我于 2 月 16 日从 SourceForge 下载了 FileZilla,安装正常,但最近我的防病毒软件提示文件含有病毒 (MalSign.Generic.550)。之前没有关于此软件含有病毒的通知。这是误报还是 FileZilla 含有病毒?
我正在使用带有最新数据库更新的免费 AVG。
答案1
不。如果你从https://filezilla-project.org/,你安全了。
如果您从其他网站获取 filezilla,则可能已被感染。
https://blog.avast.com/2014/01/27/malformed-filezilla-ftp-client-with-login-stealer/
含有登录窃取程序的恶意 FileZilla FTP 客户端
警惕恶意的 FileZilla FTP 客户端版本 3.7.3 和 3.5.3。我们注意到这些著名开源 FTP 客户端的恶意软件版本数量有所增加。
第一个可疑迹象是虚假的下载 URL。如你所见,安装程序主要托管在被黑客入侵的网站上,内容都是虚假的
恶意软件安装程序 GUI 与官方版本几乎完全相同。唯一的细微差别是 NullSoft 安装程序的版本,恶意软件使用 2.46.3-Unicode,而官方安装程序使用 v2.45-Unicode。所有其他元素(如文本、按钮、图标和图像)都相同。
已安装的恶意软件 FTP 客户端看起来像是官方版本,并且功能齐全!您找不到任何可疑行为、系统注册表中的条目、通信或应用程序 GUI 中的更改。
乍一看,唯一能看出的区别是 filezilla.exe 的文件大小更小(~6.8 MB),2 个 dll 库 ibgcc_s_dw2-1.dll 和 libstdc++-6.dll(未包含在官方版本中),并且“关于 FileZilla”窗口中的信息表明使用的是较旧的 SQLite/GnuTLS 版本。任何更新应用程序的尝试都会失败,这很可能是一种防止恶意软件二进制文件被覆盖的保护措施。
编辑于 2014 年 8 月 6 日:正如 rmflow 所说,SourceForge 不再是值得信赖的来源,因此我编辑此内容以删除引用
答案2
SourceForge 将实际程序包装在垃圾软件安装程序中。这可能会触发您的 AV 扫描程序。
要避免这种情况,请在 FileZilla 主页上选择“显示其他下载选项”链接。此页面上的链接有参数?nowrap
,并且应该没有不需要的添加内容。
答案3
快速分析
在这种情况下,防病毒警告可能是由某些通用恶意软件签名触发的,因此得名MalSign.Generic.550
。
FileZilla_3.7.4.1_win32-setup.exe
使用以下方式扫描文件病毒总数没有检测到任何东西,这意味着 AVG 可能已经修复了这个问题。
请记住,即使某个文件在多次防病毒扫描后都没有被发现,也并不一定意味着该文件 100% 安全,也不是说没有防病毒软件能够发现任何恶意软件。
结论
AVG 的误报率实在是太高了。考虑换一个吧。
此外,请确保始终从官方网站获取程序,并尽可能避免使用 SourceForge:自 2013 年 7 月起,该网站开始鼓励顶级项目使用与广告软件/间谍软件(或其他无用的垃圾)捆绑在一起的自定义安装程序。
进一步阅读
答案4
我不得不从两台不同的虚拟机中删除 filezilla,因为安装程序正在安装钩子,这导致 vmware 速度变慢并不断重新启动操作系统。这是否是安装程序的问题并不让我担心,因为开源社区对两者都负有责任。我对通过 sourceforge 下载的任何东西都非常谨慎,因为任何坏苹果都可以播种他们心仪的文件。