近日,据腾讯安全反病毒实验室监控发现,一款主流的远程终端软件XShell的官方版本中被打包了恶意代码,运行此版本软件后,受害者电脑上会被植入后门,存在被不法分子远程控制,导致个人信息遭窃的风险,目前已有国内用户中招。对此,腾讯安全反病毒实验室已发布了相应的后门专杀工具,广大用户也可通过腾讯电脑管家和哈勃分析系统(https://habo.qq.com/)来识别自己电脑中的XShell版本是否含有后门。
同时该软件制作方已经发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、XShell、Xftp、Xlpd五款软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。腾讯安全反病毒实验室建议广大使用者尽快检查使用的XShell版本号,如果发现受影响请及时下载最新版本使用。
作恶手段隐蔽 技术人员或受影响最大
腾讯安全反病毒实验室研究发现,由于这个版本的XShell可以在官方途径下载,或者通过自动升级功能安装,且带有正常签名,有可能被常见杀毒软件放过而造成大面积传播。同时由于XShell被广泛的用于服务器运维和管理,导致这次的网络威胁中,以站长,技术运维人员首当其冲。
在本次事件中,除了受众集中在相关技术人员的特殊性之外,其作恶手法同样值得关注。据腾讯安全反病毒实验室研究发现,不法分子不仅层层推进,盗取主机信息;还通过DNS协议传递受害者电脑信息,并接收服务器指令,进一步增强了其广作案、难发现的特性。
五条应对建议 腾讯安全反病毒实验室保护用户隐私
基于本次事件的潜在威胁,腾讯安全反病毒实验室安全专家梳理了以下五条安全操作指南,建议广大用户遵照以下指示,保护个人信息安全。
1.目前NetSarang公司已经发布公告
(http://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html),如果有运维人员使用了公告中提到的受影响版本,请尽快升级。
2.运维人员如果发现IOC中列出的以下域名请求时,请尽快进行排查。
ribotqtonut.com (2017年7月)
nylalobghyhirgh.com (2017年8月)
jkvmdmjyfcvkf.com (2017年9月)
bafyvoruzgjitwr.com (2017年10月)
xmponmzmxkxkh.com (2017年11月)
tczafklirkl.com (2017年12月)
SHA256:
462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb
536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882
c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f
515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0
3.已经中毒的电脑,建议查杀后,应尽快修改服务器的密码。
4.如果对自己的电脑存有怀疑,可以下载腾讯安全反病毒实验室提供的XShell后门查杀工具进行扫描和清除(https://habo.qq.com/tool/detail/xshellghostkiller)。
5.目前电脑管家和哈勃都已识别该木马,用户也可以选择上传哈勃分析系统(https://habo.qq.com/)来识别该木马或者安装电脑管家实时防护电脑安全。
