Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Simplejson - wersja 3.4.2 - infekcja?
#11
Coś nie mogę się zalogować na konto, dlatego będę pisał z tego Wink Właśnie sobie czytałem o tym całym minerze w repo Gai i to właśnie tam pojawiał się script.module.python.requests, jak wektor infekcji. Np. info ze strony ESETU By zobaczyć linki musisz się zalogować lub zarejestrować.
"This tells Kodi to download and install an add-on named script.module.python.requests, at version 2.16.0 or above. The script.module.python.requests add-on is served by the malicious repository only. It is a modification of the legitimate add-on script.module.requests, containing additional, malicious Python code.
That Python code downloads, as appropriate, a Windows or Linux binary, and executes it. This executable is a downloader that fetches and executes the final payload, an executable cryptominer. If the installation of the cryptominer is successful, the malicious Python code proceeds to a self-removal phase and deletes itself."


Też na stronce By zobaczyć linki musisz się zalogować lub zarejestrować. jest info "Python Requests (you should remove this)"

Także chyba są to pozostałości po tym całym coinminerze, gdzie wersja 2.16 w górę była zainfekowana. Ale właśnie wydało mi się to podejrzane.
Odpowiedz
REKLAMA:



#12
Napisałem do twórców repo Cherry w tym temacie. Zerkną. Natomiast wersja z repo cherry nie ma żadnych syfów....
"Mym sojusznikiem jest Moc, i potężnym sojusznikiem ona jest." -- Mistrz Yoda

Ze względu na prośbę jednego z Junior Member: nie odpowiadam na PW
Odpowiedz
#13
Jedyna rzecz nie daje mi spokoju. Wszędzie, gdzie czytam, script.module.python.requests pojawia się tylko w kontekście malware, nie znalazłem żadnej informacji, jakoby wyżej wymieniony był wykorzystywany do czegoś innego niż pobranie minera oraz podszycie się pod oryginalny addon script.module.requests by kennethreitz. 

Wydaje mi się po prostu, że ten nieszczęsny script.module.python.requests pozostał w repo CHERRY przez najwidoczniej przeoczenie, ale sam nie może się aktywować, ponieważ w repo CHERRY script.module.simplejson jest już w wersji 3.4.2, a tylko wersja 3.4.1 mogła aktywować script.module.python.requests by ten pobrał minera.


To tylko moje przypuszczenia, @Tomek mówi, że script.module.python.requests jest czysty, co mogłoby świadczyć o tym, że infekcja minerem nie jest już możliwa.


Jak mówię, to takie moje luźne gdybania i przypuszczenia na ten temat.
Odpowiedz
#14
Podejrzewam że w repo cherry zostało to jako śmieć z jakiejś wtyczki.
"Mym sojusznikiem jest Moc, i potężnym sojusznikiem ona jest." -- Mistrz Yoda

Ze względu na prośbę jednego z Junior Member: nie odpowiadam na PW
Odpowiedz
#15
(12-06-2019, 07:39 AM)Tomek napisał(a): Podejrzewam że w repo cherry zostało to jako śmieć z jakiejś wtyczki.

Dokładnie, choć sam skrypt był czysty. Dodatków jest sporo a nikt wcześniej nie zwrócił na niego uwagi. Został usunięty a temat można zamknąć.
Odpowiedz
#16
(16-06-2019, 06:36 PM)kodicherry napisał(a):
(12-06-2019, 07:39 AM)Tomek napisał(a): Podejrzewam że w repo cherry zostało to jako śmieć z jakiejś wtyczki.

Dokładnie, choć sam skrypt był czysty. Dodatków jest sporo a nikt wcześniej nie zwrócił na niego uwagi. Został usunięty a temat można zamknąć.

Przejrzałem sobie ten temat, czyli podsumowując: Repo było mimo wszystko czyste nawet wcześniej tak? Przed usunięciem tego śmiecia?
Odpowiedz
REKLAMA:



#17
Tak. Mówiłem o tym wcześniej - była inna wersja, czysta.
"Mym sojusznikiem jest Moc, i potężnym sojusznikiem ona jest." -- Mistrz Yoda

Ze względu na prośbę jednego z Junior Member: nie odpowiadam na PW
Odpowiedz
#18
(17-06-2019, 06:31 AM)Tomek napisał(a): Tak. Mówiłem o tym wcześniej - była inna wersja, czysta.

Ale ten dodatek script.module.python.requests chyba nigdy nie był czymś czystym, niezależnie od wersji  Undecided Tak przynajmniej wynika z tych linków na ten temat podanych w tym temacie.
Odpowiedz
#19
On był skopiowaną wersją oryginalnego. Najważniejsze że obecnie go nie ma, a jak był, to był nieinstalowalny i nieszkodliwy
"Mym sojusznikiem jest Moc, i potężnym sojusznikiem ona jest." -- Mistrz Yoda

Ze względu na prośbę jednego z Junior Member: nie odpowiadam na PW
Odpowiedz
#20
W repo cherry ten dodatek nigdy nie był używany z żadną wtyczką. Leżał poprostu w repo jako śmieć. Nie dało się go zainstalować ręcznie. Nie nakrecajcie się Big Grin Jak chcecie być bezpieczni to nie instalujcie żadnego repo tylko używajcie oficjalnego. Innej drogi nie ma Smile Każde zewnętrzne repo może wam wrzucić do komputera wszystko co tylko autor repo zechce

Wysłane z mojego Nokia 6.1 przy użyciu Tapatalka
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości