近日,据腾讯安全反病毒实验室监控发现,一款主流的远程终端软件XShell的官方版本中被打包了恶意代码,运行此版本软件后,受害者电脑上会被植入后门,存在被不法分子远程控制,导致个人信息遭窃的风险,目前已有国内用户中招。对此,腾讯安全反病毒实验室已发布了相应的后门专杀工具,广大用户也可通过腾讯电脑管家和哈勃分析系统(https://habo.qq.com/)来识别自己电脑中的XShell版本是否含有后门。
同时该软件制作方已经发布安全公告,称其最近更新(7月18日)的Xmanager Enterprise、Xmanager、XShell、Xftp、Xlpd五款软件存在安全漏洞,官方已于8月5日紧急修复,并发布更新版本。腾讯安全反病毒实验室建议广大使用者尽快检查使用的XShell版本号,如果发现受影响请及时下载最新版本使用。
作恶手段隐蔽 技术人员或受影响最大
腾讯安全反病毒实验室研究发现,由于这个版本的XShell可以在官方途径下载,或者通过自动升级功能安装,且带有正常签名,有可能被常见杀毒软件放过而造成大面积传播。同时由于XShell被广泛的用于服务器运维和管理,导致这次的网络威胁中,以站长,技术运维人员首当其冲。
在本次事件中,除了受众集中在相关技术人员的特殊性之外,其作恶手法同样值得关注。据腾讯安全反病毒实验室研究发现,不法分子不仅层层推进,盗取主机信息;还通过DNS协议传递受害者电脑信息,并接收服务器指令,进一步增强了其广作案、难发现的特性。
五条应对建议 腾讯安全反病毒实验室保护用户隐私
基于本次事件的潜在威胁,腾讯安全反病毒实验室安全专家梳理了以下五条安全操作指南,建议广大用户遵照以下指示,保护个人信息安全。
1.目前NetSarang公司已经发布公告,如果有运维人员使用了公告中提到的受影响版本,请尽快升级。
2.运维人员如果发现IOC中列出的以下域名请求时,请尽快进行排查。
ribotqtonut.com (2017年7月)nylalobghyhirgh.com (2017年8月)
jkvmdmjyfcvkf.com (2017年9月)
bafyvoruzgjitwr.com (2017年10月)
xmponmzmxkxkh.com (2017年11月)
tczafklirkl.com (2017年12月)
SHA256:
462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb
536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882
c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f
515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0
3.已经中毒的电脑,建议查杀后,应尽快修改服务器的密码。
4.如果对自己的电脑存有怀疑,可以下载腾讯安全反病毒实验室提供的XShell后门查杀工具进行扫描和清除。
5.目前电脑管家已可识别该木马,用户也可以选择上传哈勃分析系统来识别该木马或者安装电脑管家实时防护电脑安全。
