Putty、Winscp中文版后门简单分析报告

tiejun

01月30日，有消息称在汉化版putty、WinSCP、SSH Secure等工具中发现后门。经金山毒霸安全中心验证，这些汉化版管理工具的确存在后门程序，可窃取管理员帐号，从而完全控制linux服务器。金山毒霸安全专家建议，linux系统管理员应立刻卸载这些汉化版软件，并尽快修改管理员密码。

以下是Putty、WinSCP中文版后门的简单分析

一.简要描述

中文版putty在用户输入所有信息之后在服务器验证密码用户名信息之前,新增发送服务器地址,用户名,密码 到特定asp空间的恶意逻辑.导致使用他的用户其服务器信息被窃取.

英文版本未发现异常。

二．主要函数流程分析：

1.  在用户输入完密码和用户名时,程序会将病毒需要的信息包保存起来
2.  该函数首先获取wininet.dll的相关函数用于后续发送密码 用户名信息等.
3.  解密用于收信的ASP空间.



4.        格式化服务器地址 用户名 密码信息 发送到解密的ASP空间里.这样用户的服务器信息就被此软件窃取了.

发信格式：

三  中英版本文流程对比





四.WinScp中英文版分析
WinScp的中英文版的区别只是中文版需要加载一个中文库,其本身程序并没有改变.
当其目录下有中文库WinScp就是中文版




其后门代码与中文版的putty一致,且发信空间一致.

貝殼

金山能殺？

sxyuqiao

貝殼 发表于 2012-1-31 18:43
金山能殺？

已经可以查杀
有空乃可以多去微博逛逛

Palkia

肯定是可杀才放报告出来的

迷惘的执著

看到技术贴了。。好厉害


但看不懂

不可错过

没有提供样本给网友测试，不知道真假？

大金鱼先生

少了一句“金山毒霸2012已可完美查杀防御此类后门，请下载金山毒霸2012保护您电脑安全 点此下载金山毒霸2012猎豹版”

qwe12301

大金鱼先生 发表于 2012-1-31 21:42
少了一句“金山毒霸2012已可完美查杀防御此类后门，请下载金山毒霸2012保护您电脑安全 点此下载金山毒霸201 ...

要加了又会有人说这是广告。论坛里的这些“奇葩”真难伺候

流星街

大金鱼先生 发表于 2012-1-31 21:42
少了一句“金山毒霸2012已可完美查杀防御此类后门，请下载金山毒霸2012保护您电脑安全 点此下载金山毒霸201 ...

那我也可以說：請使用組合安全衛士，可完美搞爛你的電腦怎麼樣不錯吧~思想可憐的小魚魚！

流星街

有幼稚的金魚小孩子在挺難搞的先支持一下