• :
  • Putty、Winscp中文版后门简单分析报告-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] Putty、Winscp中文版后门简单分析报告

    [复制链接]

    该用户从未签到

    发表于 2012-1-31 17:07:03 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    01月30日,有消息称在汉化版putty、WinSCP、SSH Secure等工具中发现后门。经金山毒霸安全中心验证,这些汉化版管理工具的确存在后门程序,可窃取管理员帐号,从而完全控制linux服务器。金山毒霸安全专家建议,linux系统管理员应立刻卸载这些汉化版软件,并尽快修改管理员密码。

    以下是Putty、WinSCP中文版后门的简单分析

    一.简要描述

    中文版putty在用户输入所有信息之后在服务器验证密码用户名信息之前,新增发送服务器地址,用户名,密码 到特定asp空间的恶意逻辑.导致使用他的用户其服务器信息被窃取.

    英文版本未发现异常。

    二.主要函数流程分析:

    1.        在用户输入完密码和用户名时,程序会将病毒需要的信息包保存起来
    2.        该函数首先获取wininet.dll的相关函数用于后续发送密码 用户名信息等.
    3.        解密用于收信的ASP空间.
    1.png

    2.png
    4.        格式化服务器地址 用户名 密码信息 发送到解密的ASP空间里.这样用户的服务器信息就被此软件窃取了.
    3.png
    发信格式:
    4.png
    三  中英版本文流程对比

    5.png

    6.png

    四.WinScp中英文版分析
    WinScp的中英文版的区别只是中文版需要加载一个中文库,其本身程序并没有改变.
    当其目录下有中文库WinScp就是中文版
    7.png

    8.png

    其后门代码与中文版的putty一致,且发信空间一致.
    9.png

    点评

    我是来膜拜铁军大牛的  发表于 2012-2-1 17:10
    精品,必须支持  发表于 2012-2-1 15:21

    评分

    参与人数 1威望 +30 收起 理由
    路杨 + 30 赞一个!

    查看全部评分

    使用道具 举报 回复
    进来学习一下
    使用道具 举报 回复 支持 反对
    什么情况
    使用道具 举报 回复 支持 反对
    带毒putty网站截图

    putty带毒网站.jpg
    使用道具 举报 回复 支持 反对
    反编译文章。。。。铁军的主用户组变了。。。。
    使用道具 举报 回复 支持 反对
    微博上看过了
    反正不是站长,不担心
    使用道具 举报 回复 支持 反对
    进来看一下
    使用道具 举报 回复 支持 反对
    看看,学习下
    使用道具 举报 回复 支持 反对
    也进来看一下
    使用道具 举报 回复 支持 反对
    看看
    使用道具 举报 回复 支持 反对
    学习下
    使用道具 举报 回复 支持 反对
    事不关己己不劳心!
    使用道具 举报 回复 支持 反对
    前来围观LZ。。。。。。
    使用道具 举报 回复 支持 反对
    前来围观技术文章。
    使用道具 举报 回复 支持 反对
    要养成去软件官网或者从金山卫士里下载软件的好习惯
    使用道具 举报 回复 支持 反对
    围观而已
    使用道具 举报 回复 支持 反对
    凉水冰凉 发表于 2012-1-31 20:15
    要养成去软件官网或者从金山卫士里下载软件的好习惯

    这个我懂的
    使用道具 举报 回复 支持 反对
    看不懂
    使用道具 举报 回复 支持 反对
    军哥的帖子必顶。。有木有pdf版的呀?
    使用道具 举报 回复 支持 反对
    只能当围观群众了。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则