Zaufana Trzecia Strona informuje, że FileZilla – popularny darmowy klient FTP, często wykorzystywany w korporacjach – może zawierać złośliwe oprogramowanie.

 

W wątku na forum programu opisano sytuację, kiedy przeskanowany zestawem antywirusów na stronie VirusTotal instalator programu okazał się zawierać podejrzany kod. Odpowiedź programisty brzmiała: standardowe, opcjonalne instalatory firm trzecich.

 

Później okazało się, że hash pliku nie zgadza się z tym podawanym na stronie programu – co twórca skwitował stwierdzeniem, że „hash nie zgadza się ze względu na inną nazwę pliku”. Co jest oczywistą bzdurą.

 

Jeden z bardziej dociekliwych użytkowników poddał analizie działanie instalatora za pomocą narzędzia CarbonBlack. Rezultaty są bardzo niepokojące.

 

Okazuje się, że instalator podczas działania tworzy m.in. proces o nazwie tofufeti.exe, który otwiera kilka kolejnych. Następnie, z 3 różnych serwerów pobierane są 3 fragmenty pliku .DAT, które łączone są w całość. Plik jest uruchamiany, a na końcu – kasowany. Tego rodzaju działanie jest jednym ze sposobów na omijanie zabezpieczeń przez złośliwe oprogramowanie.

 

Dodatkowym zagrożeniem jest fakt, że 3 wspomniane adresy były już wiązane z dystrybucją złośliwego oprogramowania.

 

Twórca programu nie dostarczył żadnego wiarygodnego wytłumaczenia zachowania instalatora. Na tym etapie należy uznać, że program FileZilla może być niebezpieczny i nieuzasadnionym ryzykiem byłoby używanie go na jakichkolwiek komputerach firmowych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *