שיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם
-
פוסט זה נמחק!
@בנימין-מחשבים כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פוסט זה נמחק!
פוסט זה נמחק!
-
@שניאור-שמח להפוך אותה לנגועה אפשר בכמה דקות
תוסיף section אחד - תגדיל את ה NumberOfSection ב 1 תגדיל את ה SizeOfImage בגודל של ה section החדש מיושר לגודל הוירטואלי תן לו הרשאת RE תפנה אליו את ה EntryPoint שים שם קוד קצר שיכול גם להשתמש בפונקציות שהקובץ מייבא - יכול להיות קצת מורכב כשאין לך מושג מהי כתובת הבסיס של הקובץ אז מקסימום תוכל להיות עצמאי לגמרי עם PEB walking שים שם משהו קצר שעושה פעולה זדונית ובסוף שים קפיצה ל EntryPoint המקורי
הנה קיבלת מדריך מושלם (אולי שכחתי משהו?) להדביק קובץ שכבר מקומפל
רק שהחתימה אם קיימת תיהרס@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
cpu-z_2.19-en.7z
סיסמה infected -
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
cpu-z_2.19-en.7z
סיסמה infected@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
למה לא?
אתה מתכוון שאפשר להוסיף לו נגיעות על ידי השתלת קוד בסקשנים קיימים?
מסובך פי כמה וזה עבודה של כמה שעות אלא אם תמצא איזור ריק בגודל שמספיק ל payload שלך
נדיר ביותר אלא אם הקוד שלך רק מדפיס hello world (כלומר לא עושה הרבה)צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
למה לא?
אתה מתכוון שאפשר להוסיף לו נגיעות על ידי השתלת קוד בסקשנים קיימים?
מסובך פי כמה וזה עבודה של כמה שעות אלא אם תמצא איזור ריק בגודל שמספיק ל payload שלך
נדיר ביותר אלא אם הקוד שלך רק מדפיס hello world (כלומר לא עושה הרבה) -
האם עליי לחשוש לדיסק טכנאים שלי של סרגיי ומדיקט שהם נגועים? אני חייב לבדוק ולעדכן את התוכנה או להוריד ISO חדש בהנחה שהוא עידכן מאז?
@הנני-העני תבדוק אם יש שם את אחת הגרסאות שפורסמו כנגועות (זה היה על טווח זמן יחסית קצר)
-
האם עליי לחשוש לדיסק טכנאים שלי של סרגיי ומדיקט שהם נגועים? אני חייב לבדוק ולעדכן את התוכנה או להוריד ISO חדש בהנחה שהוא עידכן מאז?
-
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
cpu-z_2.19-en.7z
סיסמה infected@cfopuser
רק עכשיו בדקתי מה שלחת
בכל אופן זה לא נחשב לנגיעות בקובץ אלא לעובדה ששלחת לקורבן dll נגוע
כלומר הבעיה היא לא בקובץ הרצה אלא ב dll שהקורבן הוריד בלי לבדוק
אגב ספציפית ה dll הזה נראה שהוא לא מיובא בכלל על ידי התוכנה אבל הרעיון מובן
סליחה שאני מתקטנן...
בכל אופן אשמח אם למישהו יהיה גרסה נגועה שאוכל לחקור אותה קצתצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@הנני-העני
WinPE11_10_Sergei_Strelec_x64_2026.03.03_English.rar
זה האחרון... -
@משה-מזרחי
לא הבנתי- זה הנגוע או לא?
כי לי יש גירסא לדעתי מסוף 2025
וכנ"ל מדיקט לקחתי ממה שקיונגיוס העלה -
@cfopuser
רק עכשיו בדקתי מה שלחת
בכל אופן זה לא נחשב לנגיעות בקובץ אלא לעובדה ששלחת לקורבן dll נגוע
כלומר הבעיה היא לא בקובץ הרצה אלא ב dll שהקורבן הוריד בלי לבדוק
אגב ספציפית ה dll הזה נראה שהוא לא מיובא בכלל על ידי התוכנה אבל הרעיון מובן
סליחה שאני מתקטנן...
בכל אופן אשמח אם למישהו יהיה גרסה נגועה שאוכל לחקור אותה קצת@מתכנת-חובב זה הגרסה ה"מקורית" של הוירוס וזה בדיוק הבאג ש cpu z לא הטמיעו הגנות כנגד dll sideloading
ולכן הdll הזדוני נטען במקום הdll של המערכת.https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84#1-executive-summary
-
@מתכנת-חובב זה הגרסה ה"מקורית" של הוירוס וזה בדיוק הבאג ש cpu z לא הטמיעו הגנות כנגד dll sideloading
ולכן הdll הזדוני נטען במקום הdll של המערכת.https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84#1-executive-summary
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלבצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלב@מתכנת-חובב אם כי אכן זה לא אשמת הקוד של cpu z ודבר דומה יכול לקרות אם מריצים תוכנה ממקום כמו תיקיית הורדות שי בתוכה dll זדוני (לא סביר מאוד אבל אפשרי),
התהליך עצמו עדיין מעניין. -
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלב@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריותאבל אז אתה מפסיד את החתימות וכו'
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.וזה באמת התגובה שלהם,
We have already added DLL sideloading protection to the main executable, but it appears we need to strengthen it further (or just make it work properly). We are currently working on that. -
@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריותאבל אז אתה מפסיד את החתימות וכו'
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.וזה באמת התגובה שלהם,
We have already added DLL sideloading protection to the main executable, but it appears we need to strengthen it further (or just make it work properly). We are currently working on that.@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
אבל אז אתה מפסיד את החתימות וכו'
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.
לא יעיל בכלל
משתמש מנוסה ישים לב מיד ל dll הזה@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
וזה באמת התגובה שלהם,
כמו שכתוב מי שנכוונה ברותחין...
בקיצור זה לא סטנדרט למיטב ידיעתיצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
אבל אז אתה מפסיד את החתימות וכו'
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.
לא יעיל בכלל
משתמש מנוסה ישים לב מיד ל dll הזה@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
וזה באמת התגובה שלהם,
כמו שכתוב מי שנכוונה ברותחין...
בקיצור זה לא סטנדרט למיטב ידיעתי@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
משתמש מנוסה ישים לב מיד ל dll הזה
לא נראה לי בכלל,
אתה מסתכל על שמות של dlls לפני שאתה מריץ תוכנה שמורידים פעם ב?@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
כלי שסומכים עליו כול כך הרבה אנשים וכבר הוכו בעבר במשהו דומה,
היית מצפה שיעשו הגנות כאלה (שלא קשות בכלל להטמעה).@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
כמו xz?
חשבתי שאתה מתכוון להתעסקות בשרת עצמו והחלפת הקובץ. -
@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
משתמש מנוסה ישים לב מיד ל dll הזה
לא נראה לי בכלל,
אתה מסתכל על שמות של dlls לפני שאתה מריץ תוכנה שמורידים פעם ב?@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
כלי שסומכים עליו כול כך הרבה אנשים וכבר הוכו בעבר במשהו דומה,
היית מצפה שיעשו הגנות כאלה (שלא קשות בכלל להטמעה).@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
כמו xz?
חשבתי שאתה מתכוון להתעסקות בשרת עצמו והחלפת הקובץ.@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
אתה מסתכל על שמות של dlls לפני שאתה מריץ תוכנה שמורידים פעם ב?
תוכנה שמגיעה עם DLL אחד? היה מדליק נורה קטנה
ובכל אופן לא על זה דיברתי
התכוונתי שאם היו משנים משהו בקוד היה לוקח יותר זמן עד שמישהו היה שם לב לזה מאשר אם שמים קובץ בולט בתיקייה שלו - אני לא מאמין שזה החזיק יותר מכמה ימים@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
כלי שסומכים עליו כול כך הרבה אנשים וכבר הוכו בעבר במשהו דומה,
מעניין לא ידעתי שכבר הוכו
ובכל אופן - אחזור על דעתי
לא משנה כמה זה קל אתה כמפתח לא אמור לעזור למשתמש להגן על המחשב שלו
הבעיה היא ב DLL לא בתוכנה@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
כמו xz?
כמו מאות או אלפי התקפות דומות
זה חלק מהעניין של מתקפת שרשרת אספקה
רק שכאן המתקפה נכנסה בשלב מאוחר כלשהו
אולי מחר יהיה לי זמן לקרוא את זה (באמת למגילה הזאת הם קראו summary???) -
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלבכתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxdגם ב IAT לא מצאתי את זה אבל אז ראיתי בדו"ח שלהם שזה dll שמיובא על ידי dll אחר שאותו התוכנה כן מייבאת - advapi32.dll ולמרות שאותו dll כן נמצא ב KnownDLLs התלויות שלו לא מושפעות מזה ואחת התלויות שלו היא CRYPTBASE שהוחלפה בקובץ זדוני
-
בגרסה הניידת שלהם גם הייתה הבעיה?
-
כיצד ניתן לבודק אם קרה משהו?
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}