【重要】后续:关于 EmEditor 安装程序下载链接的安全事件通知
继我们先前发布的《【重要】关于 EmEditor 安装程序下载链接的安全事件通知》(www.emeditor.com)之后,我们在进一步调查中获得了更多信息,现与补充细节一并分享,以完善先前的通知内容。 我们再次就本次事件造成的严重担忧与不便,向大家致以诚挚的歉意。 1. 可能受影响的时间范围(美国太平洋时间 / UTC) 在之前的通知中,我们提供了美国太平洋时间的范围。为便于参考,这里也同时给出协调世界时(UTC)。 如果您在上述期间通过 EmEditor 网站的下载路径(例如点击“Download Now”按钮)下载了安装程序,则有可能下载到的文件并非由我们(Emurasoft, Inc.)提供的合法安装程序。 请注意:出于极度谨慎,我们将上述时间范围刻意设置得较宽。实际受影响的窗口可能更短,且仅发生在特定时间段。 2. 关于可疑文件(已确认的差异) 针对文件 emed64_25.4.3.msi,我们已确认至少存在 两个可疑文件。 我们还确认这两个可疑文件均带有 微软签发的数字签名。由于其有效期极短(仅数天),我们认为这些证书很可能是以类似面向开发者的方式签发的。 我们已将该事件报告给微软,提交了可疑文件并请求吊销相关签名。目前我们已确认 两个签名均已被吊销。因此,尝试运行该 MSI 时应会显示签名无效的警告,使安装变得困难。 合法文件(EmEditor 官方安装程序) 问题文件 #1 问题文件 #2 3. 如果您已经删除了下载的文件 如果您仍保留下载的文件(emed64_25.4.3.msi),则可按(先前公告中的方法)通过检查数字签名和/或 SHA-256 来验证其真伪。 即便您已删除该文件,Windows 也可能在安装过程中将 MSI 的副本保存在 C:\Windows\Installer 目录下,并以不同名称存储。 由于该目录既隐藏又受系统保护,使用资源管理器常规浏览可能较难找到。请直接在地址栏输入并打开:C:\Windows\Installer。 打开后,我们建议按以下步骤操作。请务必小心,不要双击或运行任何 MSI 文件。 4. 如何检查您的计算机是否可能已感染 即便执行了可疑文件,在以下环境中也不一定会感染,例如: 但如果以下任意一项成立,则感染可能性会非常高: 若以上均不适用,则风险较低——但并非为零——因为攻击的一部分可能在内存中运行,几乎不留下文件层面的证据。 5. 已确认的行为(目标域名等) 如先前公告所述,我们已确认可疑安装程序在执行后会从外部域名下载其他文件并执行。 […]