Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Simplejson - wersja 3.4.2 - infekcja?
#11
Coś nie mogę się zalogować na konto, dlatego będę pisał z tego Wink Właśnie sobie czytałem o tym całym minerze w repo Gai i to właśnie tam pojawiał się script.module.python.requests, jak wektor infekcji. Np. info ze strony ESETU By zobaczyć linki musisz się zalogować lub zarejestrować.
"This tells Kodi to download and install an add-on named script.module.python.requests, at version 2.16.0 or above. The script.module.python.requests add-on is served by the malicious repository only. It is a modification of the legitimate add-on script.module.requests, containing additional, malicious Python code.
That Python code downloads, as appropriate, a Windows or Linux binary, and executes it. This executable is a downloader that fetches and executes the final payload, an executable cryptominer. If the installation of the cryptominer is successful, the malicious Python code proceeds to a self-removal phase and deletes itself."


Też na stronce By zobaczyć linki musisz się zalogować lub zarejestrować. jest info "Python Requests (you should remove this)"

Także chyba są to pozostałości po tym całym coinminerze, gdzie wersja 2.16 w górę była zainfekowana. Ale właśnie wydało mi się to podejrzane.
Odpowiedz
REKLAMA:



#12
Napisałem do twórców repo Cherry w tym temacie. Zerkną. Natomiast wersja z repo cherry nie ma żadnych syfów....
"Mym sojusznikiem jest Moc, i potężnym sojusznikiem ona jest." -- Mistrz Yoda
Odpowiedz
#13
Jedyna rzecz nie daje mi spokoju. Wszędzie, gdzie czytam, script.module.python.requests pojawia się tylko w kontekście malware, nie znalazłem żadnej informacji, jakoby wyżej wymieniony był wykorzystywany do czegoś innego niż pobranie minera oraz podszycie się pod oryginalny addon script.module.requests by kennethreitz. 

Wydaje mi się po prostu, że ten nieszczęsny script.module.python.requests pozostał w repo CHERRY przez najwidoczniej przeoczenie, ale sam nie może się aktywować, ponieważ w repo CHERRY script.module.simplejson jest już w wersji 3.4.2, a tylko wersja 3.4.1 mogła aktywować script.module.python.requests by ten pobrał minera.


To tylko moje przypuszczenia, @Tomek mówi, że script.module.python.requests jest czysty, co mogłoby świadczyć o tym, że infekcja minerem nie jest już możliwa.


Jak mówię, to takie moje luźne gdybania i przypuszczenia na ten temat.
Odpowiedz
#14
Podejrzewam że w repo cherry zostało to jako śmieć z jakiejś wtyczki.
"Mym sojusznikiem jest Moc, i potężnym sojusznikiem ona jest." -- Mistrz Yoda
Odpowiedz
#15
(06-12-2019, 07:39 AM)Tomek napisał(a): Podejrzewam że w repo cherry zostało to jako śmieć z jakiejś wtyczki.

Dokładnie, choć sam skrypt był czysty. Dodatków jest sporo a nikt wcześniej nie zwrócił na niego uwagi. Został usunięty a temat można zamknąć.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości