百度软件提供的PuTTY工具:被发现恶意捆绑软件

日前，有网友发现通过百度软件中心下载的知名终端连接工具PuTTY遭到了篡改，并且被捆绑了金山毒霸和爱奇艺两款软件。

一、百度软件中心发现疑似捆绑行为

该网友表示，他从百度软件中心下载了最新版的PuTTY，并强调是点击了“普通下载”，而运行安装后，电脑上就被捆绑安装了金山毒霸和百度旗下的爱奇艺两款软件。

经过测试发现，如果在百度搜索这些软件，点击高级搜索就会同时下载到有捆绑推广的软件，但即使点击普通下载按钮依旧有可能中招，这就比较奇怪了。

二、PuTTY非官方版本

值得注意的是，网友对下载到的文件进行了分析，结果发现这款由百度软件中心体提供的PuTTY并非官方版本，不仅没有数字签名，而且版本也是奇怪的1.0.0.1。

于是，网友对这款产品进行了深入的分析，运行软件后程序会连接服务并下载一个列表文件，其中包含有金山毒霸和爱奇艺的下载地址。

而列表文件下载完成后，软件才会提取真正的PuTTY文件，并在PuTTY运行时静默下载安装金山毒霸和爱奇艺，所以用户从表面上看确实是在打开PuTTY，但后台实际上已经开始安装捆绑软件，因此普通用户相对来说很难发现端倪。

为了探寻真相，网友对这款产品所连接的服务器IP地址进行了溯源追查，结果发现其的拥有者来自上海，可能与百度上海的名为卜X的资深研发工程师有关。

三、究竟是否为个人行为

目前，百度方面已经直接将PuTTY所在的页面删除了，但官方并未发布任何声明，因此我们暂时不知道此次捆绑恶意软件是否是工程师的个人行为。

据悉，这已经不是PuTTY被牵涉问题了，早在2012年时，汉化版的PuTTY就曾被曝光存在后门，有大量主机管理员密码均可能被泄漏。

作为一款开源免费的终端连接工具，PuTTY在业界拥有极高的是名都，其用户也基本都是程序员或者运维工程师等，而360、火绒及部分国外杀毒软件均会对百度版的PuTTY报毒。

因此网友也希望官方能就此事有一个确切的说明，当然笔者这里建议，下载软件请务必前往软件官网下载，尽管各地消协已经多次发文要求，软件开发商不得默认勾选捆绑软件，虽然本文所提及的PuTTY并不是百度开发的。