知識星球來自FreeBuf.COM
* 參考來源:Threatbook, v2ex,本文作者Sphinx
你以為選擇“普通下載”就行了嗎?圖樣!
近日,微步社群出現一則新情報,名為RTFM的使用者發表文章《被汙染的百度下載,被捆綁的Putty,為什麼受傷的總是程式員?!》,引來網友熱議。
作者表示,他從百度軟體中心下載了最新版的putty,並且強調點選的是“普通下載”,執行安裝後,電腦被安裝上了金山毒霸和百度旗下的愛奇藝兩款軟體。
作者對下載的檔案進行了分析,發現putty並非官方版本,與官方版不同,百度軟體中心的putty沒有數字簽名,版本也是奇怪的1.0.0.1。
真假putty
執行軟體後,這個程式會首先連線一臺伺服器,下載一個list.exe檔案,但實際上,這個檔案是一個串列,裡麵包含金山毒霸和愛奇藝的下載地址,串列下載完成後,軟體會提取出真正的putty檔案,在putty執行時則會靜默下載安裝金山毒霸和愛奇藝。
為了探尋真相,作者利用伺服器的IP地址進行了溯源。
溯源過程
作者最終發現,IP的擁有者卜X來自百度上海,是使用者產品部的資深研發工程師。
目前百度還沒有對此進行回應,也不知捆綁惡意軟體是否是工程師的個人行為。
評論區中的大神回覆
小編對此也進行了簡單的調查,發現出現問題的0.67.0.0至少在2017年5月已經出現在軟體中心。10天前,v2ex也有相關帖子控訴捆綁行為。目前透過百度搜索putty,軟體中心的頁面已經被刪除。
據悉,360、火絨,以及部分國外防毒軟體均會對百度版本的putty進行警報。
下載請去官網
這並非putty第一次被牽扯上問題,早在2012年,漢化版putty就曾被曝存在後門,大量主機管理員密碼均可能被洩露。去年年底騰訊因在推廣電腦管家和QQ瀏覽器的過程存在誘導推廣行為向大家道歉後,我們也在專題文章中提到,國內大量的下載站仍然存在著大量誘導性廣告,影響著使用者的體驗。因此,下載軟體時還是建議大家前往產品官網。
●編號608,輸入編號直達本文
●輸入m獲取文章目錄
Linux學習
更多推薦《18個技術類微信公眾號》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維。
