28.01.2014, 09:41
Na blogu Avasta pojawiła się wczoraj informacja o wykryciufałszywych wersji FileZilla- popularnego klienta FTP rozwijanego jako open source- noszą one numery 3.5.3i 3.7.3 . Wersje fałszywe są dostępne na stronach wyglądających bardzo solidnie i na pierwszy rzut oka nie budzi zastrzeżeń, dopiero dalsza analiza wskazuje na to, że możemy mieć do czynienia z fałszywą stroną, co widać jako np. komentarze użytkowników nie w postaci tekstu na stronie, ale jako obrazu. Poniżej przykłady takich stron
![[Obrazek: web_01.jpg]](https://blog.avast.com/wp-content/uploads/2014/01/web_01.jpg)
![[Obrazek: web_02.jpg]](https://blog.avast.com/wp-content/uploads/2014/01/web_02.jpg)
![[Obrazek: web_03.jpg]](https://blog.avast.com/wp-content/uploads/2014/01/web_03.jpg)
Instalator, interfejs programu (kolorystyka, przyciski, napisy, itp.) i jego funkcjonalność są dokładnie takie same ...wszystko działa jak należy i nie budzi żadnych podejrzeń nawet średnio zaawansowanego użytkownika, a to co różni fałszywe wersje od oryginalnych to:
- instalator oficjalny używa kodowanie wg Unicode w. 2.46.3, a fałszywy wersji starszej - 2.45
- fałszywy instalator filezilla.exejest "lżejszy" o ok. 6,8 MB i zawiera dodatkowe 2 biblioteki (nie istniejące w wersji oryginalnej) o nazwach ibgcc_s_dw2-1.dll oraz libstdc++-6.dll
- wersje SQLite/GnuTLS widoczne w oknie "o programie" są w fałszywym programie starsze
![[Obrazek: about_windows.jpg]](https://blog.avast.com/wp-content/uploads/2014/01/about_windows.jpg)
- jedyna różnica w funkcjonowaniu fałszywej wersji to niemożność jejaktualizacji, a to z obawy, że zostanie nadpisana dobrym, legalnym kodem.
Fałszywa wersja omijając zaporę, wysyła zakodowana informację z danymi logowania użytkownika...jest to jednorazowa, bardzo i krótka i cicha operacja i widoczna dopiero po dokładnej analizie. Dane przesyłane są do serwera hostowanego w Niemczech, ale w domenie o bardzo złej reputacji - Naunet.ru - kojarzonej z aktywnością malware i spamerską.
Avast podejrzewa, że skradzione dane logowania mogą posłużyć w przyszłości do kradzieży innych danych dostępnych na serwerach FTP, a ponadto atakujący mogą pobierać na swoje serwery zawartość całych stron internetowych zawierających np. dane z kont bankowych, prywatne informacje, itp. Najdziwniejsze jest jednak to, że skompilowana we wrześniu 2012 fałszywa wersja 3.53 do tej pory nie była notowana jako wskazanie na VT.
W związku z powyższym zalecane jest pobieranie programu FileZilla tylko ze znanych i zaufanych źródeł, a najlepiej ze strony programu.
Źródło informacji
Instalator, interfejs programu (kolorystyka, przyciski, napisy, itp.) i jego funkcjonalność są dokładnie takie same ...wszystko działa jak należy i nie budzi żadnych podejrzeń nawet średnio zaawansowanego użytkownika, a to co różni fałszywe wersje od oryginalnych to:
- instalator oficjalny używa kodowanie wg Unicode w. 2.46.3, a fałszywy wersji starszej - 2.45
- fałszywy instalator filezilla.exejest "lżejszy" o ok. 6,8 MB i zawiera dodatkowe 2 biblioteki (nie istniejące w wersji oryginalnej) o nazwach ibgcc_s_dw2-1.dll oraz libstdc++-6.dll
- wersje SQLite/GnuTLS widoczne w oknie "o programie" są w fałszywym programie starsze
- jedyna różnica w funkcjonowaniu fałszywej wersji to niemożność jejaktualizacji, a to z obawy, że zostanie nadpisana dobrym, legalnym kodem.
Fałszywa wersja omijając zaporę, wysyła zakodowana informację z danymi logowania użytkownika...jest to jednorazowa, bardzo i krótka i cicha operacja i widoczna dopiero po dokładnej analizie. Dane przesyłane są do serwera hostowanego w Niemczech, ale w domenie o bardzo złej reputacji - Naunet.ru - kojarzonej z aktywnością malware i spamerską.
Avast podejrzewa, że skradzione dane logowania mogą posłużyć w przyszłości do kradzieży innych danych dostępnych na serwerach FTP, a ponadto atakujący mogą pobierać na swoje serwery zawartość całych stron internetowych zawierających np. dane z kont bankowych, prywatne informacje, itp. Najdziwniejsze jest jednak to, że skompilowana we wrześniu 2012 fałszywa wersja 3.53 do tej pory nie była notowana jako wskazanie na VT.
W związku z powyższym zalecane jest pobieranie programu FileZilla tylko ze znanych i zaufanych źródeł, a najlepiej ze strony programu.
Źródło informacji
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"