Instalator FileZilli może instalować szkodliwe dodadtki

[Grandalf]

Darmowe, wygodne i przydatne oprogramowanie bardzo często tworzone jest przez pasjonatów. Niestety nie zawsze bezpieczeństwo użytkowników jest dla nich priorytetem, co czasem może kończyć się sporym zagrożeniem.

Pewnie większość z Was kojarzy FileZillę – popularny i funkcjonalny program służący m.in. do obsługi protokołu FTP. Niestety wygląda na to, że Tim Kosse, twórca aplikacji utrzymujący i rozwijający ją od 17 lat, nie potrafi wytłumaczyć dziwnych zachowań jej instalatora na platformie Windows i ignoruje ostrzeżenia użytkowników.

Co robi ten instalator

Natrafiliśmy na Twitterze na linka do ciekawego wątku na forum FileZilli. Zaczyna się on ponad pół roku temu, ale ostatnio stał się dość aktywny i przynosi niepokojące wnioski. Jeden z użytkowników FileZilli zgłosił, że po wgraniu instalatora do serwisu VirusTotal

Zaloguj lub Zarejestruj się aby zobaczyć!

. Ich pobieżna analiza pokazuje, że problemem były aplikacje dodawane do instalatora – to popularny proces, w którym twórcy darmowego oprogramowania mogą zarobić na współpracy z twórcami innych aplikacji, sugerowanych w procesie instalacji. Wątek zaczyna się niewinnie – Tim Kosse informuje po prostu, że w jego instalatorze nie ma złośliwego oprogramowania.

Wkrótce potem jeden z użytkowników zauważa, że hash SHA256 pliku instalatora nie zgadza się z tym opublikowanym na stronie producenta. Tu Tim Kosse komentuje następująco:

hash nie pasuje bo nie pasuje nazwa pliku

To dość kuriozalna uwaga – hash pliku nie zależy od jego nazwy. Być może Timowi chodziło o to, że hash dotyczył innego pliku. Ale idźmy dalej. Krótko potem pojawia się inny użytkownik, który pokazuje analizę uruchamiania instalatora FileZilli z narzędzia CarbonBlack. Widzimy dziwne procesy, uruchamiające dziwne procesy.

Okazuje się, że według analizy tego użytkownika instalator FileZilli, po wybraniu opcji instalowania dodatkowego oprogramowania, tworzy proces tofufeti.exe, który następnie tworzy kolejne procesy pobierające z zewnętrznych serwerów fragmenty plików .dat, by połączyć je potem w jeden plik, uruchomić i skasować. Co więcej, fragmenty plików pobierane są z IP/domen:

• 54.225.173.220 (goquc.com),
• 52.84.25.26 (d39ievd5spb5kl.cloudfront.net),
• 34.208.177.52 (gubuh.com).

Wymienione domeny nie posiadają danych rejestrującego. Cały proces wygląda bardzo podejrzanie – pobieranie kawałków plików z różnych miejsc w sieci i późniejsze łączenie ich w plik wykonywalny wygląda zupełnie jak działanie złośliwego oprogramowania próbującego ominąć mechanizmy monitorowania ruchu sieciowego. Powyższe obserwacje w sporej części potwierdza

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Reakcja twórcy

Choć sam proces instalacji dodatkowego oprogramowania wygląda podejrzanie, to wcale nie musi to oznaczać pobierania złośliwego kodu. Być może były to zupełnie niewinne programy, których użytkownik może potrzebować. Najdziwniejsze w tej sytuacji są odpowiedzi samego autora FileZilli. Użytkownicy zapytali, jakie oprogramowanie jest instalowane w ten sposób, a w odpowiedzi usłyszeli:

• instalowane jest to, na co użytkownik wyraził zgodę,
• gdy nie wyraził zgody, to nie jest instalowane,
• skoro wyraził zgodę, to znaczy, że wszystko jest OK,
• ostrzeżenia programów antywirusowych to wynik ostrej konkurencji na rynku oprogramowania dodawanego do instalatorów, bo producenci AV też na nim konkurują.

Inni użytkownicy szybko zauważyli, że wspomniane wyżej domeny

Zaloguj lub Zarejestruj się aby zobaczyć!

także w kontekście zdecydowanie

Zaloguj lub Zarejestruj się aby zobaczyć!

oprogramowania. Mimo tego twórca FileZilli nadal odmawia wyjaśnienia, jakie oprogramowanie było instalowane, w ten sposób wskazując pośrednio, że nie ma pojęcia, co dołączane jest do jego instalatorów.

Podsumowanie

Choć nie ma dowodów na to, że FileZilla instaluje złośliwe oprogramowanie, to podejście jej twórcy i brak wiedzy o dodawanym oprogramowaniu wskazują, że lepiej uniemożliwić użytkownikom jej instalowanie w sieciach firmowych. Dobrą alternatywą może być WinSCP. Jeśli sami korzystacie z FileZilli w systemie Windows i jesteście przytomnymi internautami, to wystarczy, że zwrócicie uwagę by nigdy nie wybrać opcji instalowania dodatkowego oprogramowania. Tworzenie darmowego oprogramowania i jego utrzymywanie to ciężki kawałek chleba – jednak nie usprawiedliwia to ignorowania obaw i ostrzeżeń użytkowników

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[OXYGEN THIEF]

Tak to już niestety jest że wiele dobrych darmowych programów ma dołączone jakieś zewnętrzne badziewie, winić producenta nie ma co bo on też potrzebuje żyć.Winni są tu użytkownicy którzy klikają na przysłowiową pałę - Dalej/Next - zanim sprawdzą co program chce instalować dodatkowo, a potem wielki kwik,ryk,płacz i gadanie o matko mam wirusa + pisanie że program XXX to wirus.Tak się niszczy reputacje dobrych programów.Ile też w sieci można przeczytać komentarzy o tym że jakiś tam program to wirus bo jego antywirus tak pokazuje, nikt nie bierze pod uwagę tego że antywirusy też strzelają fałszywymi alarmami szczególnie w przypadku nowych programów.

 

[spamtrash]