Зловреден код, който имитира FileZila

Зловреден код, който имитира FileZila

За потребителите на програми за ftp – като filezilla: разпространява се зловреден код, който успешно имитира популярния клиент

FileZilla е FTP клиент (ftp-client) и представлява програма, която инсталирате на личния си компютър, за да сте в състояние да прехвърляте файлове от и към други отдалечени машини. Обикновено FTP клиента се използва за “качване” (upload) на сайтове в интернет, т.е. за прехвърляне на файлове от персоналния компютър към избрания хостинг. FileZilla е безплатен FTP клиент.

 Бъдете внимателни, когато използвате този вид клиент. В разпространение е вирус, който наподобява начина на инсталация, както и самата програма. Това са версии на програмата Filezilla версия v3.5.3 и Filezilla версия v3.7.3.
 Основната функцията на FTP клиент като FileZilla е да прехвърля файлове локално от компютъра на потребителя към отдалечена машина (сървър) или няколко сървъра. Отдалечената машина/и могат да са физически разположени в други страни, например Индия.

Тук зловредния код, който имитира Filezilla работи по следния начин: действа като троянски кон, който прихваща всяка една връзка която потребителя „жертва“ прави с отдалечения сървър. След което се осъществява паралелна връзка с отдалечена машина, управлявана от създателите на вируса. Там биват изпратени адреса на сървъра на „жертвата“, както и данните за достъп.

 Някои адреси, до които измамническата програма изпраща информация са: aliserv2013.ru’ и ‘go-upload.ru’, създадени под домейна Naunet.ru. Всички те са с Руски домейн, засичан и преди, че се ползва като разпространител на SPAM. Самата платформа не показва нейните ползватели, криейки данните им, пренебрегва и действията по спиране на незаконните домейни. Въпреки, че измамническата програма много добре имитира и копира FileZilla има и няколко основни разлики по които можете да я разпознаете. Можете да ги откриете в главното меню на програмата, в секцията “about”(за програмата). Първата основна разлика можете да откриете в секцията Linked against:
При зловредната програма версиите на GnuTLS и SQLite са по- ниски от тези в легитимната. Като допълнение ще видите, че при имитиращата програма няма вариант да ги подновите с по- нови такива. Тези 2 системи GnuTLS и SQLite подсигуряват приложението като използват сигурна криптирана връзка за изпращане на информация. Безплатни са и със свободен достъп. Когато използвате по- ниски версии на тези системи, рискувате кибер-престъпниците да прихванат криптираната връзка на компютъра с отдалечения сървър, да дешифроват кодираната комуникация и да разберат данните за достъп до този сървър. Друга основна разлика, по която можете да отличите измамническата версия на FileZilla от легитимната е по наличието на две допълнителни библиотеки- ibgcc_s_dw2-1.dll и libstdc++-6.dll. Въпреки, че тези системни файлове не изпълняват конкретна зловредна дейност те са налични във фалшивата FileZilla. Когато инсталирате FileZila, имайте в предвид тези насоки за да сте сигурни, че ползвате легитимната и версия.

Източник: Panda Security media center

За Panda Security

 

Сподели в:

Категории:

Следвай ни в: