中文版Putty后门破解分析

　　一、正常软件与木马进行捆绑，当用户运行软件时，木马或者病毒自动运行，用户不知不觉便中了招。

　　二、在软件代码中加入了特殊代码，让软件有“特别”的功能，如发送口令到指定服务器，完成木马功能。

　　Dancer 和众安全爱好者也参与测试了一个中文版Putty，测试结果如下：

　　测试网站：http://www.putty.org.cn/

　　测试时间：2012-1-31日

　　测试情况：二款软件均有后门

　　网站首页：

　　后门分析过程，下载中文版本Putty，VM中测试，软件未发现病毒和木马，但当你填上用户和密码提交后，此软件会将用户和密码，软件信息等发送到指定网站，抓包如下图：

　　最后一行可以看到，有一个GET请求，就这后门发包处，root用户和密码都发送到了指定的网站，也就是说所有使用这个版本的Putty，只要你登陆过Linux/Unix，你的登陆用户账号和密码都通过这个GET请求发送到后门服务器中。

　　搞笑的亮点

　　不过很搞笑的是收密码的网站存在漏洞，并且是权限非常高，我写了一个小工具可以直接将数据暴出来，格式如下：主机-用户名-密码-登陆工具

　　如下图：

　　第一条数据表示的意思：

　　主机：115.x.x.137

　　用户：root

　　密码：fexxxxB2

　　登陆工具：Putty

　　(图中红块、文字中x 隐藏了直接的信息)

　　为了验证密码的真实性，我使用官方下载的Putty登陆验证，可以正确登陆上边账号和密码，如下图所示：

　　也就是说，使用过带后门的Putty或者WinSCP用户的密码都被泄露了，当你看到这里的时候，相信你再也不敢使用中文版的Putty、中文WinSCP了，建议大家去国外官方下载：

　　putty：http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

　　WinSCP：http://sourceforge.net/projects/winscp/files/WinSCP/4.3.6/winscp436setup.exe/download

　　本文由陕西亿捷智能家居(http://www.yijie029.com/news/html/?436.html)站长Dancer原创编辑，转载请注明出处，小生将不胜感激