Kompromittierter FossHub – Classic Shell infiziert

Heute noch eine aktuelle Warnung: Die OpenSource-Download-Plattform FossHub ist wohl gehackt worden. Der verwendete Installer ist kompromittiert und verteilt Malware. Betrifft auch die Classic Shell-Startmenü-Ersatzlösung. Update: Ich habe noch ein paar Informationen nachgetragen.


Anzeige

Vor wenigen Tagen gab es ein Update der Startmenü-Ersatzlösung Classic Shell auf Version 4.3.0 – die Leute bei deskmodder.de berichteten hier. Wäre eine Möglichkeit, das Windows 10-Startmenü zu ersetzen.

Momentan muss man aber sagen: Finger weg von Classic Shell und jeglicher Software, die über FossHub verteilt wird. Wie heise.de hier berichtet (deskmodder.de hat es hier) ist die Plattform von einer Gruppe namens Pegglecrew gehackt worden. Die Kriminellen machen sich wohl den Start des Windows 10 Anniversary Update zunutze, wo viele Anwender die Classic Shell installieren.


(Quelle: Reddit.com)

Die Kriminellen sind beim Hack recht raffiniert vorgegangen und haben den Installer für die Software ausgetauscht. Die Installer vieler OpenSource-Pakete, die von FossHub verteilt werden (bzw. in den vergangenen Tagen verteilt wurden), ist kompromittiert. Der Installer enthält Malware in Form eines Bootladers.

Da der Installer zum Einrichten der Software administrative Berechtigungen erfordert, kann dieser den Bootlader mit einem Rootkit ersetzen. Dieser Bootlader produziert beim nächsten Neustart des Systems die in obigem Foto gezeigte Meldung.

Nur BIOS-Systeme mit MBR-Festplatten-Partitionen betroffen

Wenn ich die Meldung bei heise.de richtig interpretiere, wird der Master Boot Record (MBR) überschrieben. Es sind also nur ältere Systeme mit BIOS betroffen. Die neueren UEFI-Systeme verwenden ja einen EFI-Loader und keinen MBR-Boot-Record. Zudem kommt dort Secure Boot zum Einsatz, welches das Booten eines modifizierten EFI-Loaders verhindert.

MBR reparieren

Wenn man ein Notfallsystem mit Windows RE (Systemreparaturdatenträger als DVD oder Wiederherstellungslaufwerk als USB-Stick) besitzt, lässt sich die Maschine mit diesem Medium booten. Dann geht man in das Fenster der Eingabeaufforderung und gibt folgende Befehle ein:

Bootrec.exe /FixMbr
Bootrec.exe /FixBoot


Anzeige

Diese schreiben den Boot-Record neu. Wichtig ist dabei darauf zu achten, dass das Rettungssystem zur installierten Windows-Version passt (also Windows 7 SP1 braucht auch ein Rettungsmedium, welches damit erstellt wurde). Zur Not tut es auch ein Installationsdatenträger für die installierte Windows-Version. Wenn man mit dieser bootet, kann man im Setup über Computerreparaturoptionen in Windows PE gehen und die Eingabeaufforderung aufrufen. Hinweise finden sich in folgender Linkliste.

Achtung: Das Problem bei diesem Ansatz ist, dass niemand weiß, ob das System nicht manipuliert und andere Dateien überschrieben wurden. Das System ist also kompromittiert. Also Daten sichern und ein sauberes Backup einspielen oder das System neue aufsetzen.

Ähnliche Artikel:
Tipp: In Windows PE booten, wenn die DVD nicht starten will
Notfallhilfe mit Windows PE, falls Windows 8 nicht startet
Windows PE: Reparaturdatenträger erstellen Teil 1
Windows PE: Diese Programme sind verfügbar Teil 2
Wiederherstellungslaufwerk mit Win RE erstellen Teil 3
Windows PE 4.0: Diese Programme laufen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 8.1 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Kompromittierter FossHub – Classic Shell infiziert

  1. Ganz Wichtig ist hierbei noch zu sagen das neben dem beliebten Classic Shell als auch das beliebte Audacity über Fosshub verteilt wird!

    Audacity habe ich gerne und auch viel benutzt um Audio Streams an der PC Soundschnittstelle mit zu schneiden, also aufnehmen am Ausgang und auch gerne mal Empfohlen!

  2. Andreas B. sagt:

    Und so'ne fiese Aktion soll dann das "kritische Bewusstsein" der tumben Nutzer fördern? Mir ist bei dem obigen Screenshot übrigens das Wort "Jewinvader" (übel) aufgefallen Das lässt tief blicken, wes Geistes Kind diese Soziopathen sind … im fortgeschrittenen Stadium!

    • Heute geht man halt nicht mehr hinaus um irgendwo ein Illegales Lagerfeuerchen anzustecken oder ein paar Bierflaschen hoch zu jagen, heutzutage Hackt man Webseiten nicht nur um damit Leute zu erpressen nein auch um anderen möglichst viel zu schaden.

      Ich erkenne nur an dem obigen Screenshot das sind Geistig unreife Kinder die nichts besseres mit ihrer Freizeit anzufangen wissen und sich auch mal in Szene setzen wollen.

Schreibe einen Kommentar zu Andreas B. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.