知名终端模拟软件XShell多版本存在后门以及XShell后门查杀工具

CokeMine
CokeMine
CokeMine
275
文章
432
评论
2017年8月16日19:58:35 2 3.8K views

简介:

Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。

Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。

目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.

日前,360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在:

简要分析

360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。该域名开启了隐私保护,且只能查询到NS记录:

此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。

部分生成域名如下:

sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com 
sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com 
sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com 
sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com 
sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com 
sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com 
sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com 
sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com

每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册

2017-06    vwrcbohspufip.com

2017-07    ribotqtonut.com

2017-08    nylalobghyhirgh.com

2017-09    jkvmdmjyfcvkf.com

2017-10    bafyvoruzgjitwr.com

2017-11    xmponmzmxkxkh.com

2017-12    tczafklirkl.com

存在后门版本(已验证)

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS:国内大量下载站,目前都是上述有问题的版本

没有问题的版本

Xmanager Enterprise Build 1236

Xmanager Build 1049

Xshell Build 1326

Xftp Build 1222

Xlpd Build 1224

https://download.netsarang.com(primary)

https://download.netsarang.co.kr

NetSarang官方回复

翻译:1322版本存在后门。我们发布了1326版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。

Xshell后门查杀工具

使用方法:

1.下载Xshell后门查杀工具到电脑。

2.使用解压工具解压,运行文件夹下的“Xshell后门查杀工具”文件。

3.点击下方的“一键检测Xshell后门”按钮,等待检测结果。

4.如果工具发现了Xshell工具后门,请按照工具的提示进行后续的操作。

下载地址:https://habo.qq.com/tool/download/xshellghostkiller

 

本文转自:360安全客

程序来自:腾讯哈博分析系统

PS:博主已卸载

  • Line群组
  • 阔乐博客Line群了解一下
  • weinxin
  • Telegram群组
  • Telegram群了解一下
  • weinxin

广告位招募               加入TG群组

CokeMine
  • 本文由 发表于 2017年8月16日19:58:35
  • 转载请务必保留本文链接:https://www.cokemine.com/xshell-hm.html
EUserv提供免费1TB存储/通过WebDAV方式挂载到VPS 闲谈分享

EUserv提供免费1TB存储/通过WebDAV方式挂载到VPS

一、简介 EUserv,正是一直在为我们提供免费IPv6小鸡的良心商家,推出了他们的新的免费产品,1TB的存储块,虽然只有一年的有效期,但是只要提前3个月取消掉就不会被坑。三个月的缓冲期还是非常良心的...
About.us&Porkbun提供免费一年.us域名 免费域名

About.us&Porkbun提供免费一年.us域名

简介 About.us和Porkbun联合举办的活动,好像是很早之前就有的活动了,只不过最近又可以注册了。大家有需求的可以试试吧。无需信用卡。.us有注册限制,可能会被抽查。 地址:点击这里 本文转自...
Porkbun:免费一年.design域名 免费域名

Porkbun:免费一年.design域名

简介 Porkbun,算是还不错的域名商吧,我有个米就在他家待了两三年了,也经常放出免费送域名的活动,但是最近送域名的活动都比较严格了,要信用卡验证(原来的活动很多都不要) 这次送的.design域名...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:2   其中:访客  0   博主  0
    • qwer121 qwer121 4

      分析的好专业。。赶紧修改密码

      • 搜推快排系统 搜推快排系统 1

        要怪以前的上计算机课没有好好的学习了