FTP-Client FileZilla mit eingebautem Trojaner im Umlauf

Ferdinand Thommes
40 Kommentare

Wie der Antiviren-Software-Hersteller Avast berichtet, sind gefälschte Binärdateien des Open-Source-FTP-Clients FileZilla in Umlauf, die ihre Schadsoftware gut zu verstecken wissen. Die Malware überträgt eingegebene Zugangsdaten zu FTP-Servern an einen laut Avast bei Hetzner gehosteten Server mit drei russischen Domains.

Die gefälschten Versionen von FileZilla 3.5.3 und dem derzeit aktuellen FileZilla 3.7.3, die die Malware gleich in der Binärdatei mitbringen, werden auf professionell wirkenden, an die Herstellerseite angepassten gefälschten Webseiten zum Download angeboten, die auf kompromittierten Servern laufen. Für den Anwender sind die gefälschten Versionen lediglich nach der Installation durch den Aufruf des Menüpunkts „Über Filezilla“ im „Hilfe“-Menü erkennbar.

Die mit Malware versehenen Versionen enthüllen hier, dass sie mit einer älteren Version von GnuTLS kompiliert wurden. Hier kommt GnuTLS 2.8.6 anstatt 3.1.11 zum Einsatz. Die GnuTLS-Versionen unterscheiden sich hauptsächlich dadurch, dass GnuTLS 3.x die Crypto-Bibliothek Nettle einsetzt. Zudem verweist der Menüeintrag auf die SQ-Lite-Version 3.7.6.3, während beim Original 3.7.16.2 angegeben wird. Auch die verwendeten GCC-Versionen sind nicht identisch. Bei der Installation der gefälschten Versionen kommt, wie auch beim Original, der Nullsoft-Installer zum Zug, so dass auch hier der Anwender nichts merkt.

Original und Fälschungen
Original und Fälschungen (Bild: Avast)

Zwar unterscheidet sich auch hier die Version des Installers leicht vom Original. Allerdings haben bei einem von Heise online vorgenommenen Test am heutigen Tag lediglich sieben der 50 auf der Webseite „VirusTotal“ versammelten Virenscanner das Installationsprogramm der verseuchten Version 3.7.3 für schädlich gehalten.

Auch nach der Installation weist die Schadversion die volle Funktionalität des Originals auf. Selbst die Einträge in der Registry sind identisch. Versucht der Anwender allerdings, die schädliche Version von FileZilla zu aktualisieren, schlägt dies fehl.

Auch die Macher von FileZilla warnen auf der Projekt-Webseite vor dem Schädling. Zum Selbstschutz sollen Nutzer die Software nur von der offiziellen Webseite herunterladen und anschließend zur Sicherheit die dort verzeichnete Prüfsumme vergleichen.