继我们先前发布的《【重要】关于 EmEditor 安装程序下载链接的安全事件通知》(www.emeditor.com)之后,我们在进一步调查中获得了更多信息,现与补充细节一并分享,以完善先前的通知内容。
我们再次就本次事件造成的严重担忧与不便,向大家致以诚挚的歉意。
1. 可能受影响的时间范围(美国太平洋时间 / UTC)
在之前的通知中,我们提供了美国太平洋时间的范围。为便于参考,这里也同时给出协调世界时(UTC)。
- 2025 年 12 月 19 日 18:39 – 2025 年 12 月 22 日 12:50(美国太平洋时间)
- 2025-12-20 02:39 – 2025-12-22 20:50(UTC)
如果您在上述期间通过 EmEditor 网站的下载路径(例如点击“Download Now”按钮)下载了安装程序,则有可能下载到的文件并非由我们(Emurasoft, Inc.)提供的合法安装程序。
请注意:出于极度谨慎,我们将上述时间范围刻意设置得较宽。实际受影响的窗口可能更短,且仅发生在特定时间段。
2. 关于可疑文件(已确认的差异)
针对文件 emed64_25.4.3.msi,我们已确认至少存在 两个可疑文件。
我们还确认这两个可疑文件均带有 微软签发的数字签名。由于其有效期极短(仅数天),我们认为这些证书很可能是以类似面向开发者的方式签发的。
我们已将该事件报告给微软,提交了可疑文件并请求吊销相关签名。目前我们已确认 两个签名均已被吊销。因此,尝试运行该 MSI 时应会显示签名无效的警告,使安装变得困难。
合法文件(EmEditor 官方安装程序)
- 文件名:emed64_25.4.3.msi
- 大小:80,376,832 字节
- 数字签名 — Subject(主体):Emurasoft, Inc.
- 数字签名 — Issuer(颁发者):Sectigo Public Code Signing CA R36
- 数字签名 — 有效期:2023 年 4 月 9 日至 2026 年 4 月 9 日
- SHA-256:
e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
- VirusTotal:
https://www.virustotal.com/gui/file/e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
- 官方分发来源:
https://download.emeditor.info/emed64_25.4.3.msi
问题文件 #1
- 文件名:
emed64_25.4.3.msi
- 大小:80,380,416 字节
- 数字签名 — Subject(主体):WALSHAM INVESTMENTS LIMITED
- 数字签名 — Issuer(颁发者):Microsoft ID Verified CS EOC CA 02
- 数字签名 — 有效期:2025 年 12 月 21 日至 2025 年 12 月 24 日
- SHA-256:
4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
- VirusTotal:
https://www.virustotal.com/gui/file/4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
问题文件 #2
- 文件名:
emed64_25.4.3.msi
- 大小:80,380,416 字节
- 数字签名 — Subject(主体):WALSHAM INVESTMENTS LIMITED
- 数字签名 — Issuer(颁发者):Microsoft ID Verified CS EOC CA 01
- 数字签名 — 有效期:2025 年 12 月 20 日至 2025 年 12 月 23 日
- SHA-256:
3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
- VirusTotal:
https://www.virustotal.com/gui/file/3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
3. 如果您已经删除了下载的文件
如果您仍保留下载的文件(emed64_25.4.3.msi),则可按(先前公告中的方法)通过检查数字签名和/或 SHA-256 来验证其真伪。
即便您已删除该文件,Windows 也可能在安装过程中将 MSI 的副本保存在 C:\Windows\Installer 目录下,并以不同名称存储。
由于该目录既隐藏又受系统保护,使用资源管理器常规浏览可能较难找到。请直接在地址栏输入并打开:C:\Windows\Installer。
打开后,我们建议按以下步骤操作。请务必小心,不要双击或运行任何 MSI 文件。
- 按日期排序(例如“修改日期”)
- 重点关注近期文件
- 检查目标文件的数字签名(右键 → 属性 → 数字签名)
4. 如何检查您的计算机是否可能已感染
即便执行了可疑文件,在以下环境中也不一定会感染,例如:
- 设备处于离线状态
- 需要 VPN/代理才能联网
- Windows 功能或策略阻止了可疑 PowerShell 行为
- PowerShell 执行受到限制
- 杀毒/安全软件阻止了相关活动
但如果以下任意一项成立,则感染可能性会非常高:
- 存在
C:\ProgramData\tmp_mojo.log
- 存在名为
Google Drive Caching 的计划任务
- 在
%LOCALAPPDATA%\Google Drive Caching\ 下存在 background.vbs
- 在 Chrome 或 Microsoft Edge 等 Chromium 内核浏览器中存在名为
Google Drive Caching 的浏览器扩展(即使其声称由 Google 制作)——尤其是当其具备“读取和更改所有网站的数据”以及剪贴板访问权限时
- 网络日志显示连接到以下任一域名:
cachingdrive.comemeditorde.comemeditorgb.comemeditorjp.comemeditorsb.com
若以上均不适用,则风险较低——但并非为零——因为攻击的一部分可能在内存中运行,几乎不留下文件层面的证据。
5. 已确认的行为(目标域名等)
如先前公告所述,我们已确认可疑安装程序在执行后会从外部域名下载其他文件并执行。
此前我们确认其访问了 emeditorjp.com;后续调查还发现其额外访问了 emeditorde.com、emeditorgb.com、emeditorsb.com。
上述四个域名(emeditorjp.com、emeditorde.com、emeditorgb.com、emeditorsb.com)均非由我们(Emurasoft, Inc.)运营。
我们也确认了先前通知中描述的 PowerShell 命令会从外部域名下载并执行文件,这种行为可能导致恶意软件感染,并造成密码等个人信息被窃取。
更多细节请参阅由 Luca Palermo 先生与 Mario Ciccarelli 先生撰写的研究报告。Palermo 先生向我们提供了该报告并授权我们发布,在此对他们的协助表示诚挚感谢。
- [恶意软件分析报告——多阶段信息窃取器(作者:Luca Palermo 与 Mario Ciccarelli)]()
6. 为什么这次“难以察觉”
从基本事实来看,在特定条件下,第三方确实可能获取域名与数字签名。
- 如果域名未被使用或未续费,往往可以以较低成本购买。
- 代码签名证书通常可以从许多证书颁发机构获取(本案中颁发者为微软)。
- 一旦发现问题,主要可采取的措施是联系颁发者/认证机构并请求吊销。
从技术角度看,MSI 安装包可以通过自定义操作包含任意脚本(包括 PowerShell)。具备足够知识的攻击者可以在一个外观极其接近、且分发广泛的合法安装包中注入恶意加载器。
即便安装包是 EXE 而非 MSI,也依然可能发生类似攻击。
遗憾的是,这意味着软件公司很难从根本上阻止“高度仿冒的恶意安装程序”被创建并传播。我们必须假设未来仍可能出现类似复杂的、多阶段的恶意安装程序。
尽管如此,我们认为本次事件的核心问题可概括为:
- 我们网站上用于便捷下载的重定向(下载路径)在未被发现的情况下被篡改。
- 外部人员在我们网站上放置了恶意安装程序。
由于两者同时发生,导致客户从我们官方网站下载后遭受伤害,我们对此承担全部责任,并会将其反映在未来的防范措施中。
6-1. 放置在 EmEditor 网站上的恶意文件
除恶意安装程序 emed64_25.4.3.msi 外,我们还在某插件目录下发现了名为 base64.php 的文件。对 base64.php 分析后,我们判定其为典型后门(远程代码执行 / RCE)。
我们还发现 WordPress 主题目录中的 footer.php 被添加了脚本。该脚本劫持了原本指向合法 URL 的点击:
https://support.emeditor.com/ja/downloads/latest/installer/64
并将其重定向到:
https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi
因此,点击首页的“Download Now”按钮可能会下载到恶意文件。
更为恶意的是,该脚本被配置为仅对未登录访客触发,使管理员难以复现与发现问题。因此,即使我们自己检查网站时,也未能立即察觉重定向已被篡改。
7. 原因(当前评估)
我们仍在调查中,尚未得出最终结论。但我们正在考虑以下可能性:
WordPress 由多个组件构成——核心、插件、主题等——由许多开发者维护。这些组件会不断被发现漏洞,并陆续发布更新。
我们会定期更新插件与主题,但在某些情况下,漏洞可能长期未被修复。攻击可能利用了此类漏洞。
也有可能使用中的 SFTP 账号成为攻击目标。
8. 我们的应对(已完成 / 计划中)
我们已立即删除恶意文件 emed64_25.4.3.msi。同时检查文件修改日志,确认新增了 base64.php 并对 footer.php 做了更改。在将 base64.php 确认为后门后,我们对全站进行了扫描。
随后我们重建了网站,重新安装所有插件,并移除不必要的插件。我们也扫描了内部电脑,并更改了所有 WordPress 站点及相关服务的登录密码。我们通过日志审查对所使用的若干服务进行了审计。
此外,我们停止在“Download Now”等下载按钮中使用重定向,改为直接链接到已验证安全的文件。我们还更新了下载页面,明确展示 MSI 的 SHA-256,并加入提示以鼓励用户验证数字签名。
为进一步强化 EmEditor 首页下载路径,我们也在考虑近期将网站从 WordPress 迁移为自定义/静态网站。
9. 结语
如上所述,被篡改的安装程序在执行后可能进行极其危险的操作。同时,我们也无法从根本上阻止第三方创建并分发仿冒合法安装程序的恶意版本。
因此,我们最优先的目标是确保任何人都无法通过我们的网站获取恶意软件,因为网站是我们的主要分发渠道。
本次事件也提醒我们:尽管 Xoops、WordPress 等流行 CMS 平台使用方便,但其可扩展性会增加暴露于漏洞的风险;而仅仅保持插件与主题更新,并不能完全消除风险。
值得庆幸的是,Emurasoft Customer Center 并未被攻破,我们的数据库也保持安全。我们没有发现任何人访问了客户数据库的证据。
我们希望本次事件的经验能对其他软件公司有所帮助,因此尽可能提供了更多细节与背景,而不仅限于简短报告。
我们再次就造成的担忧与不便致以诚挚歉意,并特别向因感染相关问题而遭受损害的用户致歉。
感谢您一直以来对 EmEditor 的支持。
