshell.n...viewtopic.php?f=12&t=6440

[Reactie gewijzigd door Clemens123 op 3 augustus 2016 11:20]

+1 ArtGod
@Clemens1233 augustus 2016 11:23
Ik ben bang dat slachtoffers de volgende keer niet zoveel geluk hebben en dat de malware gewoon de MFT wist. Sites moeten gewoon veel beter beveiligd worden, vooral als je er software kan downloaden.

[Reactie gewijzigd door ArtGod op 3 augustus 2016 11:25]

+1 supersnathan94

3 augustus 2016 11:43
Dit is echt een groter probleem dan mensen denken.

Het overschrijven van de MBR op een bitlocker Drive zorgt ervoor dat de complete schijf wordt "gewist".

De malware is in 1 dag geschreven en is niet echt slim gebouwd dus als voorzorgs maatregel kan je er voor zorgen dat je op Drive 0 geen bitlocker activated drive hebt zitten. Hij overschrijft namelijk de eerste drive die hij tegenkomt.
+2 Bor

@supersnathan943 augustus 2016 11:48
Het overschrijven van de MBR op een bitlocker Drive zorgt ervoor dat de complete schijf wordt "gewist".
Klopt dat wel? Zonder mbr maar met recovery keys zou je de drive alsnog moeten kunnen mounten en unlocken via manage-bde.exe.
Parameter List:
-status Provides information about BitLocker-capable volumes.
-on Encrypts the volume and turns BitLocker protection on.
-off Decrypts the volume and turns BitLocker protection off.
-pause Pauses encryption or decryption.
-resume Resumes encryption or decryption.
-lock Prevents access to BitLocker-encrypted data.
-unlock Allows access to BitLocker-encrypted data.
-autounlock Manages automatic unlocking of data volumes.
-protectors Manages protection methods for the encryption key.
-tpm Configures the computer's Trusted Platform Module (TPM).
-ForceRecovery or -fr
Forces a BitLocker-protected OS to recover on restarts.
-ComputerName or -cn
Runs on another computer. Examples: "ComputerX", "127.0.0.1"
-? or /? Displays brief help. Example: "-ParameterSet -?"
-Help or -h Displays complete help. Example: "-ParameterSet -h"

Examples:
manage-bde -status
manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
+1 supersnathan94

@Bor3 augustus 2016 12:04
Dat zou misschien kunnen, maar in schijfbeheer is de ruimte alleen zichtbaar als 1 partitie unallocated space. De data staat er nog wel op uiteraard, maar dit is niet zomaar even terug te halen zoals normaal wel kan.
+1 The Zep Man

@supersnathan943 augustus 2016 12:24
Dat zou misschien kunnen, maar in schijfbeheer is de ruimte alleen zichtbaar als 1 partitie unallocated space.
Dus niet alleen de MBR code, maar ook de (MBR/GPT?) partitie-indeling wordt mogelijk verwijderd. Dat is niet echt goed voor de verspreiding van de infectie, want na een keer falen met booten volgt doorgaans een herinstallatie, waarbij (volgens mij) de betreffende code wordt overschreven door de installer.

Zelf ben ik altijd een fan van even een disk te cleanen voordat ik met een schone Windows installatie begin. Na het opstarten van de installatie gebruik je shift + F10 om een Command Prompt te openen. Gebruik vervolgens 'diskpart', 'list disk', select disk X' en 'clean' om de partitie-indeling van de installatieschijf schoon te vegen, waarbij X het nummer is van de betreffende disk. Dit lost soms ook problemen op wanneer de 'slimme' installer besluit dat Windows niet te installeren is op de disk die je wilt. ;)

[Reactie gewijzigd door The Zep Man op 3 augustus 2016 12:27]

+1 Bor

@The Zep Man3 augustus 2016 13:00
Hij doelt op een bitlocker encrypted schijf en niet noodzakelijk op de malware die hier besproken wordt. In dat laatste geval lijkt een mbr restore of repair voldoende te zijn om het systeem weer bootable te maken. Wel goed op malware scannen daarna!
+1 himlims_
3 augustus 2016 11:33
nofi; maar waarom zou je software downloaden via 3th party site en niet via de pagina bij ontwikkelaar zelf? begrijp dat sommige sotware 'exclusief' via fosshub gaat
+1 Ultrapc
@himlims_3 augustus 2016 11:39
Het zijn officiële mirrors, dus je kan net zo goed vanaf de officiele downloadpagina terecht gekomen zijn bij FossHub.
+1 xxxneoxxx
@himlims_3 augustus 2016 21:42
Ik zou idd een 3rd party site gebruiken en zeker geen 3th party site.
+1 MediQ
3 augustus 2016 11:09
Het plaatje naast het artikel toont een melding van de hackers/grapjassen... Op het forum van Classic Shell en op Reddit meldden gebruikers dat ze deze melding kregen van de hackers na het installeren van de geïnfecteerde installer van FossHub. Overigens was de Class Shell installer op de MediaFire-mirror niet geïnfecteerd.

Edit: Plaatje naast artikel is inmiddels aanklikbaar. Reactie aangepast.

[Reactie gewijzigd door MediQ op 3 augustus 2016 11:19]

+1 BeArt
3 augustus 2016 11:44
Verdorie, ik denk dat ik daar dan slachtoffer van ben ...
Gisteren melding gekregen van OneDrive dat limiet bereikt was, dus dacht ik even met WinDirStat na te kijken welke map het grootst was.

een van de aangeboden mirrors was Fosshub, en dat klonk me toch enigzins betrouwbaar in de oren.

Later pc willen herstarten ... de vermeldde foutmelding ...
Ik dacht eerst dat het aan ESET lag, tijdens dezelfde sessie was ik van Avira naar Eset overgeschakeld.

Heb het voorlopig nog niet kunnen oplossen, ben een bootdvd aan het maken.

//edit Ondertussen gefixt met de gekende combinatie bootdvd + bootrec /fixmbr + opstartherstel.

Nu een grondige scan en wachtwoorden wijzigen, en hopelijk blijft het dan voorlopig daarbij. Binnenkort het systeem toch maar eens formatteren voor de zekerheid.

//edit2 net de dader nog eens bekeken, het bestand was maar 35kb groot ... Dat ik daar ingetrapt ben ... Ook staat bij de omschrijving info over ClassicShell, terwijl de bestandsnaam wel naar WinStat verwijst ...

Best een tijdje opletten met Fosshub lijkt me.

[Reactie gewijzigd door BeArt op 3 augustus 2016 12:20]

+1 GravityDX
3 augustus 2016 11:44
Danooct1 heeft een video gemaakt van deze payload. Hierbij wordt ook uitgelegd hoe dit te fixen is.
+1 njitter
3 augustus 2016 12:55
Slim om hier Classic Shell voor te misbruiken. Veel mensen zullen na het installeren van de Windows 10 Anniversary Update de melding gekregen hebben dat de versie die ze in gebruik hebben niet compatibel is. Ik heb hem zelf gisteravond ook geupdate.

Heb toen gelukkig wel de juiste file gekregen:

How do I know I have downloaded the correct file?
There are few things to watch for:
  • Check the file properties in Explorer – right-click -> Properties. Look for a tab named “Digital Signatures”. It should list “Ivaylo Beltchev” as the signer. The hacked file doesn’t even display the “Digital Signatures” tab./li]
  • When you run the real installer it will not immediately ask you for admin permissions. Only after you finish selecting your settings you will be asked. The hacked file asks right away.
  • The prompt for permissions will be blue for the real file and say "Verified publisher: Ivaylo Beltchev". The fake file will show a yellow prompt and say "Publisher: Unknown".
  • The fake file will of course not install Classic Shell. It will just flicker once and exit. So if you managed to install Classic Shell 4.3.0, then you had the right file and you are safe

[Reactie gewijzigd door njitter op 3 augustus 2016 13:01]

0 Bor

3 augustus 2016 13:48
Men had ook een EFI payload maar die kregen ze niet werkend zo te lezen;

https://twitter.com/CultOfRazer/status/760752941066313728
0 280967
3 augustus 2016 21:01
Lees nu dit. Zo juist classic shell gedownload. Hopelijk geen problemen. Moest hem weer downloaden naar de nieuwe verjaardagsupdate van Windows.
Hopelijk toch geen problemen. Panda en Hitman Pro melden niets tenminste
1 2

Op dit item kan niet meer gereageerd worden.


Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True