on
Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮ็กเกอร์
จากการตรวจสอบพบว่าแฮ็กเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดตโปรแกรม
เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่นชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง
สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อนด้วยครับ (SHA256 และบันทึกการตรวจสอบเต็มดูได้จากแหล่งที่มา)
ที่มา - Avast! Blog
ดีนะที่ลงไปก่อนตั้งนานแล้ว
Be1con Wed, 01/29/2014 - 21:10
ดีนะที่ลงไปก่อนตั้งนานแล้ว และโหลดจากเว็บ FileZilla โดยตรง
ใช้แต่ FileZilla Portable ฮ่ะ
azezel Wed, 01/29/2014 - 22:04
ใช้แต่ FileZilla Portable ฮ่ะ
ระบุ os ไหมครับ?
PH41 Wed, 01/29/2014 - 22:16
ระบุ os ไหมครับ?
ถ้าบอกว่า DELL คงเป็น windows
wichate Wed, 01/29/2014 - 22:27
In reply to ระบุ os ไหมครับ? by PH41
ถ้าบอกว่า DELL คงเป็น windows เท่านั้นแหละ
DELL ผมเอามาลง linux นะ :P
SilentHeal Thu, 01/30/2014 - 02:17
In reply to ถ้าบอกว่า DELL คงเป็น windows by wichate
DELL ผมเอามาลง linux นะ :P
แป่วว.. พลาดแล้วเรา
wichate Thu, 01/30/2014 - 09:44
In reply to DELL ผมเอามาลง linux นะ :P by SilentHeal
แป่วว.. พลาดแล้วเรา
เห็นว่าพูดถึง DLL ก็คงจะเป็น
inkirby Wed, 01/29/2014 - 22:39
In reply to ระบุ os ไหมครับ? by PH41
เห็นว่าพูดถึง DLL ก็คงจะเป็น Windows นะครับ
ขอบคุณครับ ลืมไปเลย - -'
PH41 Wed, 01/29/2014 - 23:53
In reply to ระบุ os ไหมครับ? by PH41
ขอบคุณครับ ลืมไปเลย - -' เบลอๆ
ผมโดนไปแล้วครับ
addib2010 Wed, 01/29/2014 - 22:57
ผมโดนไปแล้วครับ ทุกครั้งที่ใช้ Filezilla อีก 2-3 วันโดนแฮคเว็บทุกที เลยหยุดใช้ไปพักนึง
เพิ่งจะเลิกใช้ไปไม่นาน
AronSun Wed, 01/29/2014 - 23:17
เพิ่งจะเลิกใช้ไปไม่นาน แต่ปกติก็โหลดจากเว็บของ FileZilla โดยตรงนะ
ต้องลองอัพเดทดูก่อนล่ะ
handtevada Wed, 01/29/2014 - 23:19
ต้องลองอัพเดทดูก่อนล่ะ
โหลดจากเว็บผู้พัฒนาปลอดภัยที่
Polwath Wed, 01/29/2014 - 23:28
โหลดจากเว็บผู้พัฒนาปลอดภัยที่สุดครับ
ประเทศเยอรมัน =>
panurat2000 Wed, 01/29/2014 - 23:53
ประเทศเยอรมัน => ประเทศเยอรมนี
ผม login bitded
PH41 Wed, 01/29/2014 - 23:55
ผม login bitded ที่หอพักจะมีเมลเดือนว่า login มาสองฉบับ ที่อื่นฉบับเดียว... อันนี้ไม่เกี่ยวสินะ
ใช้แต่ winscp
terap Thu, 01/30/2014 - 00:35
ใช้แต่ winscp
เห็นหัวข้อแล้วตกใจ
44244 Thu, 01/30/2014 - 00:36
เห็นหัวข้อแล้วตกใจ นึกว่าโดนบนเว็บ filezilla-project.org พออ่านก็....
FileZilla
PowerBerry Thu, 01/30/2014 - 08:40
FileZilla เจอข่าวทำนองนี้บ่อยเหมือนกันนะ ตัดปัญหาซื้อ SmartFTP ใช้ทีเดียวจบ
Cygwin น่าจะ work (ใช้เป็น
44244 Thu, 01/30/2014 - 08:48
In reply to FileZilla by PowerBerry
Cygwin น่าจะ work (ใช้เป็น command line แทน ) ไม่ก็ใช้ winscp แทนไปเลย
FileZilla ห่วยตรง password
PandaBaka Thu, 01/30/2014 - 09:17
FileZilla ห่วยตรง password มันเก็บแบบไม่ได้เข้ารหัสเนี่ยล่ะ -*-)
web ราชการไทยที่โดน hack
wichate Thu, 01/30/2014 - 09:47
web ราชการไทยที่โดน hack กันบ่อยครั้งนี่ก็เพราะ FileZilla ด้วยหรือปล่าว (ตั้งแต่ 2012 แล้วด้วย)
เก็บรหัสผ่านแบบ Plain Text
Architec Thu, 01/30/2014 - 13:02
เก็บรหัสผ่านแบบ Plain Text โดนโทรจันดักไฟล์หมด, ตัวโปรโตคอล FTP เองก็ไม่ได้เข้ารหัสอีก แนะนำ SFTP หรือ FTP over SSL จะดีกว่า
ผมเห็นโฮสติ้ง Dedicated ก็ทำแบบนี้กันแทบจะทั้งหมด รวมถึง SSH ด้วย โดนแฮกเป็นว่าเล่น ผมว่าควรจะทำ (SSL over) VPN หรือโซลูชั่นอย่างอื่นที่เชื่อมต่อแบบ safe กว่าเดิม ไม่ใช่เปิดบ้านให้แฮกตรงๆแบบนี้