作者hirokofan (笠原弘子 命!)
看板EZsoft
标题[黑特] filezilla我这麽相信你结果你藏木马!
时间Mon Jan 12 21:57:41 2015
filezilla的网站预设的连结藏有木马,直接点连结,抓下来的是751K的下载工具
https://filezilla-project.org/download.php?type=client
如果直接去FILEZILLA在sourceforge上的储存区看,本体应该是6.2M的档案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
图1
http://hirokofan.pixnet.net/album/photo/293481000
或是点一下那个页面下方的Show additional download options,
这时候点下去才会直接抓到真的安装档
图2
http://hirokofan.pixnet.net/album/photo/293480991
这两个档案放在一起一看就知道不一样(档名是相同的,真安装档我有改名)
图3
http://hirokofan.pixnet.net/album/photo/293480994
把750K的下载程式丢去virustotal结果....
https://www.virustotal.com/zh-tw/file/1f27e7c63cb53646f48c3b4034d8df6d88663179c1e74c0d276621311c10aa3f/analysis/
缩
http://ppt.cc/HUvQ
6.2M的丢过去是没问题的
https://www.virustotal.com/zh-tw/file/067434456db82d597d89de1c219db50dd506115fc06f726e919ae343b55d708c/analysis/
缩
http://ppt.cc/1ojO
6.2M的安装程式的数位签章如下图
图4
http://hirokofan.pixnet.net/album/photo/293480988
750K的下载程式数位签署人则是IC Forge
图5
http://hirokofan.pixnet.net/album/photo/293480997
而这个IC Forge的名声....
http://www.herdprotect.com/signer-ic-forge-00cde3750c0eae95e01ed2375a67d7bd9e.aspx
缩
http://ppt.cc/u9hv
真的安装档并没有[赠品],我认为是因为sourceforge有一些规范在,
让他不敢把[赠品]包进去
已经安装filezilla的系统在升级时是直接去sourceforge抓档案回来升级,
因此目前来说(3.10版)旧版升级并不会碰到夹带恶意档案的问题
股狗filezilla malware发现一个地方
https://forum.filezilla-project.org/viewtopic.php?f=1&t=32945
官方回应基本上是跳针魂,他根本没回答为啥使用者从filezilla官网抓安装程式
回来装软体结果会中木马的问题,只是一直说
1.SF上面的档案是没问题的
2.我有讲那个连结会有赠品
3.林盃放在SF上的档案是没问题的,你们自己不看清楚下面那行字
所以很NICE的歪果仁也爆气,炸了三字经过去....
这就跟我看味全的面子买你康师父的东西,结果你拿毒油制品给我吃;
我看你是大厂产品有名声买你的主机板,结果你改版偷料鱼目混珠
信赖被摧毁要重建是很难的,自由软体迟早会被这种人玩死....-_-
--
◢███◣
◤ ≡ ______________________________________
─⊙-⊙- / \
皿 _/ 把台湾那些可悲的节目收一收 该吃饭了 /
◣ ︶◢ \______________________________________/
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.39.40.207
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/EZsoft/M.1421071102.A.6FD.html
※ hirokofan:转录至看板 AntiVirus 01/12 21:59
1F:推 spfy: 赠品那段是不是怪怪的? 看不懂你说的意思 01/12 22:21
2F:推 spfy: 第一个连结点下去也是在sourceforge下载到751K的档案? 01/12 22:23
3F:→ Bellkna: 其实有不少免费软体都这样搞了 安装档都带有怪东西 01/12 22:27
4F:→ Bellkna: 我自己是尽量用免安装档 要安装的也要小心看 01/12 22:27
5F:→ Bellkna: 再来就是 能上sf上抓的都尽量在sf上下载 比较没问题 01/12 22:28
6F:→ Bellkna: sf上的都有checksum 下载後检查一下也比较安心 01/12 22:28
7F:→ hirokofan: 赠品->木马 01/12 22:29
751K的程式实际上是从这里抓回去的
http://cdn.srcfrgfilesdeliver.com/?ic_user_id=128
※ 编辑: hirokofan (114.39.40.207), 01/12/2015 22:44:05
8F:推 spfy: 我知道你指的是木马 但第一个连结也是从SF下载吧? 01/12 22:40
10F:→ Kenqr: 这个画面点6.1MB那个连结,抓下来的也是700多k的有问题档案 01/12 22:53
11F:→ Kenqr: 而且档案图示是sourceforge的图示,所以可能是sf的问题? 01/12 22:54
12F:→ hirokofan: 下面有个Direct Download Link: Off,点一下改成ON 01/12 23:06
13F:→ hirokofan: 我的火狐因为有装no script所以不会抓到750K的档案 01/12 23:13
14F:→ hirokofan: 停用之後就只能抓到750K的,不然就是要点那个 01/12 23:13
15F:→ hirokofan: Direct Download Link 把设定切成on才行 01/12 23:14
16F:→ CP64: 我是点连结进去会跳到 sourceforge 的下载页但是不会自动 01/12 23:25
17F:→ CP64: 下载 但是点里面的 direct link 下来是正常的 @@ 01/12 23:26
18F:推 xvid: 就downloader而已阿 不爽下载器自己去Direct Download Link 01/12 23:30
19F:→ xvid: 切换 这好几年了...有什麽好大惊小怪 01/12 23:31
20F:推 rick65134: 楼上的xvid是看不懂中文吗? 那是有"赠品"的downloader! 01/13 00:19
21F:→ yukitowu: 不能直接点那个连结下载已经有好一段时间了 01/13 00:19
22F:→ xvid: 我晓得阿 就说几年前就有了 自己多留意吧 01/13 00:26
23F:→ rick65134: 其实有问题的是SF 不是FZ 而且只会发生在exe档上面 01/13 00:56
24F:推 chang0206: 还好现在都尽量用 portable 的软体了... 01/13 13:54
25F:推 springman: 我也尽量用 portable 的软体,希望不会有问题。 01/13 18:06
26F:→ eva19452002: 我会使用官方的portable软体,至於非官方的portable 01/13 18:12
27F:→ eva19452002: 软体如XX福利味,就不想用,因为那是後制的portable 01/13 18:13
28F:推 mstar: XX福利味的东西其实可以用压缩软体打开,只取主要程式来用 01/13 21:02
29F:→ mstar: 就变成免安装版了,只是不能 portable 01/13 21:03
30F:→ Bellkna: 後制的也不太敢用 原则上还是尽量官方的为主 01/13 22:04
31F:推 norlan17m: 看不懂,700k的看起来是downloader,里面有木马? 01/13 22:30
32F:→ hirokofan: 很多人反应装完之後电脑多了个mypcbackup,安装时 01/14 09:17
33F:→ hirokofan: 已经选不要了还塞进去,这根本是流氓软体的行径 01/14 09:18
34F:→ c98406023: 就算装官方版还是会附加软体存在 01/15 16:47
35F:→ KawasumiMai: 悲剧,那这样更新不就= = 01/15 19:15
36F:推 xvid: filezilla installer并没有其他附加软体阿 c98你有看内文吗 01/15 19:23