Pour bien terminer la semaine, nous vous mettons en garde sur les versions infectées du client FTP FileZilla qui circulent tranquillement sur la toile. C’est l’éditeur Avast! qui l’a annoncé sur son blog il y a déjà 3 jours de cela, mais FileZilla Project signale qu’il ne s’agit pas d’une nouvelle menace.
Ce ne serait pas la première fois que des clients modifiés circulent sur des sites tiers ; le code source étant disponible pour tous ceux qui souhaitent apporter leur contribution au développement, ce n’est pas étonnant qu’il se retrouve entre de mauvaises mains.
Dans les deux versions vérolées qui sont listées par Avast!, le logiciel envoie automatiquement les données de connexion sur un serveur distant. L’interface du logiciel étant la même, l’utilisateur ne se doute de rien… Seuls quelques éléments permettent de s’apercevoir que la version utilisée n’est pas la même. En effet, lorsqu’on ouvre les fenêtres “à propos de FileZilla”, on peut constater un problème dans les différents numéros de version. Ci-dessous, les deux images de droite permettent de reconnaitre les deux versions problématiques.
En allant plus loin dans son analyse, l’éditeur de l’antivirus a également mis en évidence la connexion à un serveur distant (144.76.120.243) ainsi qu’un transfert de données ré-encodées avec un dérivé de l’algorithme Base64. C’est avec un logiciel de sniffing, comme Wireshark, qu’ils ont pu tracer les différents évènements qui se produisent lorsqu’un utilisateur se connecte sur un site FTP.
Si votre logiciel antivirus est à jour, il est également susceptible détecter une signature du virus Win32-Stealer dans l’exécutable de l’application. Avast! fournit enfin l’ensemble des signatures SHA256 des fichiers d’installation et exécutables qu’il faut à tout prix éviter. FileZilla Project recommande de toujours télécharger l’installateur depuis le site officiel, à savoir FileZilla-Project.org.
