Ugreen USB wifi adapter driver

In een blije bui heb ik bij Walmart een goedkope USB Wi-Fi adapter gehaald.

Zodat ik een desktop elders in huis kan voorzien van internet.

Bij het inpluggen gebeurt er iets vreemds. Een schijfstation verschijnt met Setup.exe:


In devmgmt.msc staat "AIC flash USB Device" die write protected is. Microsoft Defender vindt niets. Ik heb setup.exe nog niet gestart maar ik verwacht dat Attack Surface Reduction dit bestand zal blokkeren.

Binnen Sandbox lijkt setup.exe wel te starten, maar er gebeurt niets.

Als ik op de site van ugreen (https://www.ugreen.com/pages/download) naar CM763 zoek (zo heet het apparaat volgens het doosje), dan lijkt het alsof ugreen is gehackt en word ik naar een mediafire link gestuurd.

Deze link alleen openen in Sandbox!
Binnen Sandbox als ik dit bestand download, dan verschijnt weer diezelfde setup.exe malware.

Als ik setup.exe van de USB drive upload naar Virustotal, dan vindt geen enkele virusscanner iets.

Welke malware is dit? Is dit een nieuwe methode om malware te installeren? Autorun is op mijn systeem uiteraard disabled.

sh4d0wman schreef op zaterdag 1 februari 2025 @ 02:52:
In het vervolg een beter product kopen?

Volledig mee eens. Dit lag er voor een tientje en ik gokte het er maar op.

De setup lijkt legit. Lees oa Amazon reviews:

Echt alle alarmbellen gaan af:
• Het is een USB drive
• Setup.exe in plaats van een .inf driver
• Mediafire als downloadlocatie voor de driver
• In Sandbox lijkt setup.exe niets te doen

Ps mocht je Linux hebben dan werkt het uberhaupt niet. Ik heb goede ervaringen met TPLink wifi adapters.

Had ik ook moeten doen. Ik snap wel hoe China inmiddels overal spionnen heeft, maar dit valt wel heel erg op.

mrmrmr schreef op zaterdag 1 februari 2025 @ 03:46:
Iets bestellen bij Walmart? Ben je in de VS?

Ik woon er

De driver uit jouw link heeft kennelijk een Digicert EV certificaat. Dat betekent dat er wel een waarschuwing kan komen dat het bestand van internet komt, maar dat het wel drivers mag installeren met zo'n EV certificaat als Microsoft dat toestaat. Je kan met sysinternals tool Sigcheck vooraf controleren of het certificaat in orde is.

Dus eigenlijk moet ik bij Digicert aankloppen zodat zij het certificaat kunnen intrekken?

Chinese software/firmware is niet volledig te vertrouwen door de voortdurende aanvallen van de overheid van dat land op westerse doelen. Daar waarschuwen Nederlandse veiligheidsdiensten voor. Je had beter geen Chinese hardware met bijbehorende software kunnen kopen als je (relatief) veilig wil zitten.

Eens. Het lag in een aanbiedingenbak en ik had er toevallig eentje nodig. Ik denk dat een klein deel van de mensen hier wel in was getrapt. Er hoeft maar net een militair tussen te zitten. Ik ga het apparaat op een ander apparaat installeren en met Wireshark kijken wat voor traffic er is.

Wat je kan doen voor iets meer zekerheid is Windows' device manager laten zoeken naar een driver. Of handmatig de driver downloaden via Microsoft Update Catalog. Daar zie ik aicusbwifi.sys in een cab file met een cross signing van Microsoft.

Goede, thanks. Ga ik testen op een labcomputer

sh4d0wman schreef op zaterdag 1 februari 2025 @ 07:46:
[...]

Ik heb het nog nooit gezien maar het zou voor een leek wel ideaal zijn om een driver op deze manier mee te leveren. Werkt zonder internetverbinding dus gebruikersvriendelijkheid kan ook de .exe keuze verklaren.

Geen idee in hoeverre Sandbox iets met drivers kan. Je kunt het eens op een virtuele machine testen. Even sysmon tools mee laten lopen om te kijken wat er allemaal aangepast/geinstalleerd wordt. Misschien een temp folder waar je driver uit kunt peuteren?

Sandbox niet, maar je kunt in Hyper-V wel hardware direct aanspreken door het los te koppelen van je host. Vooralsnog lukt het mij niet (krijg een aantal errors), maar zodra het is gelukt zal ik loggen wat de VM precies aan data verstuurt naar China zodra setup.exe is uitgevoerd.

Ik heb een fysieke machine uitgenomen. Hierop de adapter ingedaan en de setup.exe gedraaid. Het enige wat setup.exe doet is een folder in C:\Program Files (x86) aanmaken met daarin een paar drivers. Op een andere fysieke machine de adapter ingedaan en geprobeerd deze .inf files uit te voeren, maar die horen niet bij deze adapter blijkbaar. Uit wireshark haal ik niet direct iets opvallends. Kan het zijn dat de malware een tijdje wacht voordat het phone home doet? Windows Defender vindt ook na het uitvoeren van setup.exe niets.

Snaak123 schreef op donderdag 10 april 2025 @ 16:10:
FWIW In de handleiding staat ook dat je op deze manier (via setup.exe) de drivers dient te installeren. Is er inmiddels al meer over bekend of dit legit is? Thanks!

Ik heb het apparaat op een Windows 11 computer geinstalleerd met de setup.exe. Naast de setup.exe ook alleen Wireshark op de computer en de computer geregistreerd in Defender. Je ziet met de usb capture dat er allerlei commando's worden verstuurd waarmee het apparaat omschakelt van mass storage naar netwerkadapter. Als ik het Wireshark verkeer bekijk dan wordt er geen data naar China gestuurd.

Toch is dit echt heel vreemd gedrag. Een driver op mediafire, de noodzaak om het apparaat te hacken dat het eerst een mass storage is en daarna een netwerkadapter, een setup.exe. De betreffende computer wordt beschouwd als gehackt, maar ik kan nog geen vreemd gedrag vinden. De betreffende computer hangt ook in MS Defender, maar in security.microsoft.com zie ik dus helemaal geen verkeer naar China worden gestuurd.

Volgens de regels is de computer gehackt, maar ik kan er vooralsnog geen bewijs van vinden.

[ Voor 5% gewijzigd door ibmpc op 10-04-2025 18:18 ]

F_J_K schreef op donderdag 10 april 2025 @ 18:41:
Datauitwisseling hoeft niet meteen plaats te vinden. Kan ook na N minuten inactiviteit / X uur activiteit / etc. Of alleen als er geen wireshark etc actief is

Die laptop staat al een paar weken lang aan en ligt in de kast. Hij is geregistreerd in MS Defender security center. Er is nog geen E.T. Phone Home geweest.

OnTracK schreef op donderdag 10 april 2025 @ 18:51:
Goed, ik wil niet zeggen dat het legit is. Maar het is een enigszins typische manier waarop netwerk-adapters werken. Je zag het vroeger heel veel bij mobiel (3G) USB sticks.

De drivers staan op een interne geheugenchip. Meestal werd deze gepresenteerd als CD-ROM drive. Hierdoor heb je geen internet nodig om je drivers te installeren, terwijl je misschien juist geen internet hebt en dit ding kocht om dat op te lossen.

Zie bijvoorbeeld dit artikel: https://hackaday.com/2023...restore-its-true-calling/

Nu je het zegt, staat er mij wel iets van mij. Iets met dat als je een 4G modem kocht, dat je dan specifiek moest aangeven dat het een native modem was, en geen hybride modem, want dan werkte het modem niet in je router. Ik ga het eens testen en die laptop herinstalleren met Linux voor die modeswitch app. Dus ik kom er op terug