Instalator FileZilli może instalować szkodliwe dodadtki

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19212
Reakcje/Polubienia
55934
Darmowe, wygodne i przydatne oprogramowanie bardzo często tworzone jest przez pasjonatów. Niestety nie zawsze bezpieczeństwo użytkowników jest dla nich priorytetem, co czasem może kończyć się sporym zagrożeniem.

Pewnie większość z Was kojarzy FileZillę – popularny i funkcjonalny program służący m.in. do obsługi protokołu FTP. Niestety wygląda na to, że Tim Kosse, twórca aplikacji utrzymujący i rozwijający ją od 17 lat, nie potrafi wytłumaczyć dziwnych zachowań jej instalatora na platformie Windows i ignoruje ostrzeżenia użytkowników.

Co robi ten instalator

Natrafiliśmy na Twitterze na linka do ciekawego wątku na forum FileZilli. Zaczyna się on ponad pół roku temu, ale ostatnio stał się dość aktywny i przynosi niepokojące wnioski. Jeden z użytkowników FileZilli zgłosił, że po wgraniu instalatora do serwisu VirusTotal
Zaloguj lub Zarejestruj się aby zobaczyć!
. Ich pobieżna analiza pokazuje, że problemem były aplikacje dodawane do instalatora – to popularny proces, w którym twórcy darmowego oprogramowania mogą zarobić na współpracy z twórcami innych aplikacji, sugerowanych w procesie instalacji. Wątek zaczyna się niewinnie – Tim Kosse informuje po prostu, że w jego instalatorze nie ma złośliwego oprogramowania.

Wkrótce potem jeden z użytkowników zauważa, że hash SHA256 pliku instalatora nie zgadza się z tym opublikowanym na stronie producenta. Tu Tim Kosse komentuje następująco:
hash nie pasuje bo nie pasuje nazwa pliku
Kliknij aby rozwinąć...
To dość kuriozalna uwaga – hash pliku nie zależy od jego nazwy. Być może Timowi chodziło o to, że hash dotyczył innego pliku. Ale idźmy dalej. Krótko potem pojawia się inny użytkownik, który pokazuje analizę uruchamiania instalatora FileZilli z narzędzia CarbonBlack. Widzimy dziwne procesy, uruchamiające dziwne procesy.

filezilla-580x254.png

Okazuje się, że według analizy tego użytkownika instalator FileZilli, po wybraniu opcji instalowania dodatkowego oprogramowania, tworzy proces tofufeti.exe, który następnie tworzy kolejne procesy pobierające z zewnętrznych serwerów fragmenty plików .dat, by połączyć je potem w jeden plik, uruchomić i skasować. Co więcej, fragmenty plików pobierane są z IP/domen:

  • 54.225.173.220 (goquc.com),
  • 52.84.25.26 (d39ievd5spb5kl.cloudfront.net),
  • 34.208.177.52 (gubuh.com).
Wymienione domeny nie posiadają danych rejestrującego. Cały proces wygląda bardzo podejrzanie – pobieranie kawałków plików z różnych miejsc w sieci i późniejsze łączenie ich w plik wykonywalny wygląda zupełnie jak działanie złośliwego oprogramowania próbującego ominąć mechanizmy monitorowania ruchu sieciowego. Powyższe obserwacje w sporej części potwierdza
Zaloguj lub Zarejestruj się aby zobaczyć!
.

Reakcja twórcy

Choć sam proces instalacji dodatkowego oprogramowania wygląda podejrzanie, to wcale nie musi to oznaczać pobierania złośliwego kodu. Być może były to zupełnie niewinne programy, których użytkownik może potrzebować. Najdziwniejsze w tej sytuacji są odpowiedzi samego autora FileZilli. Użytkownicy zapytali, jakie oprogramowanie jest instalowane w ten sposób, a w odpowiedzi usłyszeli:
  • instalowane jest to, na co użytkownik wyraził zgodę,
  • gdy nie wyraził zgody, to nie jest instalowane,
  • skoro wyraził zgodę, to znaczy, że wszystko jest OK,
  • ostrzeżenia programów antywirusowych to wynik ostrej konkurencji na rynku oprogramowania dodawanego do instalatorów, bo producenci AV też na nim konkurują.
Inni użytkownicy szybko zauważyli, że wspomniane wyżej domeny
Zaloguj lub Zarejestruj się aby zobaczyć!
także w kontekście zdecydowanie
Zaloguj lub Zarejestruj się aby zobaczyć!
oprogramowania. Mimo tego twórca FileZilli nadal odmawia wyjaśnienia, jakie oprogramowanie było instalowane, w ten sposób wskazując pośrednio, że nie ma pojęcia, co dołączane jest do jego instalatorów.

Podsumowanie

Choć nie ma dowodów na to, że FileZilla instaluje złośliwe oprogramowanie, to podejście jej twórcy i brak wiedzy o dodawanym oprogramowaniu wskazują, że lepiej uniemożliwić użytkownikom jej instalowanie w sieciach firmowych. Dobrą alternatywą może być WinSCP. Jeśli sami korzystacie z FileZilli w systemie Windows i jesteście przytomnymi internautami, to wystarczy, że zwrócicie uwagę by nigdy nie wybrać opcji instalowania dodatkowego oprogramowania. Tworzenie darmowego oprogramowania i jego utrzymywanie to ciężki kawałek chleba – jednak nie usprawiedliwia to ignorowania obaw i ostrzeżeń użytkowników
Kliknij aby rozwinąć...
źródło:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
OXYGEN THIEF

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
36174
Reakcje/Polubienia
25293
Miasto
Trololololo
Tak to już niestety jest że wiele dobrych darmowych programów ma dołączone jakieś zewnętrzne badziewie, winić producenta nie ma co bo on też potrzebuje żyć.Winni są tu użytkownicy którzy klikają na przysłowiową pałę - Dalej/Next - zanim sprawdzą co program chce instalować dodatkowo, a potem wielki kwik,ryk,płacz i gadanie o matko mam wirusa + pisanie że program XXX to wirus.Tak się niszczy reputacje dobrych programów.Ile też w sieci można przeczytać komentarzy o tym że jakiś tam program to wirus bo jego antywirus tak pokazuje, nikt nie bierze pod uwagę tego że antywirusy też strzelają fałszywymi alarmami szczególnie w przypadku nowych programów.
 
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

spamtrash
Kimusky (Korea Polnocna): narzedzie do wysylania "fajnych" emili.
Odpowiedzi
0
Wyświetleń
41
spamtrash
spamtrash
Ircus
Uwaga na SMSy dotyczące “długów"
Odpowiedzi
0
Wyświetleń
76
Ircus
Ircus
spamtrash
CISA - New Gen Malware Analysis Tool
Odpowiedzi
0
Wyświetleń
61
spamtrash
spamtrash
Grandalf
TheMoon infekuje starsze routery ASUS
Odpowiedzi
1
Wyświetleń
93
spamtrash
spamtrash
Grandalf
Ktoś klonuje prawdziwe repozytoria na GitHub i dodaje złośliwy kod
Odpowiedzi
1
Wyświetleń
126
spamtrash
spamtrash
Do góry