Warnung bzw. an die Leserschaft, die schon mal auf Tools wie CPUID, HWMonitor, CPU-Z etc. zugreifen. Die Webseite, auf denen diese Tools gehostet und zum Download angeboten wurden, ist mutmaßlich einem Hack zum Opfer gefallen. Es wurde/wird in Folge dieses Hacks Malware beim Download vom Webserver bereitgestellt. Wer also kürzlich Tools wie CPUID, HWMonitor, CPU-Z etc. aus dem Internet von der Seite herunter geladen hat, könnte Malware auf dem Windows-System haben.
Die Information ist mir heute morgen auf X über folgenden Tweet erstmals untergekommen. Es gibt aber noch diesen Kommentar (danke dafür), der auf die reddit.com-Seite PSA: CPU-Z und HW Monitor kompromittiert verweist.
Die Kurzfassung: Es trudeln immer mehr Meldungen ein, die über infizierte Installer für CPU-Z, CPUID, HWMonitor etc. berichten. Es müsste sich um Downloads von der offiziellen Webseite www[.]cpuid[.]com oder cpuid-dot-com handeln (sicher bin ich nicht).
Erste Meldung auf reddit.com und von IgorsLab
Es sieht so aus, dass die erste Meldung WARNING! HWMonitor 1.63 Download on the official "cpuid" page is a Virus!!! auf reddit.com erschien. Igor Wallossek hat heute morgen, kurz vor 6 Uhr bereits die Warnung Warnung: CPUID unter Virus-Verdacht, verdächtige HWMonitor-Downloads sorgen für Alarm mit vielen Details auf IgorsLab veröffentlicht. Ich habe die die Kernpunkte mal nachfolgend zusammen getragen.
- Auf der CPUID-Seite wird HWMonitor 1.63 als aktuelle Version vom 3. April 2026 für Windows x86/x64 geführt.
- Der Link zum Download der Setup-Installer-Datei führt zu einer separaten CPUID-Downloadseite, die meldet, dass die Datei hwmonitor_1.63.exe bereit sei.
- Manche Nutzer bekommen dann eine Datei HWiNFO_Monitor_Setup.exe zum Download angeboten (die ist mit einem Trojaner verseucht).
Generell ist die Download-Seite sehr werbelastig realisiert – und der Download-Link für HWMonitor 1.63 scheint auf eine Werbeseite zu führen. Was da am Ende des Tages ausgeliefert wird, kann alles mögliche sein.
Analyse von vx-underground
Seit dem heutigen 10. April 2026 gibt es Meldungen, u.a. auf reddit.com, dass Nutzer beim Download statt der Datei hwmonitor_1.63.exe eine Datei HWiNFO_Monitor_Setup.exe erhalten haben. Dieser Installer scheint aber mit Malware verseucht zu sein.
Der Kanal vx-underground auf X meldet in obigem Tweet, dass die Behauptung von Chris Titus Tech, dass HWInfo und CPU-Z kompromittiert seien, korrekt ist. Die Webseite cpuid-dot-com verbreite derzeit wohl tatsächlich Malware.
vx-underground hat sich das näher angesehen und stellte fest, dass es sich hierbei nicht um gewöhnliche, alltägliche Malware handelt. Diese Malware sei stark trojanisiert, und werde über eine kompromittierte Domain (cpuid-dot-com) verbreitet. Die Malware führe Dateimaskierung durch, sei mehrstufig, arbeitet (fast) vollständig im Speicher und nutze einige interessante Methoden, um EDRs und/oder AVs zu umgehen, wie beispielsweise das Proxying von NTDLL-Funktionalität aus einer .NET-Assembly.
Die in einer der Binärdateien vorhandene C2-Domain sei ein eindeutiger IoC. Es handele sich um dieselbe Bedrohungsgruppe, die Anfang März 2026 sich mit ihrer Malware als FileZilla getarnt hat. Man muss also entweder von einem Hack der Webseite oder von einem Lieferkettenangriff ausgehen. Wer Software von der Domain (cpuid-dot-com) heruntergeladen hat, ist möglicherweise infiziert.
Vieles aber noch unklar
Ich habe auch mal versucht, den Download nachzuvollziehen – wurde mir die erwartete Datei hwmonitor_1.63.exe angeboten, die von Virustotal auch als sauber gemeldet wurde. Ich habe aber auf keine der Werbeanzeigen geklickt und das Werbe-Popup geschlossen. Möglicherweise liegt dort der Hase begraben, dass da Popups die Leute sporadisch zu einem schädlichen Download leiten.
Ich habe die Webseite und die Download-Links ebenfalls auf virustotal.com prüfen lassen. Es wurden mir keine Funde auf der Webseite angezeigt.
Etwas stutzig macht mich obiger Tweet, der einen Screenshot des Installers mit kyrillischen Zeichen zeigt. So etwas müsste deutschsprachigen Nutzern eigentlich sofort auffallen. Mein Fazit: Es deutet sich an, dass da etwas nicht koscher ist und ggf. ein ausgefeilter Lieferkettenangriff stattgefunden hat. Also Finger weg von diesen Downloads, und wer innerhalb der letzten 24 Stunden Tools von der Seite heruntergeladen hat, sollte davon ausgehen, dass er sich möglicherweise einen Schädling auf das System geholt haben könnte.
Ähnliche Artikel:
Kompromittierte axios npm-Pakete verbreiten Schadsoftware
Python-Paket mit 96 Millionen Downloads über simplen Befehl infiziert; 500.000 Anmeldedaten abgezogen?
Databricks mutmaßlich Opfer des TeamPCP LiteLLM-Lieferkettenangriffs
Cybervorfälle und Schwachstellen (April 2026): Sportradar AG, Adobe, Gambio-Onlineshops etc.
Absturz oder Kernschmelze: Cisco Source Code gestohlen; Anthropic Claude Code geleakt; ChatGPT-Schwachstelle etc.
MVP: 2013 – 2016
Interessanter Beitrag. Danke für die Info!
hwmonitor_1.63.exe und die zip scheinen sauber, jedenfalls meldet VT und Jotti nichts. Habe die Dateien mal bei Cuckoo hochgeladen.
https://malwr.ee/analysis/7513991/summary/
https://malwr.ee/analysis/7513992/summary/
Heute morgen zeigte der Link auf der Seite für die jeweils aktuelle CPU-Z und hwmonitor Version auf eine externe andere Downloadquelle
Wir brauchen dringend ein besseres Internet…
Wir brauchen Menschen, denen rechtsclick und manuelles prüfen einer Digitalen Signatur nicht "zu viel Arbeit" ist.
Wenn eine Downloadseite kompromittiert wurde, wieso sollte das nicht auch für die Webseite gelten, auf der der Hash aufgelistet ist? Was also soll das prüfen der Digitalen Signatur genau bringen?
Das ist prinzipiell gemeint und nicht auf den konkreten Fall bezogen.
Die infizierte Datei HWiNFO_Monitor_Setup.exe hat gar keine Signatur.
Das würde also auffallen, wenn man versucht, sich die Signatur mit Rechtsklick anzeigen zu lassen.
Steht bei der Signatur "CPUID", dann ist es ok, steht da eine andere Signatur oder fehlt die Signatur, dann ist es nicht ok.
Wir brauchen Systeme, Dur nicht saudumm nach Dateiendung irgendwas ausführen.
Oh, wait….
Ok und die letzten Lieferkettenangriffe waren was ? Oh wait… Opensource und Linux Malware.
Bei einem DAU ist es vollkommen egal was für ein OS er nutzt! ein DAU ist unpatchbar!
Der Link zur infizierten Datei HWiNFO_Monitor_Setup.exe steht auf folgender Webseite (dort nach ".r2." suchen):
*ttps://bazaar.abuse.ch/sample/eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f
Auf den selben Link (".r2.") hat die CPUInfo-Seite vor ein paar Stunden verlinkt. Die Ursache ist bisher unbekannt.
Dieser Link zur infizierten Exe wird bei mir allerdings vom Cloudflare-Malware-Schutz (DNS-Server 1.1.1.2 bzw über entsprechende Einträge im "Technitium DNS Server") im Browser und im JDownloader blockiert, man kann den Schutz aber umgehen und trotzdem runterladen.
Diese infizierte exe ist nicht signiert und enthält als Dateiversion "0.0.0.0".
Produktversion ist allerdings "1.63", also passend zu HW-Monitor.
Produktinfo: "HWiNFO Monitor"
Die sauberen Dateien sind hingegen mit einem Zertifikat von "CPUID" signiert.
Die infizierte exe habe ich im Applocker mittels Dateihash blockiert.
Dann kann sie nicht gestartet werden, selbst wenn sie von einer anderen Webseite unter einem anderen Namen runtergeladen wurde.
Die aktuellen Microsoft Defender Signaturen erkennen diese infizierte exe bei mir NICHT als Bedrohung! (Defender Signatur Version 1.449.24.0 vom 2026-04-10 – 08:30).
Da muss Microsoft zügig nachbessern.
SmartScreen ist bei mir aus.
Analyse der infizierten Datei in einer Sandbox:
*ttps://app.any.run/tasks/0d31fcf4-ab8e-43ef-b874-0e95e0d06e62/
2.
CPU-Z 2.19 hat noch einen anderen Fehler, denn davon gibt es zwei saubere Varianten mit der selben Versionsnummer.
Die aktuell zum Download angebotenen CPU-Z exe und ZIP mit Datum 16.3.2026 wurden verändert im Vergleich zu den Dateien mit der selben aktuellen Versionsnummer 2.19 vom 13.3.2026.
Änderung im CPUZ_readme.txt:
– Fix AMD Ryzen 5 5500U (Lucienne) reported as 7350U (Cezanne).
Es gab also eine gewollte Änderung bzw Ergänzung, unabhängig von einer Infizierung und ohne die Version anzuheben.
Die nicht erfolgte Versionsänderung trotz Fähigkeitsänderung ist ein unnötiger Fehler, denn bei jeder gewollten inhaltlichen Änderung sollte auch die Versionsnummer erhöht werden.
WinGet holt die saubere neueste Version von CPU-Z 2.19 vom 16.3.2026 und prüft mittels sha256:
*ttps://github.com/microsoft/winget-pkgs/blob/master/manifests/c/CPUID/CPU-Z/2.19/CPUID.CPU-Z.installer.yaml
Mir ist schon häufiger aufgefallen, dass es von CPU-Z aktualisierte Versionen ohne Änderung der Versionsnummer gibt.
Der Besitzer von CPUID schrieb vorher, dass er vom 7.April bis 29.April weg sei:
"I'll be out of office from April 7th to April 29th. In case of emergency, please contact Samuel D."
*ttps://www.reddit.com/r/pcmasterrace/comments/1sh4zuk/comment/ofbkqb7/
Die Angreifer haben vermutlich gezielt seine Abwesenheit abgewartet und ausgenutzt.
Wenn die Schadsoftware tatsächlich durch ein Popup oder eine Werbung zum Download angeboten wird,
ist die wiedermal der Beweis dafür, dass man ohne Werbeblocker nicht Online sein sollte.
Früher wurden die Benutzer von Pi Hole, uBlock oder Ghostery oder ähnlichen noch belächelt und es hieß, man braucht dies nur für Warez Seiten.
Mittlerweile sollte jedem klar sein, dass man sich auch auf "Normalen" Seiten Schadsoftware einfangen kann.
Adblocker sind reiner Selbstschutz… die gehen hier erst off wenn:
jeder Sitebetreiber und Werbebetreiber vollumfänglich für Schäden plus Folgeschäden haftet die durch verseuchte Werbung entsteht! Und das auf dem Kleinen Dienstweg bei der Staatsanwaltschaft, nicht erst durch zig Instanzen!
Dann und nur dann können wir anfangen darüber zu diskutieren den Adblocker zu deaktivieren.
Ein Bekannter hat neulich seine ganze Firma rebellisch gemacht, weil ihn ein Werbe-Popup verstört hat, das als Malware-Warnung daherkam. Und da die Firma vor nicht allzu langer Zeit Opfer eines schweren Ransomware-Angriffs geworden war, nahm man das sehr sehr ernst und verbot ihm bis auf weiteres, seinen Rechner nochmal einzuschalten. Im Nachhinein stellte sich heraus, dass – noch – nichts passiert war (er hätte dazu gebracht werden sollen, jemandem Fernzugriff zu erlauben, was er zum Glück nicht gemacht hat).
Mit einem Werbeblocker wäre allen viel Aufregung und ein tatsächliches Risiko erspart geblieben.
In diesem aktuellen Fall hatte es nichts mit Werbung oder Popup zu tun.
Es wurden noch mehr Dateien auf den Malware-Server umgeleitet, zum Beispiel PerfMonitor und PowerMax:
*ttps://pastebin.com/UBK6zesF
2.
Die Wayback-Machine hat eine Kopie der umgebogenen Links auf der Webseite:
*ttps://web.archive.org/web/20260409172544/https://www.cpuid.com/softwares/hwmonitor.html
Der Setup-Link geht zur infizierten HWiNFO_Monitor_Setup.exe.
Allerdings nicht über den "*.r2.*" Link und nicht über CPUID[.]com, sondern über
transitopalermo[.]com
sauberer Link:
*ttps://cpuid.com/downloads/hwmonitor/hwmonitor_1.63.exe
infizierter Link (nicht ausführen!!!):
*ttps://transitopalermo.com/config/hwmonitor/HWiNFO_Monitor_Setup[.]exe
Demnach ist transitopalermo[.]com also auch mit Malware vollgestopft.
Dieser "*.r2.*" Link gehört zu Cloudflare, Objektspeicher R2.
3.
Der vom Besitzer von CPUID als Emergency-Kontakt angegebene "Samuel D." ist der User "Doc_TB" auf Reddit und dieser hat die falschen Links repariert.
Er hatte zuvor die Nacht über an MemTest86+ programmiert und danach geschlafen, so dass er nicht sofort reagieren konnte.
*ttps://old.reddit.com/r/pcmasterrace/comments/1sh4e5l/warning_hwmonitor_163_download_on_the_official/ofc30qo/
Er schreibt, dass die Links für ca 6 Stunden umgebogen waren:
"The links have been compromised for a bit more than 6 hours between 09/04 and 10/04 GMT"
*ttps://old.reddit.com/r/pcmasterrace/comments/1sh4e5l/warning_hwmonitor_163_download_on_the_official/ofccgms/
"I found the biggest breach, restored the links and put everything in read-only until more investigation is done"
*ttps://old.reddit.com/r/pcmasterrace/comments/1sh4e5l/warning_hwmonitor_163_download_on_the_official/ofcbw0m/
Ergänzung zu Punkt 2:
CPU-Z, Wayback-Machine:
*ttp://web.archive.org/web/20260410060948/https://www.cpuid.com/softwares/cpu-z.html
Die beiden ZIP Links wurden umgebogen auf Cloudflare R2 Redirect URLs, Objektspeicher R2:
Achtung, NICHT ausführen!!!
*ttps://pub-fd67c956bf8548b7b2cc23bb3774ff0c[.]r2[.]dev/cpu-z_2.19-en.zip
Der URL-Teil vor dem ".r2." kann variieren, rotieren zwischen den 3 folgenden:
pub-f3252d8370f34f0d9f3b3c427d3ac33c
pub-fd67c956bf8548b7b2cc23bb3774ff0c
pub-45c2577dbd174292a02137c18e7b1b5a
Cloudflare hat diese Dateien also auf mindestens 3 verschiedenen Server gespeichert und mittels Load-Balancer wird der jeweils günstigste ausgewählt.
Quelle:
*ttps://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84
korrekt wäre:
*ttps://cpuid.com/downloads/cpu-z/cpu-z_2.19-en.exe
Weil hier FileZilla erwähnt wurde:
Es gibt jetzt eine neue Version 3.70.0:
*ttps://filezilla-project.org/download.php?show_all=1
Wenn man allerdings die Checksummen der runtergeladenen exe und zip vergleicht mit den Angaben in der Checksums Datei FileZilla_3.70.0.1.sha512 dann passen diese Checksummen nicht.
Normalerweise darf man also diese Downloads dann nicht verwenden.
Was also machen?
wie du sagst nicht verwenden bis das geklärt ist! Kein Wenn und aber!
Man kann ja beim Programierer anfragen und wenn der ne saubere Erklärung dafür hat… alles andere ist grob fahrlässig. Wenn du dazu in der Lage bist selbst reviewen ;-P
Bei FileZilla 3.69.6 stimmen die Checksummen noch.
Also benutze ich solange diese Version weiter.