{"id":205984,"date":"2018-06-26T04:30:56","date_gmt":"2018-06-26T02:30:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205984"},"modified":"2021-08-11T10:15:31","modified_gmt":"2021-08-11T08:15:31","slug":"achtung-filezilla-installer-verteilt-adware-bloatware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/26\/achtung-filezilla-installer-verteilt-adware-bloatware\/","title":{"rendered":"Achtung: FileZilla-Installer verteilt Adware\/Bloatware"},"content":{"rendered":"

Da braute sich am Wochenende wohl ein Shit-Sturm \u00fcber die Macher von Filezilla aus. Denn es ist aufgefallen, dass der Windows-Installer 'Software-Bundles' mit Bloat- oder Adware verteilen. Virenscanner schlagen pl\u00f6tzlich an. Und die Reaktionen der Moderatoren im FileZilla-Forum machen die Sache nicht gerade besser. Hier einige Informationen zum betreffenden Thema.<\/p>\n

<\/p>\n

\"\"FileZilla ist eine kostenlose Software, der Client erm\u00f6glicht es, auf FTP-Server zuzugreifen. Ich selbst setze die portable Version ein, falls ich auf FTP-Server zugreifen muss. <\/p>\n

Shit-Sturm am Wochenende<\/h2>\n

Nun weist man hier<\/a> auf etwas hin, was am Wochenende f\u00fcr \u00c4rger sorgte.  \u00dcber das Wochenende braute sich wohl ein Shit-Sturm \u00fcber die FileZilla-Macher aus. Denn ein Benutzer hatte auf Reddit darauf hingewiesen, dass der FileZilla-Installer der beliebten FileZilla FTP-Software von VirusTotal als Adware markiert wurde. Hintergrund ist, dass dieser Installer Angebote f\u00fcr Zusatzpakete f\u00fcr die Benutzer anbietet. W\u00e4hlt der Benutzer diese Option w\u00e4hrend der Installation der Software nicht ab, wird Ad- und Bloatware mit auf den Rechner gesp\u00fclt. F\u00fcr Entwickler bietet die Installation von Adware die Chance, ein Projekt zu monetarisieren. Ein Nutzer hat auf reddit.com dann einen Post<\/a> ver\u00f6ffentlicht, der eine gr\u00f6\u00dfere Diskussion nach sich zu. Bei Bleeping Computer hat man aber den nachfolgenden Screenshot von einem Post angefertigt (den ich nicht mehr bei reddit.com finde). <\/p>\n

\"reddit.com<\/a>
(Quelle: Bleeping Computer) <\/p>\n

Der Post weist auf diesen Forenpost bei Filezilla<\/a> hin, wo das Problem diskutiert wird. Jemand hat den Installer FileZilla_3.29.0_win32-setup.exe <\/em>bei Virustotal hochgeladen und bekam die nachfolgende Anzeige. <\/p>\n

\"FileZilla <\/p>\n

13 von 67 Virenscannern markieren den Installer als mit einem Trojaner verseucht. Hintergrund ist der verwendete Installer. <\/p>\n

Zwei verschiedene Varianten werden angeboten<\/h2>\n<\/p>\n

Den Leuten werden beim Download von FileZilla zwei verschiedene Installer-Varianten angeboten. Der Haupt-Download (FileZilla_3.34.0_win64-setup_bundled.exe<\/em>) versucht \u00fcber den Installer Adware auf das System zu installieren. Ich habe nachfolgend mal einen Screenshot der betreffenden Download-Seite ver\u00f6ffentlicht. <\/p>\n

\"FileZilla <\/p>\n

Fairerweise muss man anmerken, dass die FileZilla-Macher darauf hinweisen, dass dieser Installer des Clients Bundles an Software offeriert. Es gibt auch den Hinweis 'Check below for more optione'. Dort bietet FileZilla auf dieser Webseite<\/a> den Download eines Installers (mit Dateinamen \u00e4hnlich wie FileZilla_3.34.0_win64-setup.exe<\/em>) an, der keine Zusatzsoftware b\u00fcndelt. Zudem ist dort eine portable Variante als ZIP-Archiv erh\u00e4ltlich. <\/p>\n

Nichts neues, sagt der FileZilla-Autor<\/h2>\n<\/p>\n

FileZilla-Autor Tim Kosse gibt aber an, dass der Installer, der Zusatzsoftware b\u00fcndelt, bereits seit f\u00fcnf Jahren in Benutzung sei. Gegen\u00fcber Bleeping Computer schreibt Kosse:<\/p>\n

\n

\"In order to support the continuous development of FileZilla, we started to bundle third party offer in the installer about five years ago. It has allowed us to boost the development process so that we can now release a new version bringing bugfixes and new features almost every month.<\/p>\n

We do not hide the fact that offers are shown during the installation. This is mentioned on both the website and in the installer as well, before any offers are shown.<\/p>\n

While the offer-enabled installer is our primary download link, we at the same place also link to a page containing all installers without offers.\"<\/p>\n<\/blockquote>\n

Ich kann nichts zu den f\u00fcnf Jahren sagen. Aber zumindest der Hinweis, dass der Standard-Installer ein Software-Bundling enth\u00e4lt, ist transparent. <\/p>\n

Was passiert bei der Installation?<\/h2>\n

W\u00e4hrend der Installation weist der Installer in der Bundling-Version auf entsprechende Angebote hin und erm\u00f6glicht es auch, diese abzulehnen.<\/p>\n

\"AVAST-Bundle<\/p>\n

Bleeping Computer hat hier<\/a> den obigen Screenshot des Installers dokumentiert. Dort wird AVAST Free Antivirus als abw\u00e4hlbare Installation angeboten. Ich selbst habe versucht, dies nachzuvollziehen, bin aber gescheitert. <\/p>\n

\"Microsoft<\/p>\n

Microsoft Security Essentials (MSE) hat beim Aufruf von FileZilla mit der obigen Meldung angeschlagen und wohl den Teil des Bundles entfernt, der f\u00fcr die Adware sorgt. Jedenfalls hat der Installer dann keine Software-Bundles mehr angeboten. Langer Rede kurzer Sinn: Falls ihr FileZilla verwendet, schaut, welche Version ihr als Installer einsetzt. <\/p>\n

\"Microsoft<\/p>\n

Erg\u00e4nzung: Ich habe bei MSE die Erkennung von Adware (PUP) aktiviert. Obiger Screenshot zeigt, dass MSE die InstallCore-Komponenten (Fusion.dll<\/em>) aus dem tempor\u00e4ren Verzeichnis l\u00f6scht. Dann kann die betreffende Funktion vom Installer nicht mehr benutzt werden.<\/p>\n

\n

Ich pers\u00f6nlich setze eher auf die portable Version von FileZilla, die dann als ZIP-Archiv angeboten wird. Beim .exe<\/em>-Installer d\u00fcrfte Stefan Kanthak \u00fcbrigens wieder reingr\u00e4tschen und was von 'Frickelsoftware mit eingebauten Schw\u00e4chen und Anf\u00e4ngerfehlern' schreiben. Denn der Installer entpackt die Dateien in einen Ordner Temp <\/em>(siehe obiger Screenshot), bevor er die Installation startet. Durch diesen Ansatz k\u00f6nnte Malware sich in den Temp<\/em>-Ordner kopieren und per DLL-Hijacking administrative Berechtigungen w\u00e4hrend der FileZilla-Installation erlangen. <\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Da braute sich am Wochenende wohl ein Shit-Sturm \u00fcber die Macher von Filezilla aus. Denn es ist aufgefallen, dass der Windows-Installer 'Software-Bundles' mit Bloat- oder Adware verteilen. Virenscanner schlagen pl\u00f6tzlich an. Und die Reaktionen der Moderatoren im FileZilla-Forum machen die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328],"class_list":["post-205984","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205984","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205984"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205984\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205984"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205984"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205984"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}