News Manipulierte Downloads: Website von JDown­loader kom­promittiert

Ich bekomme wie immer täglich Updates von JDownloader. Die Updateserver scheinen nicht betroffen zu sein.
 
  • Gefällt mir
Reaktionen: waldgeist2k, Snapuman, inge70 und eine weitere Person
obama schrieb:
Jedenfalls scheint es eine ziemlich heftige Malware zu sein, die sich tief ins System gräbt und Code via Python ausführt, wie man bei Reddit lesen kann.
Hier noch zur Vollständigkeit der Beitrag dazu:

Proper JDownloader malware remediation​

According to https://www.reddit.com/r/jdownloader/comments/1t6goqe/is_the_website_hacked/, the JDownloader site delivered malware on 20:12 - 07.05.2026 GMT+2.

u/Takia_Gecko did a very well technical analysis in this comment so I would like to focus on the proper steps to remediate this infection.

Execution chain:

To clarify, the installer was replaced with a malicious signature-less version that delivered the official JDownloader and exactly 8 minutes after the initial setup start, it decrypted and executed the malicious payload that consisted of installing the Python interpreter, PyArmor runtime for code obfuscation and then starting a Python remote access malware.

When the malware is executed, Windows Defender is fully disabled, Windows Updates are also disabled and a root certificate is installed

I have also discovered several strings that may indicate manipulating with:
  • Manual malware removal software such as FRST
  • Antivirus scanners such as HitmanPro, Kaspersky Virus Removal Tool
  • Antivirus software such as Avira, Avast, Windows Defender
Remote access malware (RAT):
  • You can remove the visible signs of this infection, but due to the nature of this type of malware, no one can guarantee the trustworthiness of your computer. A backdoor or RAT gives the attacker complete access to your system, allowing them to steal data, install additional malware, or monitor your activity.
  • This means that at some point the attacker was able to interact with your PC (see your desktop, view files, open programs) just like you are able to do so. For this reason, we do not recommend manual malware removal, because the malware could be embedded deeper in the system or able to manipulate with the removal process and making it ineffective.
  • If your computer was used for online banking, has credit card information or other sensitive data, using a non-infected computer/device you should immediately change all account information (including those used for banking, email, eBay, PayPal, online forums, etc). Consider these accounts already compromised.
  • I suggest you read and follow this guide on how to properly change your passwords after a stealer infection: https://rifteyy.org/report/the-ultimate-guide-to-infostealers - specifically the section "How to properly secure my accounts"
Proper steps to take now:

If you have executed the file, you can not guarantee a 100% clean system because of the malware's natures and because of how many changes it had already done on execution (disabling antivirus, manipulating with antivirus scanners, disabling Windows Updates, installing a root certificate) so please follow one of these steps to ensure your device is clean from the malware:
Vom User „rifteyy_“ bei Reddit:
https://www.reddit.com/r/jdownloader/comments/1t77ovr/proper_jdownloader_malware_remediation/
 
  • Gefällt mir
Reaktionen: the_IT_Guy und nipponpasi
Ruff_Ryders88 schrieb:
Den gibt es noch?
"Noch"? Das ist DAS Tool für Downloads. Natürlich muss man keinem was vormachen, dass der JD sicher zum überwiegenen Teil für illegale Downloads genutzt wird. In Zeiten der Gier der Streaminganbieter nicht verwunderlich. In meinem Fall läuft er im Container auf dem NAS und wird gelegentlich genutzt. Probleme hatte ich damit nie.
 
  • Gefällt mir
Reaktionen: Bundesgerd und Snapuman
Experte18 schrieb:
Würde dann der Defender unten rechts im Taskmanager als deaktiviert angezeigt werden man davon betroffen wäre? Genau am 6 habe ich nach Monaten auch mal wieder jdownloader gestartet. Im Programm hat er auch ein Update gemacht. Soweit ich das verstanden habe waren die Updates im Programm ja nicht infiziert gewesen? Mein PC verhält sich auch nicht anders als sonst. Mich würde das nur mal mit den Defender interessieren ob er dann als deaktiviert angezeigt wird in der Taskleiste?
So wie ich das gelesen habe deaktiviert die RAT den Windows Defender und verhindert auch das erneute einschalten. Wenn du nur Updates gemacht hast bist du sowieso nicht betroffen du müsstest schon die Setup Datei geladen und installiert haben.
 
  • Gefällt mir
Reaktionen: Experte18 und obama
MGFirewater schrieb:
ich hab ein zu gutes filmgedächtnis ;)
Also bei YouTube gibt es eher weniger Filme... viel mehr z. B. Anleitungen, die ich mir zumindest nicht merken kann.
 
  • Gefällt mir
Reaktionen: xXDariusXx und nipponpasi
Ich ich ich ☝️😀

Ich hab nen YouTube Filmtipp:

SCP: Dollhouse
by Evan Royalty
 
Ich wünsche dem JDownloader Projekt alles Gute, dass sie Ihr Problem beheben. Ich danke für das Projekt, bin sicher nicht der einzige! :love::daumen:
 
  • Gefällt mir
Reaktionen: maxpayne80, Bundesgerd, KeLcO und eine weitere Person
R4ID schrieb:
@highwind01

Denkst du denn ernsthaft du bist anonym im Netz ?
Wenn Strafverfolgungsbehörden aufgrund eines Indiz ermitteln müssen dann gibt es da auch Mittel und Wege herauszufinden wer sich hinter welchen Nick verbirgt.

Und du glaubst allen ernstes, dass eine vollkommen beliebige und unspezifische Behauptung in einem IT-Forum (sinngemäß „Ich habe irgendwas illegales gemacht“) einen hinreichenden Anfangsverdacht im Sinne des § 152 Abs. 2 StPO darstellt, aufgrund dessen eine Ermittlungsbehörde ein Ermittlungsverfahren eröffnet und vor allem aufgrund dessen ein Richter eine entsprechende Anordnung ausstellt, die CB verpflichtet die IP Adresse des Users heraus zu geben und den ISP verpflichtet die Personaldaten zu dem Anschluss heraus zugeben (wo dann nicht mal sicher ist, dass der Anschluss Inhaber auch der Poster des Beitrags ist)?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: xXDariusXx, Snapuman, mischaef und 3 andere
Das Projekt ist aus der Zeit gefallen, im negativen Sinn. Undurchsichtige Download-Installer, Java und anderen Bloat-Müll etc. Werd ich mir nicht wieder installieren. Eher schmeiß ich ein LLM drauf und lass es mir ohne Müll-Libs neu schreiben...
 
  • Gefällt mir
Reaktionen: Flutefox
aufkrawall schrieb:
Eher schmeiß ich ein LLM drauf und lass es mir ohne Müll-Libs neu schreiben...
Iihh. Da bleib ich aber lieber bei YouTube 😉

Btw, gerade frisch reingekommen:
Screenshot_20260509-223811.Firefox.png

Sehr zuvorkommend von YouTube 😅😨
 
Zuletzt bearbeitet von einem Moderator: (btw)
  • Gefällt mir
Reaktionen: the_IT_Guy
highwind01 schrieb:
Und du glaubst allen ernstes, dass eine vollkommen beliebige und unspezifische Behauptung in einem IT-Forum (sinngemäß „Ich habe irgendwas illegales gemacht“) einen hinreichenden Anfangsverdacht im Sinne des § 152 Abs. 2 StPO darstellt, aufgrund dessen eine Ermittlungsbehörde ein Ermittlungsverfahren eröffnet und vor allem aufgrund dessen ein Richter eine entsprechende Anordnung ausstellt, die CB verpflichtet die IP Adresse des Users heraus zu geben und den ISP verpflichtet die Personaldaten zu dem Anschluss heraus zugeben (wo dann nicht mal sicher ist, dass der Anschluss Inhaber auch der Poster des Beitrags ist)?
Wenn ich hierzu den richtigen Paragrafen im UrhG gefunden habe, wird der Verstoß gegen dieses Gesetz nur auf Antrag eine geschädigten verfolgt.

Generell sollte diese Diskussion nicht zu weit gehen. Gibt da zu viele Hafensänger, die nicht wissen was ein Vergehen ist, ein Verbrechen, oder was Strafnebengesetze sind.
 
Flutefox schrieb:
Viel Spaß auch Medien zu finden, die bei keinem der Streamer angeboten werden und wo es teils keine DVDs etc. gibt.
Naja, das dürfte ein minimaler Teil des Gesamtangebotes sein. Und es gibt auch nicht alles im Netz, gerade aus dem deutschsprachigen Raum fehlt da viel oder ist nicht mehr online und wurde nie neu hochgeladen.

Wie Piraterie hier immer romantisiert und verklärt wird ist traurig. Da haben die Leute dann TB Weise Zeug auf ihren Platten und nutzen es eh nie wieder oder verschwindend selten. Hauptsache "haben" und "gratis".
Ergänzung ()

marcel151 schrieb:
In Zeiten der Gier der Streaminganbieter nicht verwunderlich.
Die Gier der kostenlos Sauger ist dagegen kein Problem, hm?
 
Zuletzt bearbeitet:
Also würd so gesehen nur helfen, wenn man den Hash des Downloads mit einer zweiten Webseite ( die hoffentlich nicht kompromittiert ist ) vergleicht.
Um zukünftig socher zu gehen.

Sonst ist es schon sehr beängstigend.
 
Krik schrieb:
Diese Handlungen, von denen wir hier reden, sind gesetzlich geregelt.
Ja. Und ich habe ich mich ausführlich dazu geäußert.

Krik schrieb:
So ein Quatsch!
Wenn man 21 Jahre auf dem Markt ist, hat man schon allerhand an juristischen Streitigkeiten hinter sich.
Soso. Wo sind dann die erfolgreich Klagen gegen Downloads die dann Youtube/Google gewonnen hat?
Oder gegen Tools die das ermöglichen?

Krik schrieb:
Macht es nicht. Wenn "XxXiAMurMOTHERxXx" das neuste Justin Bieber-Lied auf seinem Kanal anbietet, am besten noch mit Eigenwerbung vorne weg, dann ist das ein offensichtlich illegales Angebot.
Das ist aber eher das Problem von diesem Youtuber. Der normale User (darum geht es in der gesetzlichen Regelung) der Youtube besucht, da kann nicht erwartet werden, das der zwischen legalem und illegalen Angebot unterscheiden werden kann.

Und Youtube unternimmt ja auch sehr viel dagegen. Meist mit automatisierten Tools. In der Regel kannst Du als Creator nicht mal ein Video hochladen/veröffentlichen, welches Copyright-geschütztes Material enthält.

Krik schrieb:
Es wird also ein implizites Recht darauf zugesprochen. Das gibt einem aber nicht das Recht, darüber hinaus zu tun, was man will.
Von "tun was man will" hab ich ja auch gar nichts gesagt.
Sei es drum. Bisher konntest Du nicht mal ansatzweise schlüssig darlegen, warum der Download illegal sein soll.

Krik schrieb:
Das Internet ist kein rechtsfreier Raum. Das war es noch nie.
Hat auch nie jemand behauptet.
Genau deswegen hab ich ja auch u.a. juristisch argumentiert. Von daher verstehe ich den Einwurf nicht.
Ergänzung ()

habla2k schrieb:
Wie Piraterie hier immer romantisiert und verklärt wird ist traurig.
Dazu hätte ich noch was :-)
Werke wie Metropolis oder The White Shadow hätten wir heute nicht mehr in einer halbwegs vollständigen Fassung, wenn die nicht mal fieserweise von "Piraten" gesichert worden wären.

habla2k schrieb:
Hauptsache "haben" und "gratis".
Naja. Sagen wir mal so: Heute hast Du den Trend, das Du viele Sachen nur auf Streaming-Plattformen bekommst. Sowas wie DVD und BluRay sind spürbar auf dem Rückzug.

Das Problem ist: Wenn Dein Streaming-Anbieter etwas aus dem Programm nimmt (was durchaus vorkommt), dann hast Du plötzlich keinen Zugriff mehr darauf.

Außerdem werden Filme im Nachhinein auch gerne mal verändert (gerade George Lucas mit seiner originalen StarWars Trilogie hat ja quasi ständig dran rumgebastelt). Auf den Streaming-Plattformen kriegst Du in der Regel nur die neuste Version. Und nicht jede Änderung verbessert einen Film.

Es gibt also durchaus Gründe jenseits von stumpfen Sammeltrieb, eine lokale Kopie zu haben.
Und damit möchte ich weder illegale Aktivitäten rechtfertigen noch in Abrede stellen, das es solche Stumpf-Sammel-Leute gibt.
Aber das Spektrum an Gründen ist schon ein bisschen breiter als Du es darstellst.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Snapuman, mischaef, cyberpirate und 2 andere
Läuft in docker nebst qbittorrent in einer ubuntu server vm.
 
Sebbi schrieb:
nun, unsere Webserver kontrollieren alle 5 Minuten im Hintergrund die Hashs und würden, wenn etwas nicht stimmst, die Website automatisch offline schalten, die nicht stimmige Daten isolieren, die Daten aus einen definieren Stand wiederherstellen, nochmal prüfen und wenn das alles ok ist, wieder online schalten und die Admins und die Security alamieren.
Das geht vorallem für statischen Daten wie Downloads und Inhalten sehr gut. Bei dynamischen Datenbanken etc sieht das natürlich ganz anders aus. Das hätte zumindest wohl diesen Angriff erstmal verhindert oder zumindest dazu geführt, der Angriff sehr schnell entdeckt wird aufgrund der Alamierung der Admins.

Also habt ihr es richtig konfiguriert, wie ich bereits schrieb :D Genau so sollte es sein aber das passiert nicht weil die IT heute immer noch wie ein ungewolltes Kind behandelt wird was nur Kosten verursacht obwohl die IT heute wohl die wichtigste Abteilung in 90-95% der Unternehmen ist.
 
  • Gefällt mir
Reaktionen: nipponpasi
aufkrawall schrieb:
Das Projekt ist aus der Zeit gefallen, im negativen Sinn. Undurchsichtige Download-Installer, Java und anderen Bloat-Müll etc. Werd ich mir nicht wieder installieren. Eher schmeiß ich ein LLM drauf und lass es mir ohne Müll-Libs neu schreiben...
Du beschreibst die Situation ziemlich perfekt: jD wurde in einer Zeit entwickelt, als man sich noch mit ein paar Dingen selbst beschäftigen musste, ohne dass einem überall der KI-gewienerte A* nachgetragen wurde. Das ist nichts Hochkompliziertes, dennoch setzt das Konzept das Wissen von wenigen Grundlagen voraus - die eigentlich selbstverständlich sind, wenn man aus welchen Gründen auch immer in Betracht zieht, ein solch umfangreiches Programm nutzen zu wollen. Die Hürden sind doch sehr überschaubar und wenn das Ding einmal fein konfiguriert wurde, muss man auch so gut wie nie mehr in die Einstellungen. Noobs sollten sich darin auch gar nicht groß verlieren, viele Stellschrauben kamen für Profis hinzu, egal wie man diese jetzt definiert. Diese Flexibilität ist herausragend.

Wem das trotz Support Forum noch immer zu kompliziert ist, für den ist das Tool dann einfach nichts und für diese Leute ist das auch weder gedacht noch gemacht.
 
  • Gefällt mir
Reaktionen: MoonTower, nowel und Tanzmusikus
Zurück
Oben