延續我們先前發布的「【重要】關於 EmEditor 安裝程式下載連結的安全事件通知」(www.emeditor.com),我們在進一步調查後,整理並分享目前掌握的資訊,以及補充先前公告的更多細節。
我們再次對本事件所造成的重大疑慮與不便,致上最誠摯的歉意。
1. 可能受影響的時間區間(美國太平洋時間 / UTC)
在先前公告中,我們以美國太平洋時間提供時間範圍。為便於參考,以下同時列出協調世界時間(UTC)。
- 2025 年 12 月 19 日 18:39 – 2025 年 12 月 22 日 12:50(美國太平洋時間)
- 2025-12-20 02:39 – 2025-12-22 20:50(UTC)
若您在上述期間透過 EmEditor 網站的下載路徑(例如首頁的「Download Now」按鈕)下載安裝程式,則有可能下載到的檔案不是我們(Emurasoft, Inc.)提供的正版安裝程式。
請注意:出於審慎考量,上述時間區間刻意取較寬範圍。實際受影響的窗口可能更短,且可能僅限於特定時間點。
2. 關於可疑檔案(已確認差異)
針對檔案 emed64_25.4.3.msi,我們已確認至少存在 兩個可疑檔案。
我們也確認兩個可疑檔案皆帶有 Microsoft 核發的數位簽章。由於其有效期間極短(僅數天),我們推測其憑證可能以類似面向開發者的方式核發。
我們已向 Microsoft 回報此事件、提供可疑檔案,並要求撤銷相關簽章。目前已確認 兩個簽章皆已被撤銷。因此,嘗試執行該 MSI 時應會顯示簽章無效的警告,使安裝變得困難。
正版檔案(EmEditor 官方安裝程式)
- 檔名:emed64_25.4.3.msi
- 大小:80,376,832 bytes
- 數位簽章 — Subject:Emurasoft, Inc.
- 數位簽章 — Issuer:Sectigo Public Code Signing CA R36
- 數位簽章 — 有效期間:2023 年 4 月 9 日至 2026 年 4 月 9 日
- SHA-256:
e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
- VirusTotal:
https://www.virustotal.com/gui/file/e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
- 官方散佈來源:
https://download.emeditor.info/emed64_25.4.3.msi
問題檔案 #1
- 檔名:
emed64_25.4.3.msi
- 大小:80,380,416 bytes
- 數位簽章 — Subject:WALSHAM INVESTMENTS LIMITED
- 數位簽章 — Issuer:Microsoft ID Verified CS EOC CA 02
- 數位簽章 — 有效期間:2025 年 12 月 21 日至 2025 年 12 月 24 日
- SHA-256:
4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
- VirusTotal:
https://www.virustotal.com/gui/file/4bea333d3d2f2a32018cd6afe742c3b25bfcc6bfe8963179dad3940305b13c98
問題檔案 #2
- 檔名:
emed64_25.4.3.msi
- 大小:80,380,416 bytes
- 數位簽章 — Subject:WALSHAM INVESTMENTS LIMITED
- 數位簽章 — Issuer:Microsoft ID Verified CS EOC CA 01
- 數位簽章 — 有效期間:2025 年 12 月 20 日至 2025 年 12 月 23 日
- SHA-256:
3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
- VirusTotal:
https://www.virustotal.com/gui/file/3d1763b037e66bbde222125a21b23fc24abd76ebab40589748ac69e2f37c27fc
3. 若您已刪除下載的檔案
若您仍保留下載的檔案(emed64_25.4.3.msi),可以(如先前公告)透過檢查 數位簽章與/或 SHA-256 來驗證。
即使您已刪除該檔案,Windows 仍可能在安裝時將 MSI 複本保留於 C:\Windows\Installer,並以不同名稱儲存。
由於此資料夾同時為隱藏且受作業系統保護,一般在檔案總管中不易透過瀏覽找到。請直接在路徑列輸入並開啟:C:\Windows\Installer。
開啟後,建議依照以下步驟進行。請務必小心,不要雙擊或執行任何 MSI 檔案。
- 依日期排序(例如「修改日期」)
- 聚焦於近期檔案
- 檢查目標檔案的數位簽章(右鍵 → 內容 → 數位簽章)
4. 如何檢查您的電腦是否可能已受感染
即使可疑檔案曾被執行,在下列環境中也不一定會感染,例如:
- 裝置處於離線狀態
- 需要 VPN/Proxy 才能連線
- Windows 功能或政策阻擋了可疑的 PowerShell 行為
- PowerShell 執行被限制
- 防毒/資安軟體封鎖了相關活動
然而,若以下任一項成立,感染的可能性將非常高:
- 存在
C:\ProgramData\tmp_mojo.log
- 存在名為
Google Drive Caching 的排程工作
%LOCALAPPDATA%\Google Drive Caching\ 中存在 background.vbs- 在 Chrome 或 Microsoft Edge 等 Chromium 系瀏覽器中存在名為
Google Drive Caching 的擴充功能(即使顯示為 Google 製作也一樣)——尤其是其可「讀取並變更所有網站上的資料」且具備剪貼簿存取權限者
- 網路紀錄顯示連線至下列任一網域:
cachingdrive.comemeditorde.comemeditorgb.comemeditorjp.comemeditorsb.com
若以上皆不符合,風險較低——但並非為零——因為攻擊部分流程可能在記憶體中執行,且幾乎不留下檔案型證據。
5. 已確認的行為(目的網域等)
如先前公告所述,我們已確認可疑安裝程式在執行後會 從外部網域下載其他檔案並加以執行。
我們先前確認其曾連線至 emeditorjp.com,而後續調查也發現另外連線至 emeditorde.com、emeditorgb.com、emeditorsb.com。
上述四個網域(emeditorjp.com、emeditorde.com、emeditorgb.com、emeditorsb.com)皆非由我們(Emurasoft, Inc.)營運。
我們也確認先前公告中所描述的 PowerShell 指令會從外部網域下載並執行檔案,而此行為可能導致惡意程式感染,以及密碼等個人資訊遭竊。
更多細節請參考由 Luca Palermo 先生與 Mario Ciccarelli 先生撰寫的研究報告。Palermo 先生已將報告提供給我們並允許我們公開,我們在此對其合作表達由衷感謝。
- [惡意程式分析報告 – 多階段資訊竊取程式(Luca Palermo 與 Mario Ciccarelli)]()
6. 為何「不容易察覺」
基本現實是,在特定條件下,第三方可以取得網域名稱與數位簽章。
- 網域若未被使用或未續約,往往可用低成本購得。
- 程式碼簽章憑證一般可向多家憑證機構申請(本案的發證者為 Microsoft)。
- 一旦發現問題,主要能採取的回應是聯絡發證者/憑證機構,請求撤銷。
從技術角度而言,MSI 安裝程式可透過自訂動作(custom actions)包含任意腳本(包含 PowerShell)。若攻擊者具備足夠知識,就能將惡意載入器注入到一個外觀與正版、且廣泛散佈的安裝程式極為相似的檔案中。
即使安裝程式不是 MSI 而是 EXE,也仍可能出現類似攻擊。
遺憾的是,這代表軟體公司很難徹底防止第三方製作並散佈高度仿冒正版的惡意安裝程式。我們必須假設未來仍可能再次出現同等精密、採多階段手法的惡意安裝程式。
即便如此,我們認為本次事件的核心問題可歸納如下:
- 我們網站上使用的便利性 重新導向(下載路徑) 在未被察覺下遭到更改。
- 外部人士在我們網站上放置了 惡意安裝程式。
由於兩者同時發生,導致客戶在從我們官方網站下載後受到傷害,我們對此承擔全部責任,並會在未來的預防措施中反省與改善。
6-1. 被放置於 EmEditor 網站的惡意檔案
除惡意安裝程式 emed64_25.4.3.msi 外,我們還在外掛(plugin)目錄下發現名為 base64.php 的檔案。分析後判定其為典型後門程式(遠端程式碼執行/RCE)。
我們也發現 WordPress 佈景主題目錄中的 footer.php 被加入一段腳本。該腳本會劫持原本應導向至合法 URL 的點擊:
https://support.emeditor.com/ja/downloads/latest/installer/64
並重新導向至:
https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi
因此,點擊首頁「Download Now」按鈕可能會下載到惡意檔案。
更惡意的是,該腳本被設定為只對未登入的訪客觸發,使管理員難以重現與察覺。結果即使我們自行檢查網站,也未能立即注意到重新導向已被更改。
7. 原因(目前評估)
我們仍在調查中,尚未得出最終結論。但目前考慮以下可能性:
WordPress 由多個元件組成——核心、外掛、佈景主題等——由許多開發者維護。這些元件會定期被發現漏洞,並隨時間釋出更新。
我們會定期更新外掛與佈景主題,但在某些情況下,漏洞可能長期未被修補。攻擊也可能正是利用了此類漏洞。
另外,也不排除使用中的 SFTP 帳號遭到鎖定為攻擊目標。
8. 我們的應對措施(已完成/規劃中)
我們已立即刪除惡意檔案 emed64_25.4.3.msi。同時檢視檔案修改紀錄,確認 base64.php 被新增且 footer.php 遭變更。在辨識 base64.php 為後門後,我們對整個網站進行掃描。
接著我們重建網站、重新安裝所有外掛並移除不必要的外掛。我們也掃描內部電腦,並更改所有 WordPress 站點與相關服務的登入密碼;同時透過檢視紀錄審核我們使用的多項服務。
此外,我們已停止對「Download Now」等下載按鈕使用重新導向,改為 直接連結至經驗證的安全檔案。我們亦更新下載頁面,清楚標示 MSI 的 SHA-256,並加入說明鼓勵使用者 驗證數位簽章。
為進一步強化 EmEditor 首頁的下載路徑,我們也正在考慮於近期將網站 由 WordPress 遷移至自製/靜態網站。
9. 結語
如上所述,被竄改的安裝程式一旦執行,可能進行極其危險的行為。同時,我們也無法從根本上阻止第三方製作並散佈仿冒正版的惡意安裝程式。
因此,我們的首要任務是確保不會有人透過我們的網站取得惡意程式,因為網站是我們最主要的發佈管道。
本次事件也提醒我們:雖然 Xoops、WordPress 等常見 CMS 平台很便利,但其可擴充性也會增加暴露於漏洞的風險——而僅僅維持外掛與佈景主題更新,並不能完全消除風險。
值得慶幸的是,Emurasoft Customer Center 並未遭入侵,我們的資料庫仍維持安全;目前也沒有任何證據顯示有人存取我們的客戶資料庫。
為期盼本次事件的經驗能協助其他軟體公司,我們在本公告中盡可能納入更多細節與脈絡,而非僅發布簡短報告。
我們再次對本事件造成的疑慮與不便致上誠摯歉意,並特別向因感染而受到損害的使用者致歉。
感謝您持續支持 EmEditor。
