やや旧聞になるが、人気のWindows向けSSHクライアント「PuTTY」で、マルウェア入りの非公式バージョンが出回っているそうだ。

PuTTYはオープンソースソフトウェアなので、(知識と開発ツールさえあれば)誰もが改変したバージョンを作成して配布できる。シマンテックのブログによると、このマルウェア入りPuTTYは2013年後半から出回っているらしい。

今のところあまり拡散していないが、検索エンジン経由でこのマルウェア入りPuTTYのダウンロードページに誘導されることがあるようだ。

この改変版PuTTYでは、サーバーへの接続時に接続情報が攻撃者のサーバーに送信される。これにより、攻撃者は被害者が接続しようとしたSSHサーバーへの接続が可能になるという。

SourceForgeがアドウェア入りGIMPインストーラを配布したことが話題になっているが、オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。
ttp://security.srad.jp/story/15/05/29/2134257/


スポンサードリンク

補足:これはPuTTYにトロイが混入しているのではなく、派生版の何処かに悪意あるものがあるという意味。一番安全なのはPuTTY本家からのインストール。

しかし、日本人であれば派生版を利用する人がほとんどと思われますので、信頼ある派生版(ごった煮版とか)などにしておきましょう。

247:名無しさん@お腹いっぱい。 2015/05/20(水) 01:05:48.45 .net

malware入りputtyが出回ってるから注意、らしいよ
対策は公式サイトからダウンロードしろ、だけど
派生版使ってる場合はどうにもならんなあ


248:名無しさん@お腹いっぱい。 2015/05/20(水) 02:54:48.80 .net

>>247
http://blogs.cisco.com/security/trojanized-putty-software
これか
派生版はまあ信じるしか無いな


4: トラースキック(神奈川県)@\(^o^)/ 2015/05/30(土) 19:50:01.57 ID:9gbSuGHu0.net

マジかよ最悪だなPUFFY


3: メンマ(神奈川県)@\(^o^)/ 2015/05/30(土) 19:49:15.88 ID:vJL54pLl0.net

puttyはやめとき


2: 腕ひしぎ十字固め(東京都)@\(^o^)/ 2015/05/30(土) 19:48:50.62 ID:E/APEmwr0.net

teratermならいいのか?


7: サッカーボールキック(北海道)@\(^o^)/ 2015/05/30(土) 19:54:52.06 ID:1M1+yeYH0.net

どうせsoftonicあたりのサイトでダウンロードしたんだろ


17: TEKKAMAKI(やわらか銀行)@\(^o^)/ 2015/05/30(土) 20:19:08.42 ID:S4ksPxi/0.net

>>7
あのクソサイトは何なんだよ
なんでグーグルの上位に表示されるんだ


8: ネックハンギングツリー(西日本)@\(^o^)/ 2015/05/30(土) 19:55:11.49 ID:TjIKDX7a0.net

スラドで見たなぁと思ったらスラドだった


10: フォーク攻撃(千葉県)@\(^o^)/ 2015/05/30(土) 19:59:01.06 ID:tMkvFBG40.net

マジかよ
5月から仕事で使ってるわ


9: 目潰し(チベット自治区)@\(^o^)/ 2015/05/30(土) 19:57:23.46 ID:+ifiI9hg0.net

月曜からアンインストールしろとかお達しが出て午前が潰れるのか…


15: ジャンピングDDT(庭)@\(^o^)/ 2015/05/30(土) 20:16:55.17 ID:44+uYmFB0.net

つーか、ろくなアプリないよね。SSHクライアント。
なので、Macに全面的に以降したわ。


13: ダブルニードロップ(山口県)@\(^o^)/ 2015/05/30(土) 20:06:33.99 ID:R5Cnz5Yv0.net

プティ
パティ

未だに社内でどうよぶか統一できていない。パティが正しいだろ


詳細


詳細はシマンテックに書かれています。

PuTTY は通例、標準的な SSH URL 形式を使って接続します。

"ssh://[ユーザー名]:[パスワード]@[ホスト名]:[ポート番号]"
一方、悪質なバージョンの PuTTY がホストへの接続に成功する場合は必ず、接続の SSH URL をコピーし、その URL を Web セーフな Base64 でエンコードしたうえで、以下の文字列を含む ping を攻撃者の Web サーバーに送信していることが判明しました。



図 2. 元のバイナリファイルで、URL(ぼかしてあります)を平文として表示したところ



図 3. エンコードされた SSH URL

http://www.symantec.com/connect/ja/blogs/ssh

元スレ:http://hayabusa3.2ch.sc/test/read.cgi/news/1432982579/、http://toro.2ch.sc/test/read.cgi/unix/1302006799/