远程终端管理工具Xshell部分版本被植入了后门代码，用户如果使用了被植入后门代码的Xshell工具会导致本机相关的敏感信息被泄露到攻击者所控制的机器。具体情况通报如下：

一、基本情况

远程终端管理工具Xshell的Build1322版本在国内的使用范围广泛，敏感信息的泄露可能导致严重的安全风险，目前已确认使用特洛伊化的Xshell的用户机器会向某域名发起请求传输敏感数据。根据互联网开源情报得知，每日的请求过百万，可见感染范围较广。据监测发现，我市多家政务单位的相关设备存在异常请求通讯，初步怀疑相关设备中安装了被植入后门的Xshell工具。经工作发现，该木马后门不具备横向传播能力，但由于该工具使用广泛，情况各单位立即排查本单位所使用的Xshell版本，并根据官方提供的升级包对工具进行升级，更改账号密码，并对系统进行全面排查。

二、事件受影响范围

本次事件主要受影响的工具及版本为：

Xshell Build 5.0.1322、 Xshell Build 5.0.1325

Xmanager Enterpride 5.0 Build 1232、Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218、Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

三、安全建议

1.用户可以通过查看nssock2.dll的版本来确定是否受此影响，在软件安装目录下找到nssock2.dll文件，右键查看该文件属性，如果版本号为5.0.0.26则存在后门代码；

2.立即将软件升级到官方的最新版本。

升级地址：http://www.netsarang.com