Trojanisierte FileZilla-Version greift Zugangsdaten ab

News, hints and help about Software or Hardware related information.
User avatar
[RC]BooZer
Co-Founder
Co-Founder
Addicted
Addicted
Posts: 3728
Joined: Wed Apr 09, 2008
Location: K-Town
Favorite Server: All of them
Been thanked: 1 time
Germany

Networker

Contributor

Membership

=]RC[= BooZer’s avatar
Loading…

28 Jan 2014, 19:59

Wolf im Schafspelz: Es kursieren manipulierte Binaries des FTP-Clients FileZilla, die um Spionagefunktionen ergänzt wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen.

Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

[img]http://www.clusterwars.net/userpix/3_filezilla_1.jpg[/img]
Original und Fälschungen: Die Änderungen liegen im Detail.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 and 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die Entwickler der trojanisierten Fassungen haben sich große Mühe gegeben, nicht aufzufallen: Genau wie das Original installieren sich die Malware-Zwillinge mit dem Nullsoft-Installer, ferner bietet sie alle von FileZilla bekannten Funktionen. Die Spionagefunktionen wurden direkt in das Binary eingebaut.

Die Malware-Versionen unterscheiden sich nur in kleinen Details vom Original: Sie wurden offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter "Hilfe", "Über..." an. Dort findet sich bei einer Fälschung eine ältere SQLite-Version, bei einer anderen Variante fehlt diese Angabe ganz.

Nutzt man die Schadsoftware, übertragt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Bei einem Test am Dienstagnachmittag hielten nur sieben der 50 bei VirusTotal vertretenen Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich.

Quelle: heise.de, 28.01.2014
http://www.heise.de/newsticker/meldung/ ... 99232.html


Stay Rough & Clever forever!

Image
User avatar
[RC]Hunter
Site Admin
Sergeant
Sergeant
Posts: 2377
Joined: Fri Apr 04, 2008
Location: Hue City
Favorite Server: All of them
Has thanked: 3 times
Been thanked: 19 times
Germany

Networker

Contributor

Membership

=]RC[= Hunter’s avatar
Loading…

29 Jan 2014, 09:09

Puh ... mal eben meine Version geprüft, aber die ist sauber und seit Jahren installiert. :)

Solange sie nicht noch die Update Server hacken ...


=]RC[= Hunter
skill is not an unlock ... see ya on the battlefields

Image * Image * Image * Image
Post Reply