PTT數位生活區 / AntiVirus (防毒)

Fw: [黑特] filezilla我這麼相信你結果你藏木馬!

看板AntiVirus (防毒)作者 (笠原弘子 命!)時間11年前 (2015/01/12 21:59), 編輯推噓3(3015)
留言18則, 5人參與, 最新討論串1/2 (看更多)
※ [本文轉錄自 EZsoft 看板 #1KizB-Rz ] 作者: hirokofan (笠原弘子 命!) 看板: EZsoft 標題: [黑特] filezilla我這麼相信你結果你藏木馬! 時間: Mon Jan 12 21:57:41 2015 filezilla的網站預設的連結藏有木馬,直接點連結,抓下來的是751K的下載工具 https://filezilla-project.org/download.php?type=client 如果直接去FILEZILLA在sourceforge上的儲存區看,本體應該是6.2M的檔案 http://sourceforge.net/projects/filezilla/files/FileZilla_Client/3.10.0/ 圖1 http://hirokofan.pixnet.net/album/photo/293481000 或是點一下那個頁面下方的Show additional download options, 這時候點下去才會直接抓到真的安裝檔 圖2 http://hirokofan.pixnet.net/album/photo/293480991 這兩個檔案放在一起一看就知道不一樣(檔名是相同的,真安裝檔我有改名) 圖3 http://hirokofan.pixnet.net/album/photo/293480994 把750K的下載程式丟去virustotal結果.... https://www.virustotal.com/zh-tw/file/1f27e7c63cb53646f48c3b4034d8df6d88663179c1e74c0d276621311c10aa3f/analysis/http://ppt.cc/HUvQ 6.2M的丟過去是沒問題的 https://www.virustotal.com/zh-tw/file/067434456db82d597d89de1c219db50dd506115fc06f726e919ae343b55d708c/analysis/http://ppt.cc/1ojO 6.2M的安裝程式的數位簽章如下圖 圖4 http://hirokofan.pixnet.net/album/photo/293480988 750K的下載程式數位簽署人則是IC Forge 圖5 http://hirokofan.pixnet.net/album/photo/293480997 而這個IC Forge的名聲.... http://www.herdprotect.com/signer-ic-forge-00cde3750c0eae95e01ed2375a67d7bd9e.aspxhttp://ppt.cc/u9hv 真的安裝檔並沒有[贈品],我認為是因為sourceforge有一些規範在, 讓他不敢把[贈品]包進去 已經安裝filezilla的系統在升級時是直接去sourceforge抓檔案回來升級, 因此目前來說(3.10版)舊版升級並不會碰到夾帶惡意檔案的問題 股狗filezilla malware發現一個地方 https://forum.filezilla-project.org/viewtopic.php?f=1&t=32945 官方回應基本上是跳針魂,他根本沒回答為啥使用者從filezilla官網抓安裝程式 回來裝軟體結果會中木馬的問題,只是一直說 1.SF上面的檔案是沒問題的 2.我有講那個連結會有贈品 3.林盃放在SF上的檔案是沒問題的,你們自己不看清楚下面那行字 所以很NICE的歪果仁也爆氣,炸了三字經過去.... 這就跟我看味全的面子買你康師父的東西,結果你拿毒油製品給我吃; 我看你是大廠產品有名聲買你的主機板,結果你改版偷料魚目混珠 信賴被摧毀要重建是很難的,自由軟體遲早會被這種人玩死....-_- -- ◢███◣ ______________________________________ ─⊙-⊙- / \ 皿  _/ 把台灣那些可悲的節目收一收 該吃飯了 / ◣ ︶◢ \______________________________________/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.39.40.207 ※ 文章網址: https://www.ptt.cc/bbs/EZsoft/M.1421071102.A.6FD.html ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: hirokofan (114.39.40.207), 01/12/2015 21:59:49
01/12 22:28, , 1F
01/12 22:28, 1F
01/12 23:16, , 2F
都用WinSCP
01/12 23:16, 2F
01/13 12:42, , 3F
這樣有罪嗎?還是有辦法限制這種做法?
01/13 12:42, 3F
01/14 17:59, , 4F
呵呵
01/14 17:59, 4F
01/14 18:00, , 5F
誰鳥你?
01/14 18:00, 5F
01/14 19:26, , 6F
回報一下,最新版本3.10.0.1,大小6.09 MB
01/14 19:26, 6F
01/14 19:29, , 7F
我是選additional download option
01/14 19:29, 7F
01/14 19:30, , 8F
直接抓的版本是web setup
01/14 19:30, 8F
01/14 19:30, , 9F
所以其實是一個downloader
01/14 19:30, 9F
01/14 19:32, , 10F
這個downloader會去SF抓真正的offline installer
01/14 19:32, 10F
01/14 19:33, , 11F
然後會把它存在帳戶名稱/下載裡
01/14 19:33, 11F
01/14 19:33, , 12F
可能的問題應該是在跑downloader的途中問你要不要裝的
01/14 19:33, 12F
01/14 19:34, , 13F
那些東西,是因為這樣才被當木馬嗎?
01/14 19:34, 13F
01/14 19:37, , 14F
我在freemake遇過類似的情況,改版後多了幾個可選軟體
01/14 19:37, 14F
01/14 19:37, , 15F
然後就被G Data報了
01/14 19:37, 15F
01/14 19:39, , 16F
這個downloader在Virustotal的結果為10/56
01/14 19:39, 16F
01/14 19:40, , 17F
主要報的有AVG跟Avira以及Comodo
01/14 19:40, 17F
01/14 19:41, , 18F
如果真的是木馬,再過一陣子結果應該會有變動
01/14 19:41, 18F
更多 hirokofan 的文章
文章代碼(AID): #1KizDNQt (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 hirokofan 的文章
文章代碼(AID): #1KizDNQt (AntiVirus)