百度软件中心版 PuTTY 被曝恶意捆绑软件

微步社区 RTFM 用户发表文章《被污染的百度下载,被捆绑的 Putty ,为什么受伤的总是程序员?!》解密百度搜索出来的putty使用普通下载也被自动安装其他软件的行为。以下是分析全文:

今天我重装机器后,通过百度软件中心下载了最新版的putty(我点的“普通下载”,http://sw.bos.baidu.com/sw-search-sp/software/385cd0d969a9a/PuTTY_0.67.0.0.exe),运行后突然机子居然自动安装了“金山毒霸”和“爱奇艺”两款软件,针对这个奇怪现象我做了如下分析。

image.png

0x01  样本分析

下载的文件(PuTTY_0.67.0.0.exe)和putty使用的图标是一样,但是这个文件无数字签名,并且版本信息非常诡异:

image.png

该程序启动后首先访问一个URL,并下载一个文件:

http://47.100.191.***/dl/list?supplyId=1&softName=PuTTY_0.67.0.0.exe

该文件保存在浏览器的临时目录,命名为“list.exe”,但其实它并不是一个可执行文件,

文件的内容如下:

image.png

这其实是一个要下载的文件列表,包含了金山毒霸和爱奇艺,接着才会从资源节中读取真正的putty文件,将其释放到临时目录,并运行。如下如:

image.png

真正的putty运行后,这个程序就会在后台静默下载“金山毒霸”和“爱奇艺”。

这到底是百度的官方行为,还是黑客干的?我进行了一个简单的溯源。

0x02 溯源

1、对该程序内嵌的下载地址47.100.191.***(属于阿里云)排查发现,该IP当前存在可疑域名software-********.top(注册于阿里云)。

image.png

2、software-*********.top注册于2018年4月15日(还不到一个月),注册邮箱为bux********@sina.com,而该邮箱曾于2017年3月注册过另一域名bux*****.me,并留有上海的手机号159********。

image.png

3、对手机号和邮箱搜索发现,两条线索均指向支付宝实名用户“卜X”,属地上海浦东。

image.pngimage.png

4、有趣的是,“领英”网站刚好能够检索到一位名为“卜X”的百度员工,工作地恰好也在上海。

image.png

综合上述情况分析,这次捆绑事件的源头应该是“卜X”,此人可能利用职务之便实施了此次恶意推广活动,百度应该也是“受害者”!

当然除了Putty外,我还找到一款名为“肥佬影音”的软件(http://sw.bos.baidu.com/sw-search-sp/software/a6b1a03d44ccb/feilaoyingyin.exe)也具备上述行为,作者不止针对我们用putty的码农,还兼顾了另一部分特定用户,真是太坏了!

image.png

0x03 沙箱效果

最后,我试着用微步沙箱跑了一下这个程序,检测效果还是很明显的,有兴趣可以看看。

image.png

发表评论

8 条评论

  1. 用户6201369033 安卓手机 2018-05-23 18:27
    #8楼

    有生之年能看到百度倒闭,那就死的瞑目了

    支持[0]反对[0]
  2. 匿名 Windows 7 x64 Chrome 66.0.3359.139 2018-05-12 15:35
    #7楼

    几年前,就是度娘上下过病毒的软件。

    支持[0]反对[0]
  3. 匿名 Windows 7 猎豹浏览器 2018-05-11 09:57
    #6楼

    CSGO广告还挺大的

    支持[0]反对[0]
  4. 匿名 华为手机 2018-05-11 01:42
    #5楼

    百度什么时候倒闭啊

    支持[2]反对[0]
  5. 匿名 Windows 10 x64 Chrome 65.0.3325.181 2018-05-10 20:09
    #4楼

    百度真是流氓!公司员工也是!

    支持[2]反对[0]
  6. 匿名 Windows 10 x64 Chrome 45.0.2454.101 2018-05-10 16:02
    #地板

    早就不从百度下载了

    支持[2]反对[0]
  7. 匿名 Windows 7 x64 Chrome 56.0.2924.90 2018-05-10 14:06
    #板凳

    很正常,基本上所有从百度软件中心下载的软件都会被捆绑各种垃圾软件。

    支持[1]反对[0]
  8. 匿名 Windows 10 x64 Chrome 55.0.2883.87 2018-05-10 11:53
    #沙发

    你百度搜索时的那个“相关影视作品”很拉轰啊~~~~~

    支持[2]反对[0]