• 如何注册本站?点击【登录】——>【QQ登录】,即可成为本站注册会员哟!
  • 如何获得积分?目前本站积分从【每日登录】、【评论】、【投稿】、【邀请注册】等方式获得。
  • 欢迎加入本站交流QQ群:9820340
  •    2周前 (05-11)  综合分享 |   1 条评论  79 
    文章评分 1 次,平均分 5.0

    原题:《被污染的百度下载,被捆绑的Putty,为什么受伤的总是程序员?!》

    出处:微步社区,作者:RTFM,PS:下软件请认准云库网,安全、纯净、无毒无捆绑、人工检测

    今天我重装机器后,通过百度软件中心下载了最新版的putty(我点的“普通下载”,http://sw.bos.baidu.com/sw-search-sp/software/385cd0d969a9a/PuTTY_0.67.0.0.exe),运行后突然机子居然自动安装了“金山毒霸”和“爱奇艺”两款软件,针对这个奇怪现象我做了如下分析。

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    0x01 样本分析

    下载的文件(PuTTY_0.67.0.0.exe)和putty使用的图标是一样,但是这个文件无数字签名,并且版本信息非常诡异:

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    该程序启动后首先访问一个URL,并下载一个文件:

    http://47.100.191.***/dl/list?supplyId=1&softName=PuTTY_0.67.0.0.exe

    该文件保存在浏览器的临时目录,命名为“list.exe”,但其实它并不是一个可执行文件,

    文件的内容如下:

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    这其实是一个要下载的文件列表,包含了金山毒霸和爱奇艺,接着才会从资源节中读取真正的putty文件,将其释放到临时目录,并运行。如下如:

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    真正的putty运行后,这个程序就会在后台静默下载“金山毒霸”和“爱奇艺”。

    这到底是百度的官方行为,还是黑客干的?我进行了一个简单的溯源。

    0x02 溯源

    1、对该程序内嵌的下载地址47.100.191.***(属于阿里云)排查发现,该IP当前存在可疑域名software-********.top(注册于阿里云)。

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    2、software-*********.top注册于2018年4月15日(还不到一个月),注册邮箱为bux********@sina.com,而该邮箱曾于2017年3月注册过另一域名bux*****.me,并留有上海的手机号159********。

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    3、对手机号和邮箱搜索发现,两条线索均指向支付宝实名用户“卜X”,属地上海浦东。

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    4、有趣的是,“领英”网站刚好能够检索到一位名为“卜X”的百度员工,工作地恰好也在上海。

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    综合上述情况分析,这次捆绑事件的源头应该是“卜X”,此人可能利用职务之便实施了此次恶意推广活动,百度应该也是“受害者”!

    当然除了Putty外,我还找到一款名为“肥佬影音”的软件(http://sw.bos.baidu.com/sw-search-sp/software/a6b1a03d44ccb/feilaoyingyin.exe)也具备上述行为,作者不止针对我们用putty的码农,还兼顾了另一部分特定用户,真是太坏了!

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    0x03 沙箱效果

    最后,我试着用微步沙箱跑了一下这个程序,检测效果还是很明显的,有兴趣可以看看。

    【安全播报】百度软件中心版putty被曝恶意捆绑软件

    相关链接:

    1、分析报告:https://s.threatbook.cn/report/file/b0949152cbc530aa1575a74413ba49a6c3dfa0ad58b645a3708f52326a8f5cb5/?env=win7_sp1_enx86_office2013

    2、ip地址报告:47.100.191.121

    3、域名地址报告:software-download.top

    4、Hash样本报告:

    B0949152CBC530AA1575A74413BA49A6C3DFA0AD58B645A3708F52326A8F5CB5

    F27B47CF76915C62C019150C0019923482BA931BCD7DA7EF38CD6AD6412570D6

     

    除特别注明外,本站所有文章均为云库网原创,转载请注明出处来自http://www.coolapp.wang/share/2407.html

    关于

    发表评论

    表情 格式
    1. 支持版主

      actor 评论达人 LV.1 1周前 (05-12) [0] [0]

    登录

    忘记密码 ?

    您也可以使用第三方帐号快捷登录

    切换登录

    注册

    扫一扫二维码分享