avast! ha scoperto una versione modificata di FileZilla che ruba le credenziali e le trasmette ad un server gestito da malviventi.
Le versioni modificate hanno numero di release 3.7.3 e 3.5.3, si possono riconoscere essenzialmente in due modi: non eseguono l’auto-aggiornamento e le informazioni nella finestra di About sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.
Se si chiedono le informazioni sul programma, la versione legittama presenta, tra le altre, queste informazioni
Compiled for: i586-pc-mingw32msvc
Compiled on: x86_64-unknown-linux-gnu
Compiled with: i586-mingw32msvc-gcc (GCC) 4.2.1-sjlj (mingw32-2)
Compiler flags: -g -O2 -Wall -g -fexceptions
GnuTLS: 3.1.11
SQLite: 3.7.16.2
Le versioni con spyware integrato hanno queste informazioni:
Compiled for: i686-pc-mingw32msvc
Compiled on: i686-pc-mingw32msvc
Compiled with: gcc.exe (GCC) 4.5.0
Compiler flags: -g -O2 -Wall -g -fexceptions -std=gnu++0x
GnuTLS: 2.8.6
SQLite: 3.7.6.3
In alcune versioni tarocche non esiste l’informazione in merito a SQLite.
Alla luce di questi fatti, è importantissimo scaricare i programmi sempre dai siti del produttore, evitando fonti alternative. Uno dei metodi è di verificare con una richiesta su un motore di ricerca qual è il sito del produttore evitando di scrivere download nella ricerca perché ogni tanto su alcuni software poco diffusi c’è il rischio che alcuni distributori alternativi riescano a sorpassare il sito legittimo.
Le firme SHA256 degli installer e degli eseguibili modificati sono queste:
Installer v3.5.3: 595D954C7CE574337C97A0801E779BC3DCA94FC92AFAE8F483DCDD1A053C5C24
FileZilla.exe v3.5.3: 525E9ED135C1435772A774D7AD7168CECCD225E354118E621482DB61174F6734
Installer v3.7.3: B9A12F9B6827144D84E65EF2BA454D77CB423C5E136F44BC8D3163D93B97F11F
FileZilla.exe v3.7.3: 2451599C03B136C1848F538184F0F266973B65AFC8DD25F272A7E6B0555B657A
Lascia un commento