Manipulierte FileZilla-Version stiehlt Zugangsdaten

von Marc Rochow | 0 | 1589 Aufrufe

Anzeige Hier werben

Avast warnt in seinem Blog vor manipulierten Versionen des beliebten FTP-Clients FileZilla. In diesen Versionen werden die verwendeten Zugangsdaten heimlich an Server in Deutschland übertragen. Ansonsten sind die gefälschten Versionen kaum vom Original zu unterscheiden und voll funktionsfähig.

Bild zu Manipulierte FileZilla-Version stiehlt Zugangsdaten
Avast zeigt die Unterscheidungsmerkmale zwischen der offiziellen Version und der trojanisierten von FileZilla.

Der Virenschutz-Hersteller erläutert das Ausgaben der FileZilla-Versionen 3.7.3 und 3.5.3 mit Malware versehen sind und über verschiedene Download-Seiten verbreitet werden. Diese Seiten sind optisch an die Herstellerseite angelehnt. Dabei haben sich die Entwickler der trojanisierten Fassungen große Mühe gegeben nicht aufzufallen: Die Installation ist wird wie das Original mit dem Nullsoft-Installer installiert und bietet die gleichen Funktionen wie der Original-Client. Das Abgreifen der Daten wurde direkt in die Binary gebaut.

Unterscheidungsmerkmale sind lediglich die verwendete Version des Nullsoft-Installers (2.46.3-Unicode statt 2.45-Unicode) und einen neueren Compiler (GCC 4.5.0 statt 4.2.1).

Nutzt man die Schadsoftware, übertragt Sie gesichtete Zugangsdaten per HTTP an einen Server, der laut Avast bei dem deutschen Hoster Hetzner steht. Er ist über drei russische Domains (.ru) erreichbar. Laut Avast erkennen Virenscanner das Programm nur sehr selten und offenbar wurde auch Avast von dieser Art von Schadsoftware überrascht. Der Angriff findet anscheinend seit dem Jahr 2012 mit FileZilla 3.5.3 statt.

Über den Autor: Marc Rochow
Webentwickler bei Team23, Djangonaut und Open-Source-Fan. Mehr Infos: www.gironimo.org
Profilseite betrachten