汉化版PuTTY、WinSCP、SSHSecure工具内置黑客后门
发布时间:2012-02-02   作者:启明星辰

病毒描述及原理简介:

 

近日,有网友发现国内部分“汉化版”PuTTY、WinSCP、SSHSecure工具内置黑客后门,可能由于putty被大量应用于Linux服务器的远程维护工作,因此可能导致服务器系统管理员密码及资料泄露。下面是被植入的代码分析:


在被植入后门的winscp等软件中,被人为地加入了一段代码,用于向特定的服务器发送连接的IP地址和密码等信息。

 
该函数以程序保存的ip地址,密码等为参数。并检查IP地址的范围,如果是192.168.0.0~192.168.255.255或127.0.0.0~127.255.255.255 等私有地址范围的时候则退出后门函数。


如果不在此范围内,则继续将传进来的参数以?act=add&user=%s&pwd=%s&ll1=%s&ll2=%d&ll3=%s的形式发给黑客服务器,服务器域名为l.ip-163.com,目前该域名已经无法访问。


下面是发送给黑客网站的抓包数据截图

 

 
这样中毒的用户便将自己需要连接的网站的IP地址,用户名,密码等发送给了黑客,中招用户中不乏大型网站。


在其他软件中,如被篡改的putty软件,加入的代码和winscp大体相同,且回传的服务器地址和数据格式也相同。

 
另据微博用户称,某“技术人士”渗透putty后门服务器,通过查询得知受害账户约1万多,如下图:

 

解决方案:


1、 更新至启明星辰最新事件库

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号