ENZaufana Trzecia Strona informuje, że FileZilla – popularny darmowy klient FTP, często wykorzystywany w korporacjach – może zawierać złośliwe oprogramowanie.
W wątku na forum programu opisano sytuację, kiedy przeskanowany zestawem antywirusów na stronie VirusTotal instalator programu okazał się zawierać podejrzany kod. Odpowiedź programisty brzmiała: standardowe, opcjonalne instalatory firm trzecich.
Później okazało się, że hash pliku nie zgadza się z tym podawanym na stronie programu – co twórca skwitował stwierdzeniem, że „hash nie zgadza się ze względu na inną nazwę pliku”. Co jest oczywistą bzdurą.
Jeden z bardziej dociekliwych użytkowników poddał analizie działanie instalatora za pomocą narzędzia CarbonBlack. Rezultaty są bardzo niepokojące.
Okazuje się, że instalator podczas działania tworzy m.in. proces o nazwie tofufeti.exe, który otwiera kilka kolejnych. Następnie, z 3 różnych serwerów pobierane są 3 fragmenty pliku .DAT, które łączone są w całość. Plik jest uruchamiany, a na końcu – kasowany. Tego rodzaju działanie jest jednym ze sposobów na omijanie zabezpieczeń przez złośliwe oprogramowanie.
Dodatkowym zagrożeniem jest fakt, że 3 wspomniane adresy były już wiązane z dystrybucją złośliwego oprogramowania.
Twórca programu nie dostarczył żadnego wiarygodnego wytłumaczenia zachowania instalatora. Na tym etapie należy uznać, że program FileZilla może być niebezpieczny i nieuzasadnionym ryzykiem byłoby używanie go na jakichkolwiek komputerach firmowych.