News Manipulierte Downloads: Website von JDown­loader kom­promittiert

[Ripcord]

@Snapuman

Ist schon ganz angenehm nicht immer an den PC zu müssen oder unterwegs die Möglichkeit zu haben. Habe es damals gerne Mobil genutzt.

 

[obama]

Wird der Defender in der Taskleiste dann als deaktiviert angezeigt?

Kann ihr dir leider nicht beantworten, da ich es nicht weiß. Du kannst aber mal in das Sub-Reddit vom JDownloader schauen (r/jdownloader) und dort die Frage stellen, falls es noch nicht beantwortet wurde.
Jedenfalls scheint es eine ziemlich heftige Malware zu sein, die sich tief ins System gräbt und Code via Python ausführt, wie man bei Reddit lesen kann. Also wer weiß, was da wirklich im Hintergrund passiert. Ich vermute, hier kennt niemand die Antwort zum jetzigen Stand.

 

[nipponpasi]

Jedenfalls scheint es eine ziemlich heftige Malware zu sein, die sich tief ins System gräbt und Code via Python ausführt, wie man bei Reddit lesen kann. Also wer weiß, was da wirklich im Hintergrund passiert.

Danke fuer das Update

 

[Sebbi]

Das ist eher, wie bei fast allen exploits, eine schlechte Konfiguration oder, wie in diesem Fall, einfach das fehlen eines patches.

nun, unsere Webserver kontrollieren alle 5 Minuten im Hintergrund die Hashs und würden, wenn etwas nicht stimmst, die Website automatisch offline schalten, die nicht stimmige Daten isolieren, die Daten aus einen definieren Stand wiederherstellen, nochmal prüfen und wenn das alles ok ist, wieder online schalten und die Admins und die Security alamieren.
Das geht vorallem für statischen Daten wie Downloads und Inhalten sehr gut. Bei dynamischen Datenbanken etc sieht das natürlich ganz anders aus. Das hätte zumindest wohl diesen Angriff erstmal verhindert oder zumindest dazu geführt, der Angriff sehr schnell entdeckt wird aufgrund der Alamierung der Admins.

 

[Speedy Gonzales]

Ich bekomme wie immer täglich Updates von JDownloader. Die Updateserver scheinen nicht betroffen zu sein.

 

[Sebbi]

@Speedy Gonzales

hast du die Meldung auf der jDownloader Website gelesen?

https://jdownloader.org/incident_8.5.2026.html?v=20260508277000

This incident did not affect updates delivered from inside JDownloader.


Every update installed through the application's built-in updater is RSA-signed and cryptographically verified. That channel is independent of the website download links that were manipulated.

 

[obama]

Jedenfalls scheint es eine ziemlich heftige Malware zu sein, die sich tief ins System gräbt und Code via Python ausführt, wie man bei Reddit lesen kann.

Hier noch zur Vollständigkeit der Beitrag dazu:

Proper JDownloader malware remediation​

According to https://www.reddit.com/r/jdownloader/comments/1t6goqe/is_the_website_hacked/, the JDownloader site delivered malware on 20:12 - 07.05.2026 GMT+2.

u/Takia_Gecko did a very well technical analysis in this comment so I would like to focus on the proper steps to remediate this infection.

Execution chain:

To clarify, the installer was replaced with a malicious signature-less version that delivered the official JDownloader and exactly 8 minutes after the initial setup start, it decrypted and executed the malicious payload that consisted of installing the Python interpreter, PyArmor runtime for code obfuscation and then starting a Python remote access malware.

When the malware is executed, Windows Defender is fully disabled, Windows Updates are also disabled and a root certificate is installed

I have also discovered several strings that may indicate manipulating with:

• Manual malware removal software such as FRST
• Antivirus scanners such as HitmanPro, Kaspersky Virus Removal Tool
• Antivirus software such as Avira, Avast, Windows Defender

Remote access malware (RAT):

• You can remove the visible signs of this infection, but due to the nature of this type of malware, no one can guarantee the trustworthiness of your computer. A backdoor or RAT gives the attacker complete access to your system, allowing them to steal data, install additional malware, or monitor your activity.
• This means that at some point the attacker was able to interact with your PC (see your desktop, view files, open programs) just like you are able to do so. For this reason, we do not recommend manual malware removal, because the malware could be embedded deeper in the system or able to manipulate with the removal process and making it ineffective.
• If your computer was used for online banking, has credit card information or other sensitive data, using a non-infected computer/device you should immediately change all account information (including those used for banking, email, eBay, PayPal, online forums, etc). Consider these accounts already compromised.
• I suggest you read and follow this guide on how to properly change your passwords after a stealer infection: https://rifteyy.org/report/the-ultimate-guide-to-infostealers - specifically the section "How to properly secure my accounts"

Proper steps to take now:

If you have executed the file, you can not guarantee a 100% clean system because of the malware's natures and because of how many changes it had already done on execution (disabling antivirus, manipulating with antivirus scanners, disabling Windows Updates, installing a root certificate) so please follow one of these steps to ensure your device is clean from the malware:

• Recommended: Windows 11 reinstalling via USB
• Windows 11 Cloud reinstall without keeping files

Vom User „rifteyy_“ bei Reddit:
https://www.reddit.com/r/jdownloader/comments/1t77ovr/proper_jdownloader_malware_remediation/