[ Résolu ] Filezilla

nazimdoran · le 24 décembre 2014

Bonjour

En cherchant un client FTP (pour le transfert de fichiers), ont m'a conseillé Filezilla,

Je suis tombé sur un site Filezilla en français mauvaise idée :

Avira a détécté un objet :

http://cjoint.com/?0Lysn64WD2f

J'ai supprimé le fichier et téléchargé un fichier filezilla a partir du site de filehippo,

Donc je sollicite votre aide pour savoir si c'est un faux positif ?

Je n'ai pas mis le lien directe mais avec le moteur de recherche c'est rapide a trouvé.

Merci bien a vous

Edit : Désolé j'ai oublier de renomé le rapport Avira de log a txt

Modifié le 26 décembre 2014 par nazimdoran

Pierre (aka Terdef) · le 25 décembre 2014

Bonjour NazimDoran

Il a été détecté un truc appelé ADWARE/InstallC.buzg
Il s'agit de l'une des innombrables variantes d'InstallCore.
InstallCore est un générateur de Downloaders (programmes téléchargeurs) et d'installeurs (c'est un générateur de Sponsoring et de Repacking).

Les Downloaders et installeurs générés par InstallCore sont plus ou moins furtifs, ils changent tout le temps, ce qui est un moyen, pour l'éditeur de cette attaque (une société israélienne), d'échapper aux antivirus en pratiquant la fuite en avant.

En cet instant, le binaire reçu après pseudo téléchargement de FileZilla depuis SourceForge n'est pas FileZilla mais le Downloader InstallCore et cette version n'est pas connu de VirusTotal. Je la fais analyser :
https://www.virustotal.com/fr/file/cbd61ccf8d6089198a80436e39c5bb162fb9d284d1fdd49a4c88fcb9f40d7b78/analysis/1419442303/
Rares détections d'InstallCore, évidemment (parce que nouveau et parce que l'éditeur d'InstallCore œuvre auprès des éditeurs d'antivirus et d'anti-malwares pour qu'InstallCore ne soit pas détecté) !

Retour au 1er juillet 2013 : annonce de SourceForge
Today We Offer DevShare (Beta), A Sustainable Way To Fund Open Source Software
http://sourceforge.net/blog/today-we-offer-devshare-beta-a-sustainable-way-to-fund-open-source-software/
SourceForge, à la recherche de fonds pour survivre, à introduit de la pub par la méthode du Sponsoring.

Désormais, c'est InstallCore qui est le Downloader et l'installeur. Cette merde (je vous prie de me pardonner pour cette grossièreté mais il faut appeler un chat un chat et c'est ce que je pense d'InstallCore) est spécialisée dans la monétisation simple des téléchargements pour :

Les développeurs qui veulent monétiser leur travail sans se casser la tête à chercher un Sponsor et bricoler un installeur qui va installer le/les Sponsors.
Les grands sites de téléchargement (dont 01Net). Même Microsoft ou Symantec utilisent cette merde pour nous proposer d'autres produits périphériques au produit que l'on télécharge ! Pour mémoire, la société israélienne IronSource, qui édite InstallCore ainsi que les mécanismes d'espionnage comme FoxTab pour Firefox, utilise un avocat qui fait ôter la détection d'InstallCore dans les antivirus et antispywares / antimalwares. Cet avocat avait réussi à faire lâcher prise à Malwarebytes et, après ma grosse colère sur les pratiques des sites de téléchargement, dont 01Net (telecharger.com), j'ai demandé (es qualité Malwarebytes expert) à Malwarebytes de réintroduire ce truc (au moins la variante 01Net), ce qui a été fait immédiatement.

Mais...

Vous vous êtes fait piéger par le désir fébrile d'installer rapidement le truc, sans lire en détail, en cliquant rapidement.

Téléchargements sains de FileZilla et mode d'emploi du téléchargement de FileZilla si c'est le Downloader qui est reçu.
FileZilla

Astuce :
Installez Unchecky. Définitivement. Il reconnaît de nombreuses variantes d'InstallCore et décoche les cases.

Nettoyage :
Les variantes d'InstallCore sont innombrables. Une procédure de Décontamination antimalwares (celle-là ou de nombreuses autres qui existent) devrait éradiquer ADWARE/InstallC.buzg (ou l'antivirus qui l'a détécté).

Cordialement

nazimdoran · le 25 décembre 2014

Bonsoir Pierre

Merci pour les explications, je constate avec satisfaction que Avira a détécté lors du téléchargement cette saloperie,

pour information, je n'ai pas exécuté, ni ouvert le fichier filazilla.

Doit je éxécuté un outil spécifique ?

Le fait qu' Avira a supprimé le fichier est suffisant ?

Ce qui m'inquiéte c'est que le faux filezilla français est tres bien référencé sur le moteur de recherche,

Il apparait en 5 eme position juste apres "clubic" et "01net",

pourquoi l'editeur officiel du soft original ne fait rien ?

Dylav · le 25 décembre 2014

Bonsoir nazimdoran,

Il apparait en 5ème position juste après "clubic" et "01net"

Attention, à ce propos : 01.net est à fuir (ils usent et abusent du repacking), et clubic semble s'y mettre aussi...

nazimdoran · le 26 décembre 2014

Bonjour Dylav et Pierre

Effectivement sur les conseilles avisé des Zeblons je n'utilise plus 01net et cubic,

J'ai une petite astuce :

Je chrche le soft sur filehippo, celui ci donne toutes les indications concernant le soft:

(Description,Technique, journal des telechargement, Commentaires)

La, je trouve l'auteur et la page d'acceuil

Cette fois ci je me suis fais avoir car le (faux) site fizella français fournissait un telechargement direct,

par contre, le site de l'auteur renvoyait vers un autre site de telechargement generaliste.

Connexion

Pas encore inscrit ?

[ Résolu ] Filezilla

Messages recommandés

nazimdoran

Pierre (aka Terdef)

nazimdoran

Dylav

nazimdoran

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer