ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

FTP-Client FileZilla mit eingebautem Trojaner im Umlauf

Ferdinand Thommes
40 Kommentare

Wie der Antiviren-Software-Hersteller Avast berichtet, sind gefälschte Binärdateien des Open-Source-FTP-Clients FileZilla in Umlauf, die ihre Schadsoftware gut zu verstecken wissen. Die Malware überträgt eingegebene Zugangsdaten zu FTP-Servern an einen laut Avast bei Hetzner gehosteten Server mit drei russischen Domains.

Die gefälschten Versionen von FileZilla 3.5.3 und dem derzeit aktuellen FileZilla 3.7.3, die die Malware gleich in der Binärdatei mitbringen, werden auf professionell wirkenden, an die Herstellerseite angepassten gefälschten Webseiten zum Download angeboten, die auf kompromittierten Servern laufen. Für den Anwender sind die gefälschten Versionen lediglich nach der Installation durch den Aufruf des Menüpunkts „Über Filezilla“ im „Hilfe“-Menü erkennbar.

Die mit Malware versehenen Versionen enthüllen hier, dass sie mit einer älteren Version von GnuTLS kompiliert wurden. Hier kommt GnuTLS 2.8.6 anstatt 3.1.11 zum Einsatz. Die GnuTLS-Versionen unterscheiden sich hauptsächlich dadurch, dass GnuTLS 3.x die Crypto-Bibliothek Nettle einsetzt. Zudem verweist der Menüeintrag auf die SQ-Lite-Version 3.7.6.3, während beim Original 3.7.16.2 angegeben wird. Auch die verwendeten GCC-Versionen sind nicht identisch. Bei der Installation der gefälschten Versionen kommt, wie auch beim Original, der Nullsoft-Installer zum Zug, so dass auch hier der Anwender nichts merkt.

Original und Fälschungen
Original und Fälschungen (Bild: Avast)

Zwar unterscheidet sich auch hier die Version des Installers leicht vom Original. Allerdings haben bei einem von Heise online vorgenommenen Test am heutigen Tag lediglich sieben der 50 auf der Webseite „VirusTotal“ versammelten Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich gehalten.

Auch nach der Installation weist die Schadversion die volle Funktionalität des Originals auf. Selbst die Einträge in der Registry sind identisch. Versucht der Anwender allerdings, die schädliche Version von FileZilla zu aktualisieren, schlägt dies fehl.

Auch die Macher von FileZilla warnen auf der Projekt-Webseite vor dem Schädling. Zum Selbstschutz sollen Nutzer die Software nur von der offiziellen Webseite herunterladen und anschließend zur Sicherheit die dort verzeichnete Prüfsumme vergleichen.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz