简介:
Xshell是一款强大,著名的终端模拟软件,被广泛的用于服务器运维和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能,在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境,动态端口转发,自定义键映射,用户定义按钮,VB脚本和用于显示2 byte字符和支持国际语言的UNICODE终端。
Xshell提供许多用户友好的,在其他终端终端模拟软件没有的功能。这些功能包括:通过拖放文件进行Zmodem文件上传和Zmodem文件下载,简易模式,全屏模式,透明度选项和自定义布局模式,等。使用Xshell执行终端任务节省时间和精力。
目前xshell最高版本为 Xshell 5 Build 1326 该版本更新于2017年8月5日.
日前,360CERT获悉某安全公司发现NetSarang的Xmanager, Xshell, Xftp, Xlpd等产品中,发布的nssock2.dll模块中存在恶意代码,在Xshell 5.0.1322和Xshell 5.0.1325两个版本中均已确认恶意代码存在:
简要分析
360CERT通过行为分析发现后门会对一个箱子域名“nylalobghyhirgh.com”发起请求。该域名开启了隐私保护,且只能查询到NS记录:
此外,该域名还会向多个超长域名做渗出,且域名采用了DGA生成算法,通过DNS解析时渗出数据。
部分生成域名如下:
sajajlyoogrmkjlkmosbxowcrmwlvajdkbtbjoylypkoldjntglcoaskskwfjcolqlmcriqctjrhsltakoxnnmtlvdpdpcwhpgnet.nylalobghyhirgh.com sajajlyoogrmkkmhncrjkingvmwlvajdketeknvbwfqppgkbtdlcj.esjsnwhjmjglnoksjmctgrlyhsgmgveqmrexmloppylmpl.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplm.tfvduaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdx.dlpqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmkjjmjmmhjdkgmmwlvajdkjtcmiycxjlppolisfqgpcs.jsnwap.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfvduap.lkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaqplmtfv.duaplkilcogrcpbv.nylalobghyhirgh.com sajajlyoogrmkeloufodqfpjwmwlvajdkctmkcydybloooljwaqpp.gsoskwdkljlmkoksiqduix.nylalobghyhirgh.com sajajlyoogrmkdmkporgujqmumwlvajdkctgjewiufqoppkotelgmovfvexem.lmaklmoxgoftfrcsbtgkayiohuevhknnevkj.nylalobghyhirgh.com sajajlyoogrmkmliwgmgoooavmwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkglhsnqnmkkpqmwlvajdkctckcwgvmjkjbpivjmgmcudvnyamj.mmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkekbsbnowiwnsmwlvajdkctomcymyklhmdjpxbplqkrb.snwekokgllmoxapeubsorotbkhynnktft.nylalobghyhirgh.com sajajlyoogrmkdjhrgpcllwanowlvajdkftfjcxlyokpmancxmqnpkrnwdxdl.pqjnholroqctarosbtpq.nylalobghyhirgh.com sajajlyoogrmklkjqgxdxbxiymwlvajdkctckcwgvmjkjbpivjmgmc.udvnyamjmmjlmoxhvaphjencqasmmbsfv.nylalobghyhirgh.com sajajlyoogrmkpmnmixivemirmwlvajdkctcjpymyjlfmoqjyaq.plmtfvduaplkilcogrcpbv.nylalobghyhirgh.com
每个月通过特定算法生成一个新的控制域名,目前部分已经被作者注册
2017-06 vwrcbohspufip.com
2017-07 ribotqtonut.com
2017-08 nylalobghyhirgh.com
2017-09 jkvmdmjyfcvkf.com
2017-10 bafyvoruzgjitwr.com
2017-11 xmponmzmxkxkh.com
2017-12 tczafklirkl.com
存在后门版本(已验证)
Xshell Build 5.0.1322
Xshell Build 5.0.1325
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xftp 5.0 Build 1218
Xftp 5.0 Build 1221
Xlpd 5.0 Build 1220
PS:国内大量下载站,目前都是上述有问题的版本
没有问题的版本
Xmanager Enterprise Build 1236
Xmanager Build 1049
Xshell Build 1326
Xftp Build 1222
Xlpd Build 1224
https://download.netsarang.com(primary)
NetSarang官方回复
翻译:1322版本存在后门。我们发布了1326版本修复了这个后门问题。请立即更新避免继续受到该问题的影响。
Xshell后门查杀工具
使用方法:
1.下载Xshell后门查杀工具到电脑。
2.使用解压工具解压,运行文件夹下的“Xshell后门查杀工具”文件。
3.点击下方的“一键检测Xshell后门”按钮,等待检测结果。
4.如果工具发现了Xshell工具后门,请按照工具的提示进行后续的操作。
下载地址:https://habo.qq.com/tool/download/xshellghostkiller
本文转自:360安全客
程序来自:腾讯哈博分析系统
PS:博主已卸载
- Line群组
- 阔乐博客Line群了解一下
-
- Telegram群组
- Telegram群了解一下
-
2017年8月16日 下午9:21 沙发
分析的好专业。。赶紧修改密码
2017年8月18日 下午2:02 板凳
要怪以前的上计算机课没有好好的学习了