A versão "trojan" do PuTTY fazia o encode da conexão SSH (como usuário e senha) em Base64 e então enviava-a para hackers
Como saber se o PuTTY é legítimo ou malware?
Software malicioso compilado com uma versão diferente do MS Visual C++, apresentando ligeiras modificações na interface e com a build não identificada. |
Programa legítimo, mostrando a versão de release. |
Outros indicadores do PuTTY comprometido:
Arquivo Windows PE:
MD5 b5c88d5af37afd13f89957150f9311ca
SHA1 51c409b7f0c641ce3670b169b9a7515ac38cdb82
SHA256 d3e866e5bf18f2d9c667563de9150b705813e03377312b6974923f6af2e56291
Domínios:
ngusto-uro.ru MalPuTTY
go-upload.ru StealZilla
aliserv2013.ru StealZilla
Endereço IPV4:
146.185.239.3
User Agent hardcoded:
Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.9.168 Version/11.51
Servidores Web comprometidos:
stc-castelnaudary[.]fr/putty/
holidaystennisclub[.]com/putty/
stonarov.wz[.]cz/putty/
stabryl.home[.]pl/putty/
mohsenfeshari[.]com/putty/
nwedigital[.]com/putty/
kangasquads.com[.]au/putty/
sistemaysoporte[.]es/putty/
straydogwinter[.]com/putty/
snailmailrecall[.]com/putty/
steveacker[.]com/putty/
starsretail[.]com/putty/
podspeak[.]net/putty/
stephensimmer[.]com/putty/
biznetbrokers[.]com/putty/
ofbcorporation[.]com/putty/
spriebel[.]de/putty/
siteweb.olympe[.]in/putty/
yumyums.comcastbiz[.]net/putty/
prfc.com[.]au/putty/
helpmydiabetes[.]info/wp-includes/
May The Source be with You!