Malafide versie van MSI Afterburner is offline gehaald

Een content delivery network waar een malafide versie van MSI Afterburner was geplaatst, heeft de software verwijderd. MSI waarschuwde voor de software, die trojans, malware of keyloggers zou bevatten.

MSI plaatste donderdag een waarschuwing op zijn website en op Twitter over een site die een malafide versie van de MSI Afterburner-software verspreidde. De pagina was een kopie van MSI's eigen website en ook de software zou vermomd zijn om op de officiële MSI-software te lijken.

Forumgebruiker silentbogo van TechPowerUp verbaasde zich dat de website donderdag nog online stond. De gebruiker zegt op 5 mei al melding gemaakt te hebben van misbruik bij Hipolink, waar de bestanden werden gehost. Ook schreef de gebruiker webhost Timeweb.ru aan, waar de site stond.

Volgens silentbogo zijn de bestanden door Hipolink offline gehaald na zijn verzoek en heeft de hoster een onderzoek aangekondigd. De site waar MSI voor waarschuwde, is inmiddels niet meer te bereiken. Het is niet bekend hoeveel slachtoffers de malafide software heeft gemaakt.

MSI Afterburner is software voor het uitlezen en tweaken van gpu-prestaties. De software werkt ook met videokaarten van andere merken en heeft daardoor een groot aantal gebruikers.

Reacties (52)

Mipje 14 mei 2021 09:32

Laat ik nou net in deze periode een nieuwe pc gebouwd hebben en msi afterburner geïnstalleerd... Heeft iemand een tip voor mij, hoe ik kan zien, of ik de malafide versie te pakken heb?

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@Mipje • 14 mei 2021 09:37

Je kan de hashes van de installer vergelijken met de hashes die door de daadwerkelijke leverancier bekend zijn gemaakt.

densoN @Bor • 14 mei 2021 09:44

Mocht je niet weten hoe je de hash van een bestand kunt raadplegen.

Open powershell en voer het volgende commando in:

Get-FileHash 'c:\folder\bestand.exe' -Algorithm MD5

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@densoN • 14 mei 2021 09:46

Dat kan op zich maar dan moet de leverancier wel de MD5 hash aanleveren. Gelukkig ondersteunt de commandlet meerdere algoritmen, namelijk SHA1,SHA256,SHA384,SHA512,MD5. Kies altijd degene die de leverancier hanteert anders zal de hash niet overeenkomen.

Goldwing1973 @Bor • 14 mei 2021 12:28

Of je download de officiële versie van de site van MSI en doet daar ook een MD5 Hash op en vergelijkt die met de versie die je geïnstalleerd hebt

Eagle Creek

@Goldwing1973 • 15 mei 2021 00:58

Zullen we maar overstappen op ten minste een sha1-hash? Md5 is ook voor deze toepassing AFAIK niet meer afdoende betrouwbaar, zeker wanneer het niet gaat om een per ongeluk omgevallen bitje maar een moedwillige poging van criminelen om te misleiden.

HerrPino @Eagle Creek • 15 mei 2021 08:07

Is MD5 zo onveilig dat met een gemodificeerde applicatie, die ook nog functioneert en enkel wat extra code bevat (mogelijk slechts een paar kb), een collision kan creëren? In theorie kan het, maar het moet natuurlijk ook nog werkende code opleveren en ik denk dat dat erg lastig zal zijn

Eagle Creek

@HerrPino • 15 mei 2021 12:25

Die mogijkheid bestaat inderdaad.
Zie dit TU/e-project uit 2007(!):
https://www.win.tue.nl/hashclash/

En deze site uit 2015(!) voor afbeeldingen :
https://natmchugh.blogspo...n-md5-collisions.html?m=1
= Een Amazon-dienst voor enkele centen.

Inmiddels bestaat soortgelijk ook al voor applicaties. Zie hier eveneens uit 2015 een voorbeeld inclusief code voor .exe-files:
https://www.thice.nl/mean...ons-creating-executables/

Op basis van een MD5 -hash een applicatie vertrouwen is inmiddels link.

[Reactie gewijzigd door Eagle Creek op 24 juli 2024 14:56]

Noxious @Goldwing1973 • 14 mei 2021 14:09

Da's minder nuttig als er inmiddels een update is geweest natuurlijk.

Goldwing1973 @Noxious • 14 mei 2021 14:55

Dat zou je weer aan de bestandsnaam kunnen zien
En ja, die is makkelijk aan te passen om 'm op de laatste versie te laten lijken, maar dan klopt de MD5 weer niet

Generaal Pep @densoN • 14 mei 2021 09:58

Dan moeten 'Mipje' en ik dus nog wel beschikken over het .exe bestand die we x aantal maanden geleden hebben gebruikt voor het installeren van Afterburner??

Dergelijke bestanden verwijder ik natuurlijk altijd na installatie. Is het beter om dergelijke bestanden altijd te bewaren (als het antwoord op de vraag hierboven 'ja' is)?

Mopperman @Generaal Pep • 14 mei 2021 10:02

Je kan ook in je history de website bekijken waar je hem gedownload hebt

The malicious software is being unlawfully hosted on a suspicious website impersonating as MSI’s official website with the domain name https://afterburner-msi.space.

Generaal Pep @Mopperman • 14 mei 2021 10:21

Wat als je je geschiedenis, cookies en downloads met enige regelmaat leeg maakt? Hetgeen dat ik dus doe... Dan ben ik out-of-options zeker?

Mopperman @Generaal Pep • 14 mei 2021 10:28

Nee hoor.

In principe heb je alleen risico als je "MSI Afterburner" gaat zoeken in google of welke zoekmachine dan ook.

Als je dat niet doet, en gewoon naar msi.com bent gegaan, dan is de kans gewoonweg 0 dat je hier tegenaan gelopen bent.

[Reactie gewijzigd door Mopperman op 24 juli 2024 14:56]

densoN @Generaal Pep • 14 mei 2021 10:28

Zelf plaats ik alle software die ik na een clean install op mijn desktop wil hebben op een 'software' folder in mijn OneDrive. Als je lokaal storage wil besparen kun je ervoor kiezen om deze folder enkel online te bewaren.

In dit geval denk ik niet dat je hiermee was geholpen, aangezien MSI AFAIK geen downloads archief aanbiedt. Je kunt de filehash dus nergens mee vergelijken. Mijn advies zou dan ook zijn om IceZero's advies op te volgen.

Generaal Pep @densoN • 14 mei 2021 10:30

Ik zie dat IceZero van de afdeling werkverschaffing is..... K zooi... Dan zal ik er weer aan moeten geloven...

TD-er

@Bor • 14 mei 2021 14:44

Je zou de exe van je geinstalleerde afterburner ook kunnen uploaden naar Jotti's virusscan: https://virusscan.jotti.org/
Tenminste als het virus in die exe zit en niet zelf rotzooi binnenhaalt op de achtergrond om zo schoon te blijven/lijken

.oisyn Moderator Devschuur® @Mipje • 14 mei 2021 09:53

Laat ik nou net in deze periode een nieuwe pc gebouwd hebben en msi afterburner geïnstalleerd

Over welke periode heb je het dan? Ik zoek me een ongeluk maar ik vind nergens informatie over hoe lang deze dan online stond. Ik heb die van mij op 2 april gedownload namelijk. Zo te zien wel direct van download.msi.com.

Tomghzel @.oisyn • 14 mei 2021 10:11

Dan is er niets aan de hand.

jpsch @Mipje • 14 mei 2021 09:35

Kun je 't installatie bestand niet vergelijken met de officiële van MSI?

phytorank @Mipje • 14 mei 2021 09:39

Het makkelijkste is denk ik om de sha1 of md5 van het bestand dat je gedownload hebt te vergelijken met de sha1 of md5 van de msi variant. Hier een link met wat meer info over wat het is en hoe het moet:

https://www.howtogeek.com...-how-do-i-check-them/amp/

Generaal Pep @phytorank • 14 mei 2021 09:55

Dankjewel. Als ik het goed begrijp moet ik dan nog wel beschikken over de .exe die ik x aantal maanden geleden heb gedownload? Die verwijder ik natuurlijk na installatie...

Mopperman @Mipje • 14 mei 2021 09:42

Als je hem via de officiële web site hebt gedownload is er niets aan de hand.

Deze werd op een andere website gehost volgens de notificatie van MSI zelf:

The malicious software is being unlawfully hosted on a suspicious website impersonating as MSI’s official website with the domain name https://afterburner-msi.space.

Adres kan je natuurlijk in je geschiedenis bekijken.

Verwijderd @Mipje • 14 mei 2021 09:53

In je history kijken of in je downloadshistory. Daar staat wss de site in waar je hem hebt gedownload.
Anders de file even uploaden naar virustotal. Dan heb je mee de hashes en de scanresultaten.

Als je die allemaal niet hebt, zou ik een aantal second opinion antivirus scanners gebruiken.

100% waterdicht zijn antivirus scanners ook niet, dus bij infectie zou ik altijd volledige scan doen omdat een infectie vaak andere zaken achteraf bij installeerd.

pretpik @Mipje • 14 mei 2021 11:18

Als je hem dus van https://afterburner-msi.space hebt gedownload zou ik me zorgen maken.

sspiff @Mipje • 14 mei 2021 13:55

Als ik het goed heb, is dit enkel voor versies die je van andere sites dan die van MSI zou gehaald hebben?

Als je gewoon van de officiele MSI website gedownload hebt, is er geen probleem.

IceZero @Mipje • 14 mei 2021 09:35

Wil je het 100% zeker weten? installeer je systeem opnieuw.

Alxndr

@IceZero • 14 mei 2021 09:57

Precies dat, ik weet niet hoe groot de kans is dat antivirus/antimalware software precies deze trojans, malware of keyloggers allemaal vindt.

Fancyland 14 mei 2021 10:05

Ik snap wel dat mensen hier in trappen. De site van MSI zelf is super bagger en het lukt me dan regelmatig niet om afterburner te downloaden en moet ik altijd online verder zoeken. Tegenwoordig haal ik 'm dan bij Guru3d. Ik zal straks eens de hash vergelijken, maar Guru lijkt me betrouwbaar.

[update]
Guru3d hash komt overeen met die van de MSI site zelf.

[Reactie gewijzigd door Fancyland op 24 juli 2024 14:56]

Luxicon @Fancyland • 14 mei 2021 12:05

Het kan aan mij liggen maar als ik MSI Afterburner via Google intyp, is de bovenste suggestie rechtstreeks de pagina om van te downloaden.

Shodan @Luxicon • 14 mei 2021 20:20

Ja maar laatst kon ik hem daar dus ook niet van downloaden. De download knop werkte niet. Ik heb hem toen ook van guru3d gehaald.

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@Fancyland • 14 mei 2021 12:31

[update]
Guru3d hash komt overeen met die van de MSI site zelf.

Om zekerheid te krijgen dien je de versies te vergelijken zoals deze er stonden ten tijde dat de malware werd aangeboden. Deze kunnen immers vervangen zijn door de versies die je nu aan het controleren bent.

hdgaming 14 mei 2021 10:19

Als ik in mijn download geschiedenis kijk, en ik klik rechtermuis op het bestand wat ik toen gedownload had, en doe copy link en plak deze in een browser dan gaat deze naar https://download.msi.com/...terburnersetup.zip?_token en dan een hele rits aan getallen.

Als ik enter doe dan kom ik daarna uit op https://www.msi.com/Landing/afterburner/graphics-cards

Is dit de goede versie geweest? Dit was allemaal op 21 april.

[Reactie gewijzigd door hdgaming op 24 juli 2024 14:56]

Verwijderd @hdgaming • 14 mei 2021 11:15

Aangezien je m van msi.com hebt gehaald lijkt mij niet zo veel aan de hand.

Bryanr038 @hdgaming • 14 mei 2021 13:04

Dan is er idd niks aan de hand. Je komt namelijk gewoon op de officiele pagina uit. Als het die malefide versie was geweest kwam jje wss op die offline gehaalde website. :-)

JWL92 14 mei 2021 10:26

https://www.youtube.com/watch?v=VDbv7zixooA
gamersnexus melde al 2 dagen geleden over de valse download in deze video.

T gaat om meer dan enkel afterburner

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@JWL92 • 14 mei 2021 10:38

Dan is het handig om de andere software ook te noemen. In de notes bij de video worden MSI’s Dragon Center & Afterburner genoemd.

In a new chain of tweets from malware advertising researcher ConfiantIntel on twitter, we’ve learned of malicious lookalike software spoofing MSI’s Dragon Center & Afterburner. Misleading URLs are being used that, to anyone familiar, should look sketchy and hopefully reduce the likelihood of being clicked. In short, if it’s not explicitly “msi.com” and it has some other hyphenated phrase or odd TLD (like .io), then don’t click on it.

The trouble, though, is that fake Dragon Center and Afterburner software is being run in advertisements. ConfiantIntel wrote on twitter:

“Users are redirected to a chain of fake MSI themed websites [GN: Redacted websites], offering users to download MSI dragon center and MSI afterburner. The download links are pointing to a malware (discussed below) hosted in @discord again! The discord CDN servers are heavily used to host malware, targeting large number of users [...] it is a new variant RedLine Infostealer, with additional features.”

“This variant was configured to steal cold Crypto Currency Wallets like Electrum, Exodus, Jaxx, etc.. VPN profiles, and it came with an new Remote Task command ‘cmd’ allowing backdoor access and executing further commands on the hosts/hands-on keyboard attacks.”

[Reactie gewijzigd door Bor op 24 juli 2024 14:56]

Theone098 14 mei 2021 09:35

Als je het via de MSI site hebt gedownload, is er niets aan de hand. Helaas heb ik verder ook geen info.

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@Theone098 • 14 mei 2021 09:38

Het probleem in deze is dat de site waar de malware versie werd aangeboden zo is gemaakt dat deze op de officiele MSI site leek. Het is verstandiger om de installer daadwerkelijk te controleren door bv hashes te vergelijken.

.oisyn Moderator Devschuur® @Bor • 14 mei 2021 09:55

In plaats van uit te gaan van uiterlijk kun je natuurlijk ook even gewoon in je browser kijken wat het exacte adres was. Maar idd, hashes vergelijken kan nooit kwaad, probleem is echter dat ik zo snel geen gepubliceerde hashes zie.

itlee 14 mei 2021 09:37

als je op de MSI site zit en je twijfelt altijd even naar het https certificaat kijken. weet je of je goed zit.

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@itlee • 14 mei 2021 09:47

Dat is op zich een goede tip echter zijn de malafide sites al offline, mensen die wat gedownload hebben kunnen hier nu weinig mee.

SleutelMan

14 mei 2021 09:35

Nu zal de gemiddelde gebruiker daar vermoedelijk niet naar kijken, maar was de malware versie ook voorzien van een Signature (code signing)? Afhankelijk van je beveiliginginstelling kan dat ook nog helpen (volgens mij was er een optie om alleen getekende software toe te staan). Indien de setting minder veilig is kan je het in theorie zien aan de naam van de uitgever (publisher) maar die UI weergave kan nog wel wat beter vind ik.

FlorisVN 14 mei 2021 09:35

ik draai op Afterburner 4.6.2, ong. 2 maanden geleden nog geïnstalleerd, hopelijk heb ik geen besmette versie draaien..

BlaDeKke 14 mei 2021 10:24

Ik download het steeds via guru3d.com, MSI heeft echt een brakke website. Ik weet 100% zeker dat ik niet die malafide versie draai.

Bor Coördinator Frontpage Admins / FP Powermod

Systeem- en netwerkutility's
Malware

@BlaDeKke • 14 mei 2021 10:37

Hoe weet je dat exact? Garantie dat er via sites van 3e partijen geen malafide versies worden aangeboden heb je niet. Dan komt het weer op hetzelfde neer als bij alle andere sites; hashes controleren.

BlaDeKke @Bor • 14 mei 2021 11:08

Omdat ik een reactie op tweakers zet heb ik mezelf verzekerd. Er staat DIE malafide versie in mijn zin.

Voor de rest ben ik niet zo paranoia dat ik alle hashes van elk gedownload bestand ga nakijken. En daarnaast, als ik nu 1 persoon op het internet vertrouw, dan is het Hilbert Hagedoorn wel.

Moest het een andere 3th party zijn dan had ik wel 2 keer uit men doppen gekeken.

[Reactie gewijzigd door BlaDeKke op 24 juli 2024 14:56]

NickyVDP 14 mei 2021 18:09

is het ook bekend of de guru3D download compromised was?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: