Achtung: FileZilla-Installer verteilt Adware/Bloatware

Da braute sich am Wochenende wohl ein Shit-Sturm über die Macher von Filezilla aus. Denn es ist aufgefallen, dass der Windows-Installer 'Software-Bundles' mit Bloat- oder Adware verteilen. Virenscanner schlagen plötzlich an. Und die Reaktionen der Moderatoren im FileZilla-Forum machen die Sache nicht gerade besser. Hier einige Informationen zum betreffenden Thema.


Anzeige

FileZilla ist eine kostenlose Software, der Client ermöglicht es, auf FTP-Server zuzugreifen. Ich selbst setze die portable Version ein, falls ich auf FTP-Server zugreifen muss.

Shit-Sturm am Wochenende

Nun weist man hier auf etwas hin, was am Wochenende für Ärger sorgte.  Über das Wochenende braute sich wohl ein Shit-Sturm über die FileZilla-Macher aus. Denn ein Benutzer hatte auf Reddit darauf hingewiesen, dass der FileZilla-Installer der beliebten FileZilla FTP-Software von VirusTotal als Adware markiert wurde. Hintergrund ist, dass dieser Installer Angebote für Zusatzpakete für die Benutzer anbietet. Wählt der Benutzer diese Option während der Installation der Software nicht ab, wird Ad- und Bloatware mit auf den Rechner gespült. Für Entwickler bietet die Installation von Adware die Chance, ein Projekt zu monetarisieren. Ein Nutzer hat auf reddit.com dann einen Post veröffentlicht, der eine größere Diskussion nach sich zu. Bei Bleeping Computer hat man aber den nachfolgenden Screenshot von einem Post angefertigt (den ich nicht mehr bei reddit.com finde).

reddit.com Post
(Quelle: Bleeping Computer)

Der Post weist auf diesen Forenpost bei Filezilla hin, wo das Problem diskutiert wird. Jemand hat den Installer FileZilla_3.29.0_win32-setup.exe bei Virustotal hochgeladen und bekam die nachfolgende Anzeige.

FileZilla Installer in VirusTotal

13 von 67 Virenscannern markieren den Installer als mit einem Trojaner verseucht. Hintergrund ist der verwendete Installer.

Zwei verschiedene Varianten werden angeboten

Den Leuten werden beim Download von FileZilla zwei verschiedene Installer-Varianten angeboten. Der Haupt-Download (FileZilla_3.34.0_win64-setup_bundled.exe) versucht über den Installer Adware auf das System zu installieren. Ich habe nachfolgend mal einen Screenshot der betreffenden Download-Seite veröffentlicht.


Anzeige

FileZilla Installer Download

Fairerweise muss man anmerken, dass die FileZilla-Macher darauf hinweisen, dass dieser Installer des Clients Bundles an Software offeriert. Es gibt auch den Hinweis 'Check below for more optione'. Dort bietet FileZilla auf dieser Webseite den Download eines Installers (mit Dateinamen ähnlich wie FileZilla_3.34.0_win64-setup.exe) an, der keine Zusatzsoftware bündelt. Zudem ist dort eine portable Variante als ZIP-Archiv erhältlich.

Nichts neues, sagt der FileZilla-Autor

FileZilla-Autor Tim Kosse gibt aber an, dass der Installer, der Zusatzsoftware bündelt, bereits seit fünf Jahren in Benutzung sei. Gegenüber Bleeping Computer schreibt Kosse:

"In order to support the continuous development of FileZilla, we started to bundle third party offer in the installer about five years ago. It has allowed us to boost the development process so that we can now release a new version bringing bugfixes and new features almost every month.

We do not hide the fact that offers are shown during the installation. This is mentioned on both the website and in the installer as well, before any offers are shown.

While the offer-enabled installer is our primary download link, we at the same place also link to a page containing all installers without offers."

Ich kann nichts zu den fünf Jahren sagen. Aber zumindest der Hinweis, dass der Standard-Installer ein Software-Bundling enthält, ist transparent.

Was passiert bei der Installation?

Während der Installation weist der Installer in der Bundling-Version auf entsprechende Angebote hin und ermöglicht es auch, diese abzulehnen.

AVAST-Bundle in FileZilla

Bleeping Computer hat hier den obigen Screenshot des Installers dokumentiert. Dort wird AVAST Free Antivirus als abwählbare Installation angeboten. Ich selbst habe versucht, dies nachzuvollziehen, bin aber gescheitert.

Microsoft Security Essentials Meldung bei FileZilla

Microsoft Security Essentials (MSE) hat beim Aufruf von FileZilla mit der obigen Meldung angeschlagen und wohl den Teil des Bundles entfernt, der für die Adware sorgt. Jedenfalls hat der Installer dann keine Software-Bundles mehr angeboten. Langer Rede kurzer Sinn: Falls ihr FileZilla verwendet, schaut, welche Version ihr als Installer einsetzt.

Microsoft Security Essentials Quarantäne

Ergänzung: Ich habe bei MSE die Erkennung von Adware (PUP) aktiviert. Obiger Screenshot zeigt, dass MSE die InstallCore-Komponenten (Fusion.dll) aus dem temporären Verzeichnis löscht. Dann kann die betreffende Funktion vom Installer nicht mehr benutzt werden.

Ich persönlich setze eher auf die portable Version von FileZilla, die dann als ZIP-Archiv angeboten wird. Beim .exe-Installer dürfte Stefan Kanthak übrigens wieder reingrätschen und was von 'Frickelsoftware mit eingebauten Schwächen und Anfängerfehlern' schreiben. Denn der Installer entpackt die Dateien in einen Ordner Temp (siehe obiger Screenshot), bevor er die Installation startet. Durch diesen Ansatz könnte Malware sich in den Temp-Ordner kopieren und per DLL-Hijacking administrative Berechtigungen während der FileZilla-Installation erlangen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Achtung: FileZilla-Installer verteilt Adware/Bloatware

  1. Phadda sagt:

    Wie Klose schon sagt, es ist nichts neues und da hat er völlig recht. Dies hatte ich auch schon vor Jahren bemerkt, das es zwei EXE gibt und zwar mit/ohne "bündle". Alter Wein in neuen Schläuchen? Oder gab es vor paar Jahren noch kein Reddit bzw. ist der Poster jetzt im Alter selbst was zu posten ;-)

  2. Andreas K. sagt:

    Kann ich bestätigen, das ist seit mehreren Jahren so. Zumal der Name des Installers auch das Wort "Bundle" enthält, zumindest die aktuelle Version.

    • JohnRipper sagt:

      Trotzdem wird die Version ohne bundle von virustotal erkannt.
      Wie kann das sein?

      • Andreas sagt:

        Ich habe gerade den Scan des Setups OHNE Bundle auf virustotal.com ausgeführt. Die Datei wurde bereits am 2018-06-24 16:19:45 UTC gescannt und als virenfrei erachtet.

        Woher haben Sie Ihre Info?

    • quack sagt:

      Dem kann ich nur zustimmen.
      Wer einen FTP-Client installieren und verwenden will, von dem kann man doch voraussetzen, dass er auch weiss wie man Files auf einen Server transferiert, und somit wird er auch wissen, wozu dieses Software gut ist. Und wer dieses Wissen hat, kann wohl unterscheiden und beurteilen, was er da herunterlädt.
      Ansonsten scheitert er ja danach gleich nach dem Installieren bei den Einstellungen….
      Ich verwende FileZilla seit Jahren und hatte da noch nie Probleme damit.
      Allerdings: Was auf dem Bildschirm steht, sollte man lesen, dazu ist ja eigentlich geschrieben worden, nur "Klicki..Klicki machen" wird da nicht reichen…
      "Viel Lärm um nichts…"

  3. Sam sagt:

    Softwareentwicklung kostet Zeit und Geld (fürs Hosting, Tools, rechtliches Risiko). Wenn Anwender nicht bereit sind, für Software Geld zu bezahlen muss man sich doch nicht wundern, dass die Entwickler auf andere Weise versuchen ein Projekt zu finanzieren.
    You get what you pay for…

    • Andreas sagt:

      Das ist Unsinn. Niemand zwingt Entwickler dazu, ihre Programme kostenlos zur Verfügung zu stellen. Es soll ja auch noch Leute geben, die einfach nur Spaß am Programmieren haben und das entgegen des allgemeinen Trends nicht nur deshalb machen, um möglichst schnell reich zu werden. Leider sind diese Leute in der Minderheit und werden von Menschen wie Ihnen wahrscheinlich als arme Irre betrachtet.

  4. Andreas sagt:

    Diese Bundle-Systeme funktionieren gewöhnlich so, dass der Installer der Software XYZ das Zielsystem scannt und nach irgendeinem supertollen Algorithmus (so toll wie die Algorithmen für personalisierte Werbung) "erkennt", welche Software der User evtl. "benötigt".

    Um Vorschläge machen zu können, wird evtl. eine Verbindung zu einem Server des Bundle-System Anbieters aufgebaut und irgendwelche Kenndaten übertragen, damit Vorschläge erzeugt werden können. Außerdem werden natürlich die Logos und Texte zu den Vorschlägen an den Installer der Software XYZ zurückgeschickt, der sie dann in seinem Fenster anzeigt und den Download des Setups und die Installation der Bundle Software ermöglicht.

    Da Virenscanner heuristisch arbeiten (d.h. typische Verhaltensmuster = API-Aufrufe/-Aufrufsequenzen der gescannten Programme untersuchen), kann das oben geschilderte Verhalten einen Falsch-Positiv Alarm auslösen. Vielleicht ist es in letzter Zeit auch vorgekommen, dass über den Anbieter des Bundle-Systems wirklich Malware verbreitet wurde und dieser Anbieter deshalb gerade auf einer schwarzen Liste steht.

    Da die Installation der Bundle Software vom Benutzer abgewählt werden kann und der Hinweis darauf klar und deutlich zu sehen ist, ist dieser "Vorfall" für Leute, die bei der Installation von Software aufmerksam sind und nicht nur stumpf "OK" und "Weiter" klicken, deshalb genauso relevant wie der umgefallene Reissack im äußersten Norden Chinas.

    Hinweis: Ich bin nicht in das FileZilla-Projekt involviert und nutze das Programm nur äußerst selten.

  5. Martin Feuerstein sagt:

    Gabs da nich mal was, dass die Installer von Sourceforge manipuliert werden? Aktuell werden die Filezilla-Downloads von Hetzner ausgeliefert.

    Btw. wurde mit PDFCreator 3.21 die Änderung eingeführt, dass in der kostenfreien Installation keine Silent-Installation mehr möglich sein soll – zuvor wurde schon der PDFArchitect ungefragt mitinstalliert (dieser legt einen MSI-Installer in c:\programdata ab und lässt sich so leicht deinstallieren).

    Also doch nicht alles kostenlos mit der Gratis-Software. Irgendwas ist immer.

Schreibe einen Kommentar zu Phadda Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.