※ [本文轉錄自 EZsoft 看板 #1KizB-Rz ]
作者: hirokofan (笠原弘子 命!) 看板: EZsoft
標題: [黑特] filezilla我這麼相信你結果你藏木馬!
時間: Mon Jan 12 21:57:41 2015
filezilla的網站預設的連結藏有木馬,直接點連結,抓下來的是751K的下載工具
https://filezilla-project.org/download.php?type=client
如果直接去FILEZILLA在sourceforge上的儲存區看,本體應該是6.2M的檔案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
圖1
http://hirokofan.pixnet.net/album/photo/293481000
或是點一下那個頁面下方的Show additional download options,
這時候點下去才會直接抓到真的安裝檔
圖2
http://hirokofan.pixnet.net/album/photo/293480991
這兩個檔案放在一起一看就知道不一樣(檔名是相同的,真安裝檔我有改名)
圖3
http://hirokofan.pixnet.net/album/photo/293480994
把750K的下載程式丟去virustotal結果....
https://www.virustotal.com/zh-tw/file/1f27e7c63cb53646f48c3b4034d8df6d88663179c1e74c0d276621311c10aa3f/analysis/
縮 http://ppt.cc/HUvQ
6.2M的丟過去是沒問題的
https://www.virustotal.com/zh-tw/file/067434456db82d597d89de1c219db50dd506115fc06f726e919ae343b55d708c/analysis/
縮 http://ppt.cc/1ojO
6.2M的安裝程式的數位簽章如下圖
圖4
http://hirokofan.pixnet.net/album/photo/293480988
750K的下載程式數位簽署人則是IC Forge
圖5
http://hirokofan.pixnet.net/album/photo/293480997
而這個IC Forge的名聲....
http://www.herdprotect.com/signer-ic-forge-00cde3750c0eae95e01ed2375a67d7bd9e.aspx
縮 http://ppt.cc/u9hv
真的安裝檔並沒有[贈品],我認為是因為sourceforge有一些規範在,
讓他不敢把[贈品]包進去
已經安裝filezilla的系統在升級時是直接去sourceforge抓檔案回來升級,
因此目前來說(3.10版)舊版升級並不會碰到夾帶惡意檔案的問題
股狗filezilla malware發現一個地方
https://forum.filezilla-project.org/viewtopic.php?f=1&t=32945
官方回應基本上是跳針魂,他根本沒回答為啥使用者從filezilla官網抓安裝程式
回來裝軟體結果會中木馬的問題,只是一直說
1.SF上面的檔案是沒問題的
2.我有講那個連結會有贈品
3.林盃放在SF上的檔案是沒問題的,你們自己不看清楚下面那行字
所以很NICE的歪果仁也爆氣,炸了三字經過去....
這就跟我看味全的面子買你康師父的東西,結果你拿毒油製品給我吃;
我看你是大廠產品有名聲買你的主機板,結果你改版偷料魚目混珠
信賴被摧毀要重建是很難的,自由軟體遲早會被這種人玩死....-_-