{"id":179988,"date":"2016-08-03T22:34:37","date_gmt":"2016-08-03T20:34:37","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=179988"},"modified":"2016-08-04T18:19:05","modified_gmt":"2016-08-04T16:19:05","slug":"kompromittierter-fosshub-classic-shell-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/08\/03\/kompromittierter-fosshub-classic-shell-infiziert\/","title":{"rendered":"Kompromittierter FossHub – Classic Shell infiziert"},"content":{"rendered":"

Heute noch eine aktuelle Warnung: Die OpenSource-Download-Plattform FossHub ist wohl gehackt worden. Der verwendete Installer ist kompromittiert und verteilt Malware. Betrifft auch die Classic Shell-Startmen\u00fc-Ersatzl\u00f6sung. Update:<\/strong> Ich habe noch ein paar Informationen nachgetragen.<\/p>\n

<\/p>\n

\"\"Vor wenigen Tagen gab es ein Update der Startmen\u00fc-Ersatzl\u00f6sung Classic Shell auf Version 4.3.0 \u2013 die Leute bei deskmodder.de berichteten hier<\/a>. W\u00e4re eine M\u00f6glichkeit, das Windows 10-Startmen\u00fc zu ersetzen.<\/p>\n

Momentan muss man aber sagen: Finger weg von Classic Shell und jeglicher Software, die \u00fcber FossHub verteilt wird. Wie heise.de hier berichtet<\/a> (deskmodder.de hat es hier<\/a>) ist die Plattform von einer Gruppe namens Pegglecrew gehackt worden. Die Kriminellen machen sich wohl den Start des Windows 10 Anniversary Update zunutze, wo viele Anwender die Classic Shell installieren.<\/p>\n


\n(Quelle: Reddit.com)<\/p>\n

Die Kriminellen sind beim Hack recht raffiniert vorgegangen und haben den Installer f\u00fcr die Software ausgetauscht.\u00a0Die Installer vieler OpenSource-Pakete, die von FossHub verteilt werden (bzw. in den vergangenen Tagen verteilt wurden), ist kompromittiert. Der Installer enth\u00e4lt Malware in Form eines Bootladers.<\/p>\n

Da der Installer zum Einrichten der Software administrative Berechtigungen erfordert, kann dieser den Bootlader mit einem Rootkit ersetzen. Dieser Bootlader produziert beim n\u00e4chsten Neustart des Systems die in obigem Foto gezeigte Meldung.<\/p>\n

Nur BIOS-Systeme mit MBR-Festplatten-Partitionen betroffen<\/h3>\n

Wenn ich die Meldung bei heise.de richtig interpretiere, wird der Master Boot Record (MBR) \u00fcberschrieben. Es sind also nur \u00e4ltere Systeme mit BIOS betroffen. Die neueren UEFI-Systeme verwenden ja einen EFI-Loader und keinen MBR-Boot-Record. Zudem kommt dort Secure Boot zum Einsatz, welches das Booten eines modifizierten EFI-Loaders verhindert.<\/p>\n

MBR reparieren<\/h3>\n

Wenn man ein Notfallsystem mit Windows RE (Systemreparaturdatentr\u00e4ger als DVD oder Wiederherstellungslaufwerk als USB-Stick) besitzt, l\u00e4sst sich die Maschine mit diesem Medium booten. Dann geht man in das Fenster der Eingabeaufforderung und gibt folgende Befehle ein:<\/p>\n

Bootrec.exe \/FixMbr
\nBootrec.exe \/FixBoot<\/em><\/p>\n

Diese schreiben den Boot-Record neu. Wichtig ist dabei darauf zu achten, dass das Rettungssystem zur installierten Windows-Version passt (also Windows 7 SP1 braucht auch ein Rettungsmedium, welches damit erstellt wurde). Zur Not tut es auch ein Installationsdatentr\u00e4ger f\u00fcr die installierte Windows-Version. Wenn man mit dieser bootet, kann man im Setup \u00fcber Computerreparaturoptionen<\/em> in Windows PE gehen und die Eingabeaufforderung aufrufen. Hinweise finden sich in folgender Linkliste.<\/p>\n

Achtung: Das Problem bei diesem Ansatz ist, dass niemand wei\u00df, ob das System nicht manipuliert und andere Dateien \u00fcberschrieben wurden. Das System ist also kompromittiert. Also Daten sichern und ein sauberes Backup einspielen oder das System neue aufsetzen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nTipp: In Windows PE booten, wenn die DVD nicht starten will
\n<\/a>Notfallhilfe mit Windows PE, falls Windows 8 nicht startet
\n<\/a>Windows PE: Reparaturdatentr\u00e4ger erstellen<\/a> Teil 1
\n<\/a>Windows PE: Diese Programme sind verf\u00fcgbar<\/a> Teil 2
\n<\/a>Wiederherstellungslaufwerk mit Win RE erstellen<\/a> Teil 3
\n<\/a>Windows PE 4.0: Diese Programme laufen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch eine aktuelle Warnung: Die OpenSource-Download-Plattform FossHub ist wohl gehackt worden. Der verwendete Installer ist kompromittiert und verteilt Malware. Betrifft auch die Classic Shell-Startmen\u00fc-Ersatzl\u00f6sung. Update: Ich habe noch ein paar Informationen nachgetragen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[1982,5208,4328],"class_list":["post-179988","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-classic-shell","tag-fosshub","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/179988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=179988"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/179988\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=179988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=179988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=179988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}