Xshell存在后門代碼 騰訊電腦管家可一鍵識別

　　近日，據(jù)騰訊安全反病毒實(shí)驗(yàn)室監(jiān)控發(fā)現(xiàn)，一款主流的遠(yuǎn)程終端軟件XShell的官方版本中被打包了惡意代碼，運(yùn)行此版本軟件后，受害者電腦上會被植入后門，存在被不法分子遠(yuǎn)程控制，導(dǎo)致個(gè)人信息遭竊的風(fēng)險(xiǎn)，目前已有國內(nèi)用戶中招。對此，騰訊安全反病毒實(shí)驗(yàn)室已發(fā)布了相應(yīng)的后門專殺工具，廣大用戶也可通過騰訊電腦管家和哈勃分析系統(tǒng)來識別自己電腦中的XShell版本是否含有后門。

　　同時(shí)該軟件制作方已經(jīng)發(fā)布安全公告，稱其最近更新(7月18日)的Xmanager Enterprise、Xmanager、XShell、Xftp、Xlpd五款軟件存在安全漏洞，官方已于8月5日緊急修復(fù)，并發(fā)布更新版本。騰訊安全反病毒實(shí)驗(yàn)室建議廣大使用者盡快檢查使用的XShell版本號，如果發(fā)現(xiàn)受影響請及時(shí)下載最新版本使用。

　　作惡手段隱蔽 技術(shù)人員或受影響最大

　　騰訊安全反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn)，由于這個(gè)版本的XShell可以在官方途徑下載，或者通過自動升級功能安裝，且?guī)в姓�常簽名，有可能被常見殺毒軟件放過而造成大面積傳播。同時(shí)由于XShell被廣泛的用于服務(wù)器運(yùn)維和管理，導(dǎo)致這次的網(wǎng)絡(luò)威脅中，以站長，技術(shù)運(yùn)維人員首當(dāng)其沖。

　　在本次事件中，除了受眾集中在相關(guān)技術(shù)人員的特殊性之外，其作惡手法同樣值得關(guān)注。據(jù)騰訊安全反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn)，不法分子不僅層層推進(jìn)，盜取主機(jī)信息;還通過DNS協(xié)議傳遞受害者電腦信息，并接收服務(wù)器指令，進(jìn)一步增強(qiáng)了其廣作案、難發(fā)現(xiàn)的特性。

　　五條應(yīng)對建議 騰訊安全反病毒實(shí)驗(yàn)室保護(hù)用戶隱私

　　基于本次事件的潛在威脅，騰訊安全反病毒實(shí)驗(yàn)室安全專家梳理了以下五條安全操作指南，建議廣大用戶遵照以下指示，保護(hù)個(gè)人信息安全。

　　1.目前NetSarang公司已經(jīng)發(fā)布公告

　　如果有運(yùn)維人員使用了公告中提到的受影響版本，請盡快升級。

　　2.運(yùn)維人員如果發(fā)現(xiàn)IOC中列出的以下域名請求時(shí)，請盡快進(jìn)行排查。

　　ribotqtonut.com (2017年7月)

　　nylalobghyhirgh.com (2017年8月)

　　jkvmdmjyfcvkf.com (2017年9月)

　　bafyvoruzgjitwr.com (2017年10月)

　　xmponmzmxkxkh.com (2017年11月)

　　tczafklirkl.com (2017年12月)

　　SHA256：

　　462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8

　　696be784c67896b9239a8af0a167add72b1becd3ef98d03e99207a3d5734f6eb

　　536d7e3bd1c9e1c2fd8438ab75d6c29c921974560b47c71686714d12fb8e9882

　　c45116a22cf5695b618fcdf1002619e8544ba015d06b2e1dbf47982600c7545f

　　515d3110498d7b4fdb451ed60bb11cd6835fcff4780cb2b982ffd2740e1347a0

　　3.已經(jīng)中毒的電腦，建議查殺后，應(yīng)盡快修改服務(wù)器的密碼。

　　4.如果對自己的電腦存有懷疑，可以下載騰訊安全反病毒實(shí)驗(yàn)室提供的XShell后門查殺工具進(jìn)行掃描和清除

　　5.目前電腦管家和哈勃都已識別該木馬，用戶也可以選擇上傳哈勃分析系統(tǒng)來識別該木馬或者安裝電腦管家實(shí)時(shí)防護(hù)電腦安全。