围观PuTTY/WinSCP后门版钓鱼事件未遂

今天据传闻国内有人做了假冒putty和winscp的钓鱼网站，放上带木马的这两个软件汉化版来大量盗取管理密码。
http://blog.csdn.net/hu_zhenghui/article/details/7221001
http://www.techweb.com.cn/it/2012-01-31/1145965.shtml
http://www.techweb.com.cn/news/2012-01-31/1145937.shtml
我想来围观下（虽然过了好快一整天了）。
1、貌似这个钓鱼事件涉及到4个域名

putty.org.cn

putty.ws

winscp.cc

sshsecure.com
中间两个域名都是很容易搞到的特殊顶级域名，挂在注册商下whois不出。不放图了。

putty.org.cn 的whois结果也就一个10位的QQ邮箱，看来是专门拿来注册这个了
不过那个邢雪斌，到和别的地方这网站的截图里对上号了


这是putty.org.cn在写这文章时的百度快照。文字内容和底部那地址貌似变了（难道是动态从某个表里取？）
而且邢雪斌也不见了
当然能拿winscp和putty下手挂马的，绝非一般工具黑客。因此尽量用假身份这点应该还是注意了

而sshsecure.com是委托godaddy注册，其whois信息如下，谁知道那邮箱和手机是否是代理商的
Registrant:
xiangcao xiang
china
hangzhou, zhejiang 571100
China

Registered through: Go Daddy
Domain Name: SSHSECURE.COM
Created on: 27-Oct-11
Expires on: 27-Oct-12
Last Updated on: 31-Jan-12

Administrative Contact:
xiang, xiangcao huangguan28@qq.com
china
hangzhou, zhejiang 571100
China
13707531549 Fax --

Technical Contact:
xiang, xiangcao huangguan28@qq.com
china
hangzhou, zhejiang 571100
China
13707531549 Fax --

Domain servers in listed order:
NS55.DOMAINCONTROL.COM
NS56.DOMAINCONTROL.COM

2、sshsecure.com、winscp.cc、putty.org.cn（就这个解析不出IP，很可能是被网监干掉解析的）访问不了，而putty.ws可以访问。服务器我估计也不大可能是Windows，毕竟能搞SSH的密码的人肯定是Linux高手了。

google的快照 winscp.cc 截图。貌似也和刚被发现那时候不一样了。

3、putty.ws可以访问，没有发现有网马。


这里说最高版本0.60，但其指向的下载链接
http://down.zzbaike.com/download/PuTTY-4621.html
这里说是0.61。
http://d1.zzbaike.com:86//download//soft/usual/putty-v0.62.zip
下载链接却是0.62
下回来看看
除站长百科的广告就是个putty.exe
直接丢virustotal
×
File already analysed

This file was already analysed by VirusTotal on 2012-01-31 15:35:18.

Detection ratio: 0/42

You can take a look at the last analysis or analyse it again now.

看来今天刚被人查过。。。
底下的评论
Posted 2 weeks, 6 days ago by wms
PuTTY version 0.62 as downloaded from http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
#goodware
看来现在下的这个是官版无误。
再回头看putty.ws，和其他地方贴上的、其他那三个钓鱼站刚被发现时的截图比起来并不一样，而更类似刚刚所看到的百度和Google快照。看来钓鱼者在其他三个站上不去之前已经改掉了，围观太晚了一点。
根据putty.org.cn的截图，似乎还有个相关的名字“秒啦互联”，一找只是发现有个“秒啦网”，看上去是个新出现的团购网站。不知和这个事件有没关系。上面的那个人名、手机号和邮箱，也许和这事件也有关系吧
据其他新闻网站的报道，似乎高手们已经拿下了后门的服务端，发现上万个抓到的用户密码啥的了。加上看唯一存活的那个putty.ws两边那个godaddy广告条，一看就知道不是啥好东西。而且居然大胆到做百度竞价推广，难怪这么快就倒掉了。
4、这不过是睡不着随便写的破文罢了。如果有知情者拥有详细信息，或者拥有带木马的putty、winscp汉化版，请和我联系。Twitter @yksoft1, yksoft1#gmail.com