Fw: [黑特] filezilla我這麼相信你結果你藏木馬!

作者: hirokofan (笠原弘子 命!)   2015-01-12 21:59:49
※ [本文轉錄自 EZsoft 看板 #1KizB-Rz ]
作者: hirokofan (笠原弘子 命!) 看板: EZsoft
標題: [黑特] filezilla我這麼相信你結果你藏木馬!
時間: Mon Jan 12 21:57:41 2015
filezilla的網站預設的連結藏有木馬,直接點連結,抓下來的是751K的下載工具
https://filezilla-project.org/download.php?type=client
如果直接去FILEZILLA在sourceforge上的儲存區看,本體應該是6.2M的檔案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
圖1
http://hirokofan.pixnet.net/album/photo/293481000
或是點一下那個頁面下方的Show additional download options,
這時候點下去才會直接抓到真的安裝檔
圖2
http://hirokofan.pixnet.net/album/photo/293480991
這兩個檔案放在一起一看就知道不一樣(檔名是相同的,真安裝檔我有改名)
圖3
http://hirokofan.pixnet.net/album/photo/293480994
把750K的下載程式丟去virustotal結果....
https://www.virustotal.com/zh-tw/file/1f27e7c63cb53646f48c3b4034d8df6d88663179c1e74c0d276621311c10aa3f/analysis/
縮 http://ppt.cc/HUvQ
6.2M的丟過去是沒問題的
https://www.virustotal.com/zh-tw/file/067434456db82d597d89de1c219db50dd506115fc06f726e919ae343b55d708c/analysis/
縮 http://ppt.cc/1ojO
6.2M的安裝程式的數位簽章如下圖
圖4
http://hirokofan.pixnet.net/album/photo/293480988
750K的下載程式數位簽署人則是IC Forge
圖5
http://hirokofan.pixnet.net/album/photo/293480997
而這個IC Forge的名聲....
http://www.herdprotect.com/signer-ic-forge-00cde3750c0eae95e01ed2375a67d7bd9e.aspx
縮 http://ppt.cc/u9hv
真的安裝檔並沒有[贈品],我認為是因為sourceforge有一些規範在,
讓他不敢把[贈品]包進去
已經安裝filezilla的系統在升級時是直接去sourceforge抓檔案回來升級,
因此目前來說(3.10版)舊版升級並不會碰到夾帶惡意檔案的問題
股狗filezilla malware發現一個地方
https://forum.filezilla-project.org/viewtopic.php?f=1&t=32945
官方回應基本上是跳針魂,他根本沒回答為啥使用者從filezilla官網抓安裝程式
回來裝軟體結果會中木馬的問題,只是一直說
1.SF上面的檔案是沒問題的
2.我有講那個連結會有贈品
3.林盃放在SF上的檔案是沒問題的,你們自己不看清楚下面那行字
所以很NICE的歪果仁也爆氣,炸了三字經過去....
這就跟我看味全的面子買你康師父的東西,結果你拿毒油製品給我吃;
我看你是大廠產品有名聲買你的主機板,結果你改版偷料魚目混珠
信賴被摧毀要重建是很難的,自由軟體遲早會被這種人玩死....-_-
作者: jh961202 (阿電)   2015-01-12 23:16:00
都用WinSCP
作者: kenwufederer (Nash)   2015-01-13 12:42:00
這樣有罪嗎?還是有辦法限制這種做法?
作者: hihieveryone (逐浪人)   2015-01-14 17:59:00
呵呵誰鳥你?
作者: George017 (阿丙)   2015-01-14 19:26:00
回報一下,最新版本3.10.0.1,大小6.09 MB我是選additional download option直接抓的版本是web setup所以其實是一個downloader這個downloader會去SF抓真正的offline installer然後會把它存在帳戶名稱/下載裡可能的問題應該是在跑downloader的途中問你要不要裝的那些東西,是因為這樣才被當木馬嗎?我在freemake遇過類似的情況,改版後多了幾個可選軟體然後就被G Data報了這個downloader在Virustotal的結果為10/56主要報的有AVG跟Avira以及Comodo如果真的是木馬,再過一陣子結果應該會有變動

Links booklink

Contact Us: admin [ a t ] ucptt.com