VLC-Player aus falscher Quelle installiert, weitere Schritte?

Poati

Captain
Registriert
Okt. 2009
Beiträge
3.593
Moin zusammen,

ich habe den Fehler begangen, bei der Beschaffung der Installationsdatei für den VLC-Player auf eine Fake-Seite (vlc de) hereinzufallen. Eine kleine Diskussion darüber gabs auch schon im News-Thread bzgl. der letzten Probleme beim Auto-Update des Players. Wurde von dort aber verschoben, was auch richtig ist, das muss an der Stelle nicht weiter auseinandergenommen werden. Weitere Belehrungen, wie unglücklich das an der Stelle lief, darauf reinzufallen, sind ebenso wenig notwendig. Es soll jetzt rein um die Schritte danach gehen.

Also zur aktuellen Lage: Installation des MSI-Pakets erfolgte per GPO auf drei Systemen. Eine davon ist eine Test-VM, die ich gerade auseinander nehme. Ich habe das System mit zwei Viren-Scannern untersucht, hat nichts angeschlagen. Daraufhin sämtliche Punkte im Browser gecheckt, hinsichtlich komischen Add-Ons, Startseiten und Suchmaschinen. Auch hier kein Ergebnis. Des weiteren hab ich im Event-Log nach anderen Installationen, die zum Zeitpunkt der Installation des VLC-Players stattgefunden haben könnten, Ausschau gehalten. Ebenfalls keine Spur.

Dann habe ich mir das Paket in der entsprechenden Version von der wirklich originalen Quelle besorgt und habe angefangen, dies mit dem verteilten Paket zu vergleichen. Die Pakete habe ich mir hierbei mit Orca angesehen. Konnte keine Unterschiede ausmachen. Um dies zu bestätigen, habe ich die Hash-Werte der Dateien vergleichen, diese sind identisch. Ebenfalls identisch sind die digitalen Signaturen. Diese sind mit SHA-256 erstellt, was nach meinem Kenntnisstand noch als kryptografisch sicher gilt. Demnach müsste es sich in der Tat um das Original handeln.

Ich komme daher zu der Annahme, dass ich mit einem blauen Auge davon gekommen bin und ich mir das originale Paket "nur" von einer Fake-Seite gezogen habe. Ich habe mir außerdem mal die anderen "Produkte" auf der Seite angeguckt. Man bekommt da auch ganz andere Installationen, die sich dann im Namen (VLC Player Plus), Logo und auch der Signatur unterscheiden. Dort wird dann sogar kleingedruckt darauf hingewiesen, dass es sich nicht um den Player von videolan.org handelt.

Nun zu meinen Fragen: Was kann ich noch tun? Gibt mir die digitale Signatur genügend Sicherheit, um das Paket als sauber anzuerkennen? Oder trotzdem die betroffenen Systeme einstampfen?
 
Wo hast du vlc denn heruntergeladen und wie hast du die hashes verglichen?
 
@madmax2010
Powershell, mit Get-FileHash und die Werte anschließend mit -eq abgeglichen. Default ist da auch der SHA256
 
sag mal bitte welche Version du mit welchem hash genau geladen hast

danke @piepenkorn - habe da sogar explizit nach gesucht..
 
Poati schrieb:
Ich habe mir außerdem mal die anderen "Produkte" auf der Seite angeguckt. Man bekommt da auch ganz andere Installationen, die sich dann im Namen (VLC Player Plus), Logo und auch der Signatur unterscheiden.
Das Standard-Installationspaket, was dort zum Download angeboten und auch heruntergeladen wird, ist dieses:
vlcplus-3.0.14-win32.exe [SHA-256 checksum: 93c763e6607bfe0e447bdccfbcd2c50cf32bdfa8f75f1215b8bd51ebfcbceb5c]
Das "richtige", originale von videolan.org hingegen, heißt so:
vlc-3.0.14-win32.exe [SHA-256 checksum: 65ff4c92a821dc52609bf2a276045c1b7ab79ae38217bc8a950e27915c881b43]
Ihre Dateigrößen und Checksummen unterscheiden sich voneinander!
 
  • Gefällt mir
Reaktionen: madmax2010
Wie hieß denn die Originaldatei, die Du seinerzeit von der Fake Seite heruntergeladen hast?
Hab es gerade mal auf der richtigen Seite probiert. "vlc-3.0.14-win64" lautet der Dateiname. Die Seite, von der Du dir die Software heruntergeladen hast, bietet einen Fork in Form eines Klons an, der zudem mit allerlei unbekannter "Zusatzsoftware" ausgestattet sein könnte, insbesondere Adware. Üblicherweise wird bei der Installation des Klons nach einer E-Mail Adresse gefragt und ggf. eine Browsererweiterung mit eingeschoben. Ist Dein System kompromittiert? Ja.

Diese Mistkröten sind sehr erfinderisch bei der Kompromittierung von Systemen geworden. Insofern würde ich persönlich dazu tendieren, ein Backup einzuspielen oder aber eine Neuinstallation vorzunehmen.
 
Zuletzt bearbeitet von einem Moderator:
@piepenkorn
Auch schon passiert, nichts gefunden.

@madmax2010
vlc-3.0.4-win32.msi
SHA-256: ED8C54A4732C7800721D784B02351EC13C17CCCCCDFAE9D6E5989D0C26222274

@Dr. McCoy
Ich habe nicht das vlcplus Paket geladen. Man findet auf der Seite auch eine Sektion für MSI-Pakete, von da habe ich das oben genannte bezogen. Diese Version findet man auch auf der echten Seite noch, wenn man explizit danach sucht. Auf diese beiden Varianten beziehen sich sämtliche Vergleiche.
 
Poati schrieb:
Ich habe nicht das vlcplus Paket geladen. Man findet auf der Seite auch eine Sektion für MSI-Pakete, von da habe ich das oben genannte bezogen.
Ja, aber dazu muss man sich ja dort per E-Mail registrieren. Hast Du auf der Fake-Seite Deine E-Mail-Adresse angegeben?
 
  • Gefällt mir
Reaktionen: DJxSpeedy und madmax2010
wann hast du das herunter geladen 3.0.4 ist ? kannst du das msi mal bitte genau verlinken?
ich schaffe es nicht, zwischen Paketen von vlc de und videolan.org die selben checksums zu erzeugen

➜ Downloads sha256sum vlc-3.0.14-win32.exe
65ff4c92a821dc52609bf2a276045c1b7ab79ae38217bc8a950e27915c881b43 vlc-3.0.14-win32.exe
➜ Downloads sha256sum vlcplus-3.0.14-win32.exe
93c763e6607bfe0e447bdccfbcd2c50cf32bdfa8f75f1215b8bd51ebfcbceb5c vlcplus-3.0.14-win32.exe
 
Dr. McCoy schrieb:
Ja, aber dazu muss man sich ja dort per E-Mail registrieren.
Nein muss man nicht. Also wenn man bei DuckDuckGo "vlc msi paket" sucht, dann ist dies das erste Ergebnis:
https://www.vlc.de/vlc_msi_archiv.php
Dort kann man das entsprechende Paket direkt laden ohne irgendwie ne Mail einzutragen.
Ergänzung ()

@madmax2010
Kein wunder, da stimmen die Dateinamen ja schon nicht.

Link von VideoLAN: https://www.google.de/url?sa=t&rct=....4-win32.msi&usg=AOvVaw0W1dfAv_Wx-l1-6pSjSVo6

Link von vlc.de: https://www.vlc.de/download/vlc/msi/vlc-3.0.4-win32.msi

Die beiden Dateien haben die gleichen Signaturen, enthalten die gleichen Dateien und besitzen identische SHA-256 Hashs.
 
madmax2010 schrieb:
wann hast du das herunter geladen 3.0.4 ist ? kannst du das msi mal bitte genau verlinken?
Normalerweise bekommt man die .msi-Pakete von hier:
h**ps://www.vlc.de/vlc_download_msi.php (An Mitlesende: von diesen Links bitte nichts herunterladen!)

Poati schrieb:
Nein muss man nicht. Also wenn man bei DuckDuckGo "vlc msi paket" sucht, dann ist dies das erste Ergebnis:
Alles klar. Diese Pakete sehen identisch aus. Allerdings ist es dann stark veraltete, sicherheitsanfällige Software. Die sollte administrativ gar nicht mehr eingespielt werden, schon seit Jahren:

https://www.cvedetails.com/vulnerab...9978/year-2018/Videolan-Vlc-Media-Player.html
https://www.cvedetails.com/vulnerab...9978/year-2019/Videolan-Vlc-Media-Player.html
https://www.cvedetails.com/vulnerab...9978/year-2020/Videolan-Vlc-Media-Player.html

Es gibt etliche Sicherheitslücken, die bei Systemen, auf denen sie zum Einsatz kommt, zu einer deutlich gesteigerten Kompromittierungsgefahr führen. Aktuell ist Version 3.0.14, nicht 3.0.4!
 
virustotal.com

vlc funktioniert übrigends auch wunderbar mit sandboxie plus
 
  • Gefällt mir
Reaktionen: Poati
@Dr. McCoy
Ne klar das ist mir mittlerweile auch aufgefallen. Die Version wird selbstverständlich ersetzt. Aber dann habe ich mir wohl "nur" ein veraltetes originales Paket gezogen.

@cryeR
Findet auch nichts. Die Seite kenn ich, hatte ich aber gerade gar nicht auf dem Schirm, danke!
 
Alle mal Durchatmen. 😉

Das MSI von VLC.DE scheint das alte originale MSI-Paket 3.0.4 von videolan.org aus 2018 zu sein.

Ich hab hier nicht die Zeit das MSI komplett auseinander zu nehmen und alles darin zu vergleichen.
Denke aber immer noch, das das MSI von VLC.DE nichts drin hat was irgendwie Crap ist, weil halt einfach nur Original, wenn ueberhaupt, mit den paar Anpassungen.

1621011660779.png

Sind uebrigens exakt die Aenderungen die ich auch gemacht hab vor Jahren um den VLC anzupassen fuer mich.

Das der VLC der per *.EXE rein vom Namen was "Anderes" ist und eventuell was enthalten kann was spaeter irgendwas hinter her holt, ja ok. Das ist bekannt.

BFF
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010 und Poati
@BFF
Funfact: Die Anpassungen hat genau das Paket nichtmal... Verhält sich wirklich eins zu eins zu dem originalen.
 
  • Gefällt mir
Reaktionen: BFF
Poati schrieb:
@Dr. McCoy
Ne klar das ist mir mittlerweile auch aufgefallen. Die Version wird selbstverständlich ersetzt. Aber dann habe ich mir wohl "nur" ein veraltetes originales Paket gezogen.
Genau, das ist das Fazit, das ich hier auch so sehe:

  • Keine E-Mail-Adresse dort angegeben: Gut!
  • Die alten MSI-Pakete sind von den Modifikationen, die sich u.a. auf die *.exe-Installationspakete beziehen, nicht betroffen. (Wichtig für ggf. später mal Mitlesende, usw: Dennoch sollte man von der Seite nichts herunterladen!)
  • Das geladene Paket ist lediglich stark veraltet, doch wenn dies durch neue Versionen von der Original-Anbieterseite videolan.org korrigiert wird bzw. bereits wurde, ist für dieses Mal alles im Grünen Bereich.
 
  • Gefällt mir
Reaktionen: BFF
Was zu vermuten war, weil die Signaturen von VideoLAN intakt sind. Aber da bin ich eben erst hin. @Poati
 
  • Gefällt mir
Reaktionen: Poati
Auch die 64Bit MSI-Datei stimmt mit der Originalen in Sachen Hash überein.
 
  • Gefällt mir
Reaktionen: Poati und BFF
Zurück
Oben