※ [本文转录自 EZsoft 看板 #1KizB-Rz ]
作者: hirokofan (笠原弘子 命！) 看板: EZsoft
标题: [黑特] filezilla我这么相信你结果你藏木马！
时间: Mon Jan 12 21:57:41 2015
filezilla的网站默认的连结藏有木马，直接点连结，抓下来的是751K的下载工具
https://filezilla-project.org/download.php?type=client
如果直接去FILEZILLA在sourceforge上的储存区看，本体应该是6.2M的档案
http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/
图1
http://hirokofan.pixnet.net/album/photo/293481000
或是点一下那个页面下方的Show additional download options，
这时候点下去才会直接抓到真的安装档
图2
http://hirokofan.pixnet.net/album/photo/293480991
这两个档案放在一起一看就知道不一样（档名是相同的，真安装档我有改名）
图3
http://hirokofan.pixnet.net/album/photo/293480994
把750K的下载程式丢去virustotal结果....
https://www.virustotal.com/zh-tw/file/1f27e7c63cb53646f48c3b4034d8df6d88663179c1e74c0d276621311c10aa3f/analysis/
缩

6.2M的丢过去是没问题的
https://www.virustotal.com/zh-tw/file/067434456db82d597d89de1c219db50dd506115fc06f726e919ae343b55d708c/analysis/
缩

6.2M的安装程式的数位签章如下图
图4
http://hirokofan.pixnet.net/album/photo/293480988
750K的下载程式数位签署人则是IC Forge
图5
http://hirokofan.pixnet.net/album/photo/293480997
而这个IC Forge的名声....
http://www.herdprotect.com/signer-ic-forge-00cde3750c0eae95e01ed2375a67d7bd9e.aspx
缩

真的安装档并没有[赠品]，我认为是因为sourceforge有一些规范在，
让他不敢把[赠品]包进去
已经安装filezilla的系统在升级时是直接去sourceforge抓档案回来升级，
因此目前来说(3.10版)旧版升级并不会碰到夹带恶意档案的问题
股狗filezilla malware发现一个地方
https://forum.filezilla-project.org/viewtopic.php?f=1&t=32945
官方回应基本上是跳针魂，他根本没回答为啥使用者从filezilla官网抓安装程式
回来装软件结果会中木马的问题，只是一直说
1.SF上面的档案是没问题的
2.我有讲那个连结会有赠品
3.林杯放在SF上的档案是没问题的，你们自己不看清楚下面那行字
所以很NICE的歪果仁也爆气，炸了三字经过去....
这就跟我看味全的面子买你康师父的东西，结果你拿毒油制品给我吃；
我看你是大厂产品有名声买你的主机板，结果你改版偷料鱼目混珠
信赖被摧毁要重建是很难的，自由软件迟早会被这种人玩死....-_-

都用WinSCP

这样有罪吗？还是有办法限制这种做法？

呵呵谁鸟你?

回报一下，最新版本3.10.0.1，大小6.09 MB我是选additional download option直接抓的版本是web setup所以其实是一个downloader这个downloader会去SF抓真正的offline installer然后会把它存在帐户名称/下载里可能的问题应该是在跑downloader的途中问你要不要装的那些东西，是因为这样才被当木马吗？我在freemake遇过类似的情况，改版后多了几个可选软件然后就被G Data报了这个downloader在Virustotal的结果为10/56主要报的有AVG跟Avira以及Comodo如果真的是木马，再过一阵子结果应该会有变动