שיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם
-
פרצה שאירעה לפני מספר ימים לאתר הרשמי של חברת CPUID, החברה שעומדת מאחורי כלי זיהוי החומרה הפופולרי למחשבים אישיים CPU-Z, אפשרה לפורצים לשלב כלי התקפה בגרסה היציבה שמיועדת להורדה והתקנה בחינם. למעשה, כל מי שהוריד את האפליקציה מרגע החדירה שלו עד לטיפול בבעיה, והריץ אותה, צריך עכשיו למהר לבדוק את המחשב שלו כדי לזהות האם הותקנה בו נוזקה כזו או אחרת.
הפרצה, שהשפיעה גם על הכלי הלא פחות פופולרי HWMonitor של אותה חברה, לא שינתה בפועל את קבצי ההרצה. היא כוונה את שכבת האספקה שמאפשרת להוריד את האפליקציות הללו למחשב, כלומר התקפה על שרשרת האספקה: תשתית ההורדה שונתה כך שיחד עם הורדת הקבצים הורד למחשב גם סוס טרויאני, כך שבדיקת הקבצים עצמם לא גרמה להופעת דגלי אזהרה.
ההודעה הראשונה על קיום הבעיה הייתה שכתב בטעות כי מדובר ב-HWInfo שהוא כמובן כלי אחר של חברה אחרת, ובעצם התכוון כמובן ל-HWMonitor, וזכתה לאישור, וגם הסבר מפורט מאוחר יותר עם שסיפר כי מדובר בהתקפה מורכבת ומתוחכמת.
לאחר הזיהוי של התקלה בשרשרת ההפצה של האפליקציות, CPUID הכנסה לפעולה מהירה, וכל מנגנון ההדבקה הוסר לפי הודעת החברה. עם זאת, מי שהספיק להוריד את הסוס הטרויאני, יכול להיות שמידע ששמור במחשב שלו ו/או בדפדפן הגיע לידי התוקפים כך שמומלץ לבצע בדיקה.
למרות שהחלון מרגע הגילוי ועד רגע התיקון היה יחסית קצר, לפי ההערכות ייתכן שהאפליקציות הורדו למעלה ממיליון פעמים יחד עם הסוס הטרויאני, אז כאמור – מי שהוריד בימים האחרונים, כדאי שיבדוק את המחשב היטב.
.
-
פרצה שאירעה לפני מספר ימים לאתר הרשמי של חברת CPUID, החברה שעומדת מאחורי כלי זיהוי החומרה הפופולרי למחשבים אישיים CPU-Z, אפשרה לפורצים לשלב כלי התקפה בגרסה היציבה שמיועדת להורדה והתקנה בחינם. למעשה, כל מי שהוריד את האפליקציה מרגע החדירה שלו עד לטיפול בבעיה, והריץ אותה, צריך עכשיו למהר לבדוק את המחשב שלו כדי לזהות האם הותקנה בו נוזקה כזו או אחרת.
הפרצה, שהשפיעה גם על הכלי הלא פחות פופולרי HWMonitor של אותה חברה, לא שינתה בפועל את קבצי ההרצה. היא כוונה את שכבת האספקה שמאפשרת להוריד את האפליקציות הללו למחשב, כלומר התקפה על שרשרת האספקה: תשתית ההורדה שונתה כך שיחד עם הורדת הקבצים הורד למחשב גם סוס טרויאני, כך שבדיקת הקבצים עצמם לא גרמה להופעת דגלי אזהרה.
ההודעה הראשונה על קיום הבעיה הייתה שכתב בטעות כי מדובר ב-HWInfo שהוא כמובן כלי אחר של חברה אחרת, ובעצם התכוון כמובן ל-HWMonitor, וזכתה לאישור, וגם הסבר מפורט מאוחר יותר עם שסיפר כי מדובר בהתקפה מורכבת ומתוחכמת.
לאחר הזיהוי של התקלה בשרשרת ההפצה של האפליקציות, CPUID הכנסה לפעולה מהירה, וכל מנגנון ההדבקה הוסר לפי הודעת החברה. עם זאת, מי שהספיק להוריד את הסוס הטרויאני, יכול להיות שמידע ששמור במחשב שלו ו/או בדפדפן הגיע לידי התוקפים כך שמומלץ לבצע בדיקה.
למרות שהחלון מרגע הגילוי ועד רגע התיקון היה יחסית קצר, לפי ההערכות ייתכן שהאפליקציות הורדו למעלה ממיליון פעמים יחד עם הסוס הטרויאני, אז כאמור – מי שהוריד בימים האחרונים, כדאי שיבדוק את המחשב היטב.
-
@cfopuser @מתכנת-חובב הנה, קיבלתם עוד פרויקט לחקור..
@שניאור-שמח כשזה פורסם חיפשתי קצת גרסה נגועה ולא מצאתי
אם למישהו יש אשמח שישתף
לא שיש לי הרבה זמן פנוי בכל אופןצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@שניאור-שמח כשזה פורסם חיפשתי קצת גרסה נגועה ולא מצאתי
אם למישהו יש אשמח שישתף
לא שיש לי הרבה זמן פנוי בכל אופן@מתכנת-חובב אולי @cfopuser יוכל ״לנגוע״ בה..
… -
@שניאור-שמח כשזה פורסם חיפשתי קצת גרסה נגועה ולא מצאתי
אם למישהו יש אשמח שישתף
לא שיש לי הרבה זמן פנוי בכל אופן -
@מתכנת-חובב אולי @cfopuser יוכל ״לנגוע״ בה..
…@שניאור-שמח להפוך אותה לנגועה אפשר בכמה דקות
תוסיף section אחד - תגדיל את ה NumberOfSection ב 1 תגדיל את ה SizeOfImage בגודל של ה section החדש מיושר לגודל הוירטואלי תן לו הרשאת RE תפנה אליו את ה EntryPoint שים שם קוד קצר שיכול גם להשתמש בפונקציות שהקובץ מייבא - יכול להיות קצת מורכב כשאין לך מושג מהי כתובת הבסיס של הקובץ אז מקסימום תוכל להיות עצמאי לגמרי עם PEB walking שים שם משהו קצר שעושה פעולה זדונית ובסוף שים קפיצה ל EntryPoint המקורי
הנה קיבלת מדריך מושלם (אולי שכחתי משהו?) להדביק קובץ שכבר מקומפל
רק שהחתימה אם קיימת תיהרסצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
-
פוסט זה נמחק!
@בנימין-מחשבים כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פוסט זה נמחק!
פוסט זה נמחק!
-
@שניאור-שמח להפוך אותה לנגועה אפשר בכמה דקות
תוסיף section אחד - תגדיל את ה NumberOfSection ב 1 תגדיל את ה SizeOfImage בגודל של ה section החדש מיושר לגודל הוירטואלי תן לו הרשאת RE תפנה אליו את ה EntryPoint שים שם קוד קצר שיכול גם להשתמש בפונקציות שהקובץ מייבא - יכול להיות קצת מורכב כשאין לך מושג מהי כתובת הבסיס של הקובץ אז מקסימום תוכל להיות עצמאי לגמרי עם PEB walking שים שם משהו קצר שעושה פעולה זדונית ובסוף שים קפיצה ל EntryPoint המקורי
הנה קיבלת מדריך מושלם (אולי שכחתי משהו?) להדביק קובץ שכבר מקומפל
רק שהחתימה אם קיימת תיהרס@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
cpu-z_2.19-en.7z
סיסמה infected -
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
cpu-z_2.19-en.7z
סיסמה infected@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
למה לא?
אתה מתכוון שאפשר להוסיף לו נגיעות על ידי השתלת קוד בסקשנים קיימים?
מסובך פי כמה וזה עבודה של כמה שעות אלא אם תמצא איזור ריק בגודל שמספיק ל payload שלך
נדיר ביותר אלא אם הקוד שלך רק מדפיס hello world (כלומר לא עושה הרבה)צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
למה לא?
אתה מתכוון שאפשר להוסיף לו נגיעות על ידי השתלת קוד בסקשנים קיימים?
מסובך פי כמה וזה עבודה של כמה שעות אלא אם תמצא איזור ריק בגודל שמספיק ל payload שלך
נדיר ביותר אלא אם הקוד שלך רק מדפיס hello world (כלומר לא עושה הרבה) -
האם עליי לחשוש לדיסק טכנאים שלי של סרגיי ומדיקט שהם נגועים? אני חייב לבדוק ולעדכן את התוכנה או להוריד ISO חדש בהנחה שהוא עידכן מאז?
@הנני-העני תבדוק אם יש שם את אחת הגרסאות שפורסמו כנגועות (זה היה על טווח זמן יחסית קצר)
-
האם עליי לחשוש לדיסק טכנאים שלי של סרגיי ומדיקט שהם נגועים? אני חייב לבדוק ולעדכן את התוכנה או להוריד ISO חדש בהנחה שהוא עידכן מאז?
-
@מתכנת-חובב לא חייב להגדיל את הsection number אפילו עדיף רק יוסיף לנגיעות של הקובץ
cpu-z_2.19-en.7z
סיסמה infected@cfopuser
רק עכשיו בדקתי מה שלחת
בכל אופן זה לא נחשב לנגיעות בקובץ אלא לעובדה ששלחת לקורבן dll נגוע
כלומר הבעיה היא לא בקובץ הרצה אלא ב dll שהקורבן הוריד בלי לבדוק
אגב ספציפית ה dll הזה נראה שהוא לא מיובא בכלל על ידי התוכנה אבל הרעיון מובן
סליחה שאני מתקטנן...
בכל אופן אשמח אם למישהו יהיה גרסה נגועה שאוכל לחקור אותה קצתצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@הנני-העני
WinPE11_10_Sergei_Strelec_x64_2026.03.03_English.rar
זה האחרון... -
@משה-מזרחי
לא הבנתי- זה הנגוע או לא?
כי לי יש גירסא לדעתי מסוף 2025
וכנ"ל מדיקט לקחתי ממה שקיונגיוס העלה -
@cfopuser
רק עכשיו בדקתי מה שלחת
בכל אופן זה לא נחשב לנגיעות בקובץ אלא לעובדה ששלחת לקורבן dll נגוע
כלומר הבעיה היא לא בקובץ הרצה אלא ב dll שהקורבן הוריד בלי לבדוק
אגב ספציפית ה dll הזה נראה שהוא לא מיובא בכלל על ידי התוכנה אבל הרעיון מובן
סליחה שאני מתקטנן...
בכל אופן אשמח אם למישהו יהיה גרסה נגועה שאוכל לחקור אותה קצת@מתכנת-חובב זה הגרסה ה"מקורית" של הוירוס וזה בדיוק הבאג ש cpu z לא הטמיעו הגנות כנגד dll sideloading
ולכן הdll הזדוני נטען במקום הdll של המערכת.https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84#1-executive-summary
-
@מתכנת-חובב זה הגרסה ה"מקורית" של הוירוס וזה בדיוק הבאג ש cpu z לא הטמיעו הגנות כנגד dll sideloading
ולכן הdll הזדוני נטען במקום הdll של המערכת.https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84#1-executive-summary
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלבצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלב@מתכנת-חובב אם כי אכן זה לא אשמת הקוד של cpu z ודבר דומה יכול לקרות אם מריצים תוכנה ממקום כמו תיקיית הורדות שי בתוכה dll זדוני (לא סביר מאוד אבל אפשרי),
התהליך עצמו עדיין מעניין. -
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלב@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריותאבל אז אתה מפסיד את החתימות וכו'
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.וזה באמת התגובה שלהם,
We have already added DLL sideloading protection to the main executable, but it appears we need to strengthen it further (or just make it work properly). We are currently working on that.
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}