作者hirokofan (笠原弘子 命!)
看板AntiVirus
標題Fw: [黑特] filezilla我這麼相信你結果你藏木馬!
時間Mon Jan 12 21:59:49 2015
※ [本文轉錄自 EZsoft 看板 #1KizB-Rz ]
作者: hirokofan (笠原弘子 命!) 看板: EZsoft
標題: [黑特] filezilla我這麼相信你結果你藏木馬!
時間: Mon Jan 12 21:57:41 2015
filezilla的網站預設的連結藏有木馬,直接點連結,抓下來的是751K的下載工具
https://filezilla-project.org/download.php?type=client
如果直接去FILEZILLA在sourceforge上的儲存區看,本體應該是6.2M的檔案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
圖1
http://hirokofan.pixnet.net/album/photo/293481000
或是點一下那個頁面下方的Show additional download options,
這時候點下去才會直接抓到真的安裝檔
圖2
http://hirokofan.pixnet.net/album/photo/293480991
這兩個檔案放在一起一看就知道不一樣(檔名是相同的,真安裝檔我有改名)
圖3
http://hirokofan.pixnet.net/album/photo/293480994
把750K的下載程式丟去virustotal結果....
https://www.virustotal.com/zh-tw/file/1f27e7c63cb53646f48c3b4034d8df6d88663179c1e74c0d276621311c10aa3f/analysis/
縮
http://ppt.cc/HUvQ
6.2M的丟過去是沒問題的
https://www.virustotal.com/zh-tw/file/067434456db82d597d89de1c219db50dd506115fc06f726e919ae343b55d708c/analysis/
縮
http://ppt.cc/1ojO
6.2M的安裝程式的數位簽章如下圖
圖4
http://hirokofan.pixnet.net/album/photo/293480988
750K的下載程式數位簽署人則是IC Forge
圖5
http://hirokofan.pixnet.net/album/photo/293480997
而這個IC Forge的名聲....
http://www.herdprotect.com/signer-ic-forge-00cde3750c0eae95e01ed2375a67d7bd9e.aspx
縮
http://ppt.cc/u9hv
真的安裝檔並沒有[贈品],我認為是因為sourceforge有一些規範在,
讓他不敢把[贈品]包進去
已經安裝filezilla的系統在升級時是直接去sourceforge抓檔案回來升級,
因此目前來說(3.10版)舊版升級並不會碰到夾帶惡意檔案的問題
股狗filezilla malware發現一個地方
https://forum.filezilla-project.org/viewtopic.php?f=1&t=32945
官方回應基本上是跳針魂,他根本沒回答為啥使用者從filezilla官網抓安裝程式
回來裝軟體結果會中木馬的問題,只是一直說
1.SF上面的檔案是沒問題的
2.我有講那個連結會有贈品
3.林盃放在SF上的檔案是沒問題的,你們自己不看清楚下面那行字
所以很NICE的歪果仁也爆氣,炸了三字經過去....
這就跟我看味全的面子買你康師父的東西,結果你拿毒油製品給我吃;
我看你是大廠產品有名聲買你的主機板,結果你改版偷料魚目混珠
信賴被摧毀要重建是很難的,自由軟體遲早會被這種人玩死....-_-
--
◢███◣
◤ ≡ ______________________________________
─⊙-⊙- / \
皿 _/ 把台灣那些可悲的節目收一收 該吃飯了 /
◣ ︶◢ \______________________________________/
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.39.40.207
※ 文章網址: https://www.ptt.cc/bbs/EZsoft/M.1421071102.A.6FD.html
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: hirokofan (114.39.40.207), 01/12/2015 21:59:49
推 KCKCLIN: 01/12 22:28
推 jh961202: 都用WinSCP 01/12 23:16
推 kenwufederer: 這樣有罪嗎?還是有辦法限制這種做法? 01/13 12:42
→ hihieveryone: 呵呵 01/14 17:59
→ hihieveryone: 誰鳥你? 01/14 18:00
→ George017: 回報一下,最新版本3.10.0.1,大小6.09 MB 01/14 19:26
→ George017: 我是選additional download option 01/14 19:29
→ George017: 直接抓的版本是web setup 01/14 19:30
→ George017: 所以其實是一個downloader 01/14 19:30
→ George017: 這個downloader會去SF抓真正的offline installer 01/14 19:32
→ George017: 然後會把它存在帳戶名稱/下載裡 01/14 19:33
→ George017: 可能的問題應該是在跑downloader的途中問你要不要裝的 01/14 19:33
→ George017: 那些東西,是因為這樣才被當木馬嗎? 01/14 19:34
→ George017: 我在freemake遇過類似的情況,改版後多了幾個可選軟體 01/14 19:37
→ George017: 然後就被G Data報了 01/14 19:37
→ George017: 這個downloader在Virustotal的結果為10/56 01/14 19:39
→ George017: 主要報的有AVG跟Avira以及Comodo 01/14 19:40
→ George017: 如果真的是木馬,再過一陣子結果應該會有變動 01/14 19:41