Türkei: Provider infiziert Downloads von VLC, 7-Zip & Co mit Spyware

Der größte türkische Internet-Provider hat offenbar in einer Vielzahl von Fällen Download-Anfragen seiner Kunden so verändert, dass sie statt legitimer, ungefährlicher Software mit Malware infizierte Dateien erhielten. Es ist das erste Mal, dass ein ... mehr... Trojaner, Schadsoftware, Ransomware, Erpressung, Petya Bildquelle: G Data Trojaner, Schadsoftware, Ransomware, Erpressung, Petya Trojaner, Schadsoftware, Ransomware, Erpressung, Petya G Data

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das passiert halt in diktatorischen Regimen.
 
@divStar:
... und Staatstrojaner in freien demokratischen...
 
@I.C.H.: na zumindest infizieren uns die ISPs (noch) nicht - weder mit dem Staatstrojaner noch mit eigener Malware (soweit man das beurteilen kann). Prinzipiell sind allerdings auch wir dagegen nicht geschützt.
 
@divStar: hat man dazu nicht eigentlich HTTPS und vor allem code signing? Wenn bspw beim 7 Zip installer die UAC nicht zeigt dass es durch Igor Pavlov signiert wurde sollte es offensichtlich sein, dass da was schief ist, zumindest denen die 7 zip schon öfter installiert haben
 
@My1: Und du meinst, dass ein durchschnittlicher User sowas merkt?
 
@Link: mMn sollte man sowas merken, oder windows sollte stärker darauf hinweisen.

dazu kommt aber dass standarmäßig smartscreen aktiv ist was das ding auch absägen könnte/sollte.

damals als flash und java noch nötig war habe ich den leuten denen ich helfe immer erklärt wenn flash oder java update in der UAC kommt soll da Abobe bzw Sun dazu stehen als verifizieerter herausgeber.

zum glück hatten die aber nie wirklich die notwendigkeit andere software zu installn.
 
@My1: eigentlich. Aber wie Link es richtig formuliert hat: der durchschnittliche Nutzer würde es nicht mitbekommen.
 
@My1: HTTPS ist nur leider schon lange nicht mehr sicher.
Eigentlich müsste jede Seite einen Fingerprint anzeigen den man dann prüfen kann.
 
@Paradise: naja um ein ccert zu bekommen muss man schon die domain kontrollieren.

wenn ich auf google gehe kommen 7-zip.de und 7-zip.org als erste treffer. beides die offiz. seiten, man muss schon an ne fakedomain kommen oder so oder aber um mit der echten adresse zu arbeiten muss der provider ne CA dazu bekommen ein fake-cert auszustellen, in der heutigen zeit gar nicht mal so einfach, denn dank CT fällt das auf, und die CA kann dicht machen.

@paradise fingerprint prüfen ist doof bei webseiten da du den print nicht im vorraus kennst. sinnvller wäre TLSA, da kann nämlich nur die registry der TLS und die ICANN ran.
 
@divStar: dann sollte windows darauf hinweisen, auch möglich wäre es dass windows für bekannte software sich merkt wer das code signing macht und wenn das nicht stimmt etwas mehr meckert oder eben smartscreen drauf loslässt
 
@My1: Denn fingerprint müssen die Seiten eben auf ihre Seite schreiben.
Facebook z.B. hat:
BD:25:8C:1F:62:A4:A6:D9:CF:7D:98:12:D2:2E:2F:F5:7E:84:FB:36

Aber es gibt wohl mittlerweile extended validation (EV) certificates.
Diese sind wohl spoof proof.
 
@Paradise: ja klar EVs sind spoof proof nur hast du bei 7 zip das problem dass der aber keine organisation ist, denn individuen bekommen keine EVs. dont ask me why, aber isso.

und während EVs zwar sicher gegen spielen am Truststore sind, ist mit der zusammenarbeit einer EV-CA es durchaus möglich dass fake certs ausgestellt werden.
 
@divStar: viele dieser beliebten dateien werden von den großen providern gecached...ohne das es der user merken könnte kommen die daten also nicht daher wo es der user vermutet...viele anbieter bieten desw schon checksummen ihrer downloads an...die kann man dann mit tools wie zb dem freecommander leicht prüfen...
 
@Rulf: und du meinst der durchschnittliche, insbesondere nicht-Technik-affiner Nutzer nutzt Freecommander oder weiß was Prüfsummen sind? Es wäre schon pures Glück wenn diese Nutzer schauen von wem das Programm ist wenn der UAC-Dialog aufploppt...
 
@Rulf: Ich benutze dafür HashCheck, das fügt einfach einen Tab in dem Eigenschaften-Fenster hinzu. Besteht nur aus einer einzigen etwa 100 KB großen DLL (bzw. zwei, eine für 32-Bit und eine für 64-Bit). Meiner Meinung nach sollte Windows von Haus aus so etwas mitführen, aber HashCheck integriert sich so gut, dass es direkt von Microsoft stammen könnte.
 
@adrianghc: Bei mir ist es HashTab von Implbits.
 
@divStar: Wäre schon Glück das Programm kommt von da wo es kommen soll.
Bei uns im Studio meinten sie GIMP installieren zu müssen.
Ich bekam also nen Anruf das nix mehr geht und sie sich was eingefangen hätten. Wie sich herausstelle wurde GIMP von irgendeiner Download-Seite runter geladen. Also wahrscheinlich das erste was Google brachte :D
 
@Paradise: Jup - da stimme ich dir zu. Leider passiert das wirklich oft. Deswegen sage ich meinen Freunden, die mich mal was fragen: ladet es von der Originalseite und achtet darauf was ihr zulasst. Funktioniert hin und wieder - aber nicht immer weil sich dann irgendwelche Toolbars oder irgendein Schrott-Anti-Virus installiert (McAffee zum Beispiel). Ätzend.
 
@divStar: Vielleicht wurde es ja auch nur noch nicht nachgewiesen ;-)
 
@I.C.H.: Nun, selbst in den schlimmsten freien demokratien geht einem Staatstrojaner nun mal ein untersuchungsbeschluss eines Richters vor.
 
@Alexmitter: Selten so gelacht XD. Als ob NSA, GCHC, oder BND sich auch nur irgendwie an irgendwelche Gesetze gebunden fühlen, die sie nicht selbst diktiert haben.....
 
@Speggn: Nun, all diese sind auslandsgeheimdienste, von einem anderen staat angegriffen zu werden, das kannst Du wohl tatsächlich nicht verhindern.
 
@Alexmitter: der BND ist ein Auslandsgeheimdienst, genau....o.O... NSA und GCHQ interessieren mich nicht so sehr. Denen gehts nur darum die Pfründe der Wirtschaft zu sichern. Dem BND allerdings traue ich Dinge zu, die sich höchstens noch der FSB trauen würde... Bei uns geht es mehr um Ideologie....
 
@Speggn: der bnd spioniert aber auch im auftrage für ausländische geheimdienste deutsche staatsbürger und ausländer auf deutschem staatsgebiet aus...das ist in mehreren untersuchungsausschüssen ans licht gekommmen...
eidt meinte noch: schon mal von geheimgerichten gehört?
 
@Rulf: Jupp, deren Urteile durch die Bank ungültig sind, da sie nicht im Namen des Volkes ergingen. Andererseits haben wir eine versteckte Autokratie, die über dem demokratischen System steht.... Die einzige Möglichkeit dagegen wäre sowas wie 1798 in Frankreich, nur in der gesamten westlichen Welt gleichzeitig. Wird nicht kommen, daher wird dieser Albtraum weitergehen....
 
@divStar: In demoktratischen regimes passiert das auch.
 
@pl4yboy_51: nenn mir einen ISP, der das so offensichtlich - also auffindbar und nachweisbar - macht. Und das nicht in Regimen, die sich als demokratisch verkaufen, es aber nicht sind (wie z.B. Russland), sondern sagen wir in Westeuropa bzw. Nordamerika.
 
@divStar: Das könnte einem hierzulande genauso passieren.
Schon zu meinen LINUX-Zeiten und als die Freaks immer über die angebliche Sicherheit
von LINUX & OSS predigten,fragte ich mich...und was wenn jemand tatsächlich ins
Fadenkreuz der Geheimdienste gerät und ein Patch beim Provider abgefangen/umgeleitet
und einem eine manipulierte Version zum Download untergeschoben wird...würde kein
Mensch merken(auch beim angeblich so sicheren LINUX nicht)

Darüber habe ich schon vor gut 15 Jahren sinniert...und wahrscheinlich ist das auch schon
längst gemacht worden.(ausser vielleicht bei der Lachnummertruppe des BND) Jetzt steht
es halt nur in den Medien. Aber überrascht kann man davon nicht wirklich sein.
 
@Selawi: der Unterschied ist, dass wir den Konjunktiv benutzen, um die Möglichkeit zu beschreiben, dass dies auch bei uns passieren kann.

Außerdem gibt es SSL genau dafür. Wenn man aber selbst SSL nicht vertrauen kann / will, sollte man seinen Rechner vielleicht vom Netz trennen und jeden Download penibel analysieren, bevor man den Inhalt auf den DMZ-Rechner lässt.

Der ISP war wohl recht plump, denn sonst wäre es ja nicht aufgefallen, oder? Und mir ist kein Fall davon in Europa / den USA bekannt, obwohl ich es natürlich ebenfalls für nicht unmöglich halte. Es geht um den ISP - nicht darum, dass man beim Softwarehersteller etwas forciert - und da ist mir kein Fall bekannt. Allerdings ist die Türkei auch kein demokratisches Land (falls es das jemals war).
 
Haha, Freunde des Erdogans und pro Erdogan Anhänger. Blutet für eure Naivität!
 
@tobi89: Die sehen das sicherlich immernoch positiv, immerhin gehts den Staatsfeinden damit an den Kragen, ihnen als ordentliche Anhänger/Bürger ja nicht (presumably). Und wenn sie doch mal selbst erwischt werden sollten, dann wird behauptet der Feind war's.

Nicht ganz trivial einmal gehirngewaschene in irgendeinerweise wieder zur Vernunft zu bewegen - egal ob es jetzt um Religion, Politik oder sonst was geht.
 
@monte: Geh auf Facebook in eine beliebige Diskussionsgruppe zum Thema Religion und du wirst staunen, wie Gehirn gewaschen man sein kann. ;-)
 
Dem diktatorischen Regime kann ich inzwischen alles zutrauen. Man schaue auf das völkerrechtswidrige Eingreifen in Syrien (Afrin), wo dutzende Zivilisten durch die türkische Armee in Zusammenarbeit mit radikale Islamisten ermordet werden. Von wegen Terror Bekämpfung.

Die wollen schön die Kurden dort auslöschen, damit die geflüchteten Syrer in der Türkei dorthin zurückkehren.
 
@_Moe_: Entweder Artikel übersehen oder du kannst schlicht und einfach nicht lesen. Ich helfe dir eben. Es geht um spyware seitens der türkei.
 
@pl4yboy_51: Und der ganze Rest ist faktisch nie passiert bzw. deiner Ansicht nach absolut vernachlässigbar, beim über die Türkei diskutieren ?
 
@DerTigga: Mit bisschen verstand muss es doch möglich sein ein Kommentar zum Artikel abzugeben. Der Inhalt sollte sich schon auf den Artikel beziehen! Den "minus gebern" unterstelle ich mal Defizite beim Denken.
 
@pl4yboy_51: Von mir haste kein minus gekriegt. Davon abgesehen finde ich solche Kommentare wie von Moe passend, im Punkt: das zu schildern, was sich die Türkei sonst noch so zu Schulden kommen lassen hat bzw. was zum von der News gezeichnetem Bild passt.
 
@_Moe_: klar und das die pkk hier moscheen und andere einrichten der türken anzündet findest du wohl gut
 
@yaginet: Nein, ich bin gegen jede Art von Gewalt und Unterdrückung. Ich verurteile so einen Angriff egal welche Herkunft, Religion oder Hautfarbe die Täter haben.
 
Leider steht im Artikel nicht, woher die Universität Toronto das so genau weiß und sogar die IP-Adressen der Opfer hat? Haben die irgendwo einen eigenen Router / Sniffer in der Türkei / Syrien am laufen worüber die Pakete laufen...? Oder kann man bei der Türk Telecom einfach mal so die Netzwerk-Log-Daten anfragen...?
 
@Zeussi: Was glaubst warum die Türkei ***.com.tr als Internetadresse hat. Die Türkei ist so eng mit den Amis verwoben.
 
@KhyrasStern: Bitte? Die Türkei hat als Topleveldomain .tr, lediglich für Unternehmen kann .com.tr, sofern es dem Unternehmensnamen oder einer Marke entspricht, reserviert werden, übrigens ganz im Gegenteil zur TLD .com, die inzwischen durch ziemlich jeden ohne weitere Prüfung registrierbar ist.
Com steht dabei übrigens für Commercial und hat auch schon seit gefühlten Ewigkeiten nichts mehr mit den USA am Hut, das war mal in den Anfangszeiten des Internets der Fall, ist aber schon mindestens seit diesem Jahrtausend nicht mehr so.
Als einzige Domains, die wirklich US-Only sind wäre .gov, also Government, und .mil, Military, zu nennen.
 
@Breaker: .edu ist bis auf einige vor 2001 vergebene Adressen ebenfalls US-only, siehe https://de.wikipedia.org/wiki/.edu
 
VLC ist ja auch so böse. damit kann man regimekritisches material betrachten!
 
@lazsniper2: Oder durch auf ausländische Stationen zugreifende Playlisten feststellen, von was das Staatsfernsehen Herrn Erdolf freigeschnitten hat..
 
Spyware gibt es seitens der NSA, BND und anderen einrichtungen massiv. Von daher ist Spionage absolut normal geworden. Unabhängig davon welche Regierungsform das land hat.
 
Und Winfuture selbst berichtet zwar, macht aber selbst nichts um die User zu schützen. Weiterhin weigert man sich, die Seite ordentlich mit HTTPS abzusichern. Noch immer kann man munter auch Downloads manipulieren, oder die Sessions von den Mitgliedern klauen.
 
@rAcHe kLoS: Zumindest der Login ist HTTPS
 
@Paradise: Nur der Login ist https - das ist so wie etwas schwanger, das funktioniert nicht. Niemand kommt in 2015 mehr auf die Idee, nur den LogIn via https abzusichern und den Rest nicht - oh wait 2015 ist schon wieder lange vorbei. Also gut. In 2017 kann niemand mehr das Argument Werbung nutzen, selbst die Werbetreibenden können inzwischen weitestgehend https - was war gleich noch die Ausrede von WF? Immerhin wurde seit letztem Jahr die TLS-Konfiguration auf den Stand 2016/Anfang 2017 gebracht. Mal sehen, wann WF in der Gegenwart ankommt.
 
@The_Xar: Man man man, es steht doch schon im Namen: Future und nicht Gegenwart...

:D
 
@Paradise: Also wenn man sich hier beim Kommentieren einloggt, sagt der Firefox, das die Verbindung nicht sicher ist und die Zugangsdaten in falsche Hände geraten könnten. Schon traurig das Winfuture das nicht hinbekommt...
 
@Paradise: Der Login ist aber nicht zwingend HTTPS, ich kann auch prima über HTTP den Login ausführen. Da die Seite zudem ungesichert ausgeliefert wird, kann ich auch problemlos die URL im Formular gegen HTTP austauschen (SSL Strip für Script Kiddis macht das automatisch). Selbst wenn der Login via SSL erfolgt, ändert das dann aber auch nichts daran, dass der Cookie nicht Secure Only gesetzt wird, entsprechend komme ich auch Problemlos an die Session Daten heran.
 
@rAcHe kLoS: Warum lädt man überhaupt über irgendeine mit 40 Trackern verseuchte Drittseite herunter?
 
@theBlizz: Das steht noch mal auf einem anderen Blatt ;) Aber Winfuture bietet ja auch selbst Downloads an, die man nicht aus anderen Quellen erhält.
 
Deswegen immer die MD5 Checksumme der runtergeladenen Datei prüfen. Wenn die Datei nur minimal verändert wurde ergibt das direkt eine ganz andere MD5 Zahl.
 
@Thomaswww: ist aber für die meisten Laien schon Hexenwerk und ich finde, man kann Ihnen das nichtmal verübeln.
 
@Thomaswww: Und die lässt sich nicht manipulieren?
 
@EvilMoe: Ein Geheimdienst ist ja keine drei-Mann-Klitsche. Wenn so etwa gemacht
wird, wird es vorbereitet...dann siehst du z.B. auf einer Website schon die Prüfsumme
der manipulierten Version(die einem untergeschoben werden soll) und ein Vergleich der MD5-Checksum ist gerade für den Allerwertesten. Sicherheit bittet die MD5-Prüfsumme
im Zweifelsfall nicht die geringste.weil Geheimdienste schon länge vorher auf den
Datenverkehr zugreifen können, bevor du auf dem Bildschirm auch nur ein Pixel
zu sehen bekommst.
 
@Selawi: Ich habe vergessen das Sarkasmus Tag zu verwenden.
 
Naja bei Avast macht es keinen Unterschied, das Ding ist ja selbst schon ein Virus. :D
 
Schade, daß im Artikel nicht erwähnt wird, wie sich Anwender schützen können.
Ist z.B. der normale Win- 10 Anwender mit Defender betroffen, wenn sich VCL, Java oder Adobe- Reader ungefragt selber ein Update zieht und installiert. Oder besteht die Gefahr nur, wenn man nach "CCleaner" oder ähnlichem googelt und sich das Ding aus irgendwelchen Quellen zieht und dann diverse Warnungen ignoriert.
Konkret: Wie reagiert ein normales Bürosystem, wenn solch Manipulationen in Deutschland vorgenommen wären?
Welche Gegenmaßnamen muß ein Admin einleiten?
 
Also, es betrifft unverschlüsselte Kommunikation über das Internet und Downloads der Programme 7-zip (https://www.7-zip.org), VLC (https://www.videolan.org) und Avast (https://www.avast.com).
Dem zufolge wurden die Programme nicht über die offizelle Quelle heruntergeladen.
Wer Software im Jahr '18 noch irgendwo herunterläd und nicht wenigstens auf http_s_ achtet, sollte sich nun wirklich nicht wundern, irgendwelchen Mist untergejubelt zu bekommen.

Spannend wäre es bei diesen modifizierten Versionen, ob VirusTotal anspringt.
Kommentar abgeben Netiquette beachten!
Einloggen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles