近日,據騰訊安全反病毒實驗室監控發現,一款主流的遠程終端軟體XShell的官方版本中被打包了惡意代碼,運行此版本軟體後,受害者電腦上會被植入後門,存在被不法分子遠程控制,導致個人信息遭竊的風險,目前已有國內用戶中招。對此,騰訊安全反病毒實驗室已發布了相應的後門專殺工具,廣大用戶也可通過騰訊電腦管家和哈勃分析系統(https://habo.qq.com/)來識別自己電腦中的XShell版本是否含有後門。
同時該軟體製作方已經發布安全公告,稱其最近更新(7月18日)的Xmanager Enterprise、Xmanager、XShell、Xftp、Xlpd五款軟體存在安全漏洞,官方已於8月5日緊急修復,並發布更新版本。騰訊安全反病毒實驗室建議廣大使用者儘快檢查使用的XShell版本號,如果發現受影響請及時下載最新版本使用。
作惡手段隱蔽 技術人員或受影響最大
騰訊安全反病毒實驗室研究發現,由於這個版本的XShell可以在官方途徑下載,或者通過自動升級功能安裝,且帶有正常籤名,有可能被常見殺毒軟體放過而造成大面積傳播。同時由於XShell被廣泛的用於伺服器運維和管理,導致這次的網絡威脅中,以站長,技術運維人員首當其衝。
在本次事件中,除了受眾集中在相關技術人員的特殊性之外,其作惡手法同樣值得關注。據騰訊安全反病毒實驗室研究發現,不法分子不僅層層推進,盜取主機信息;還通過DNS協議傳遞受害者電腦信息,並接收伺服器指令,進一步增強了其廣作案、難發現的特性。
五條應對建議 騰訊安全反病毒實驗室保護用戶隱私
基於本次事件的潛在威脅,騰訊安全反病毒實驗室安全專家梳理了以下五條安全操作指南,建議廣大用戶遵照以下指示,保護個人信息安全。
1.目前NetSarang公司已經發布公告
(http://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html),如果有運維人員使用了公告中提到的受影響版本,請儘快升級。
2.運維人員如果發現IOC中列出的以下域名請求時,請儘快進行排查。
ribotqtonut.com (2017年7月)
nylalobghyhirgh.com (2017年8月)
jkvmdmjyfcvkf.com (2017年9月)
bafyvoruzgjitwr.com (2017年10月)
xmponmzmxkxkh.com (2017年11月)
tczafklirkl.com (2017年12月)
SHA256:
462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb
536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882
c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f
515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0
3.已經中毒的電腦,建議查殺後,應儘快修改伺服器的密碼。
4.如果對自己的電腦存有懷疑,可以下載騰訊安全反病毒實驗室提供的XShell後門查殺工具進行掃描和清除(https://habo.qq.com/tool/detail/xshellghostkiller)。
5.目前電腦管家和哈勃都已識別該木馬,用戶也可以選擇上傳哈勃分析系統(https://habo.qq.com/)來識別該木馬或者安裝電腦管家實時防護電腦安全。
特別提醒:本網內容轉載自其他媒體,目的在於傳遞更多信息,並不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,並請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯繫我們,本站將會在24小時內處理完畢。