Xshell多版本被植入后門，建議更新到最新版本

近日，XShell遠程終端工具發現被加入了惡意代碼，目前官方就此事也做出了回應，要求使用者盡快下載最新版本。騰訊安全反病毒實驗室就此跟進分析，對此次帶有后門的XShell工具進行了分析。

整個惡意過程可以通過下圖來展示

整個作惡過程分為3部分，第一部分是被patch的XShell啟動后，執行到惡意的shellcode1。shellcode1解密后續數據后，執行該段代碼shellcode2。第二部分shellcode2運行后會判斷注冊表項，如果不存在Data鍵值，則會收集用戶信息，通過DNS 協議傳走，并獲取云端配置數據寫回到注冊表。第三部分，如果注冊表項中有該鍵值，則會開始執行后續的惡意行為，通過注冊表中的key來解密出shellcode3，最終會創建svchost進程，并盜取主機信息。

關于 Xshell：

Xshell 是一款強大、著名的終端模擬軟件，被廣泛地用于服務器運維和管理，Xshell 支持 SSH，SFTP，TELNET，RLOGIN 和 SERIAL 功能。它提供業界領先的性能和強大功能，在免費終端模擬軟件中有著不可替代的地位。企業版中擁有更專業的功能。其中包括：標簽式的環境，動態端口轉發，自定義鍵映射，用戶定義按鈕，VB 腳本和用于顯示 2 byte 字符和支持國際語言的 UNICODE 終端。

目前 Xshell 最高版本為 Xshell 5 Build 1326，該版本更新于2017年8月5日。

本次受影響的版本：

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

查殺與建議：

1，目前NetSarang公司已經發布公告，如果有運維人員使用了公告中提到的受影響版本，請盡快升級。

2，運維人員發現IOC中列出的域名請求時，請盡快進行排查。

3，已經中毒的電腦，建議查殺后，應盡快修改服務器的密碼。

河南億恩科技股份有限公司(www.endtimedelusion.com)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900