驱动人生被曝利用高危漏洞传播病毒，2小时感染10万台电脑_人工智能

12月15日电火绒安全等国内网络安全机构的安全团队监测发现，驱动人生旗下多款软件携带后门病毒DTStealer，14日病毒服务器只开放了不到10个小时即关闭，但是已经感染数万台电脑。据火绒威胁情报系统监测，该病毒于14日下午14点前后开始传播，之后逐步加大传播速度，被感染电脑数量迅速上升，到晚间病毒服务器关闭，停止传播。

驱动人生发布的声明

据悉，目前截获的病毒没有携带其他攻击模块，只是“潜伏”。病毒服务器只开放了不到10个小时即关闭，但是已经感染数万台电脑。

一、“驱动人生”木马程序基本情况

综合CNCERT和国内网络安全企业（腾讯公司、360公司）已获知的样本情况和分析结果，驱动人生旗下的“人生日历”等软件，通过其升级组件dtlupg.exe，开始下发执行木马程序F79CB9D2893B254CC75DFB7F3E454A69.exe。该木马程序具备远程执行代码功能，启动后会将用户计算机的详细信息发往木马服务器控制端，并接收远程指令执行下一步操作。此外，该木马还携带有永恒之蓝漏洞攻击组件，可利用该漏洞攻击局域网与互联网其他机器，进行传播扩散。

据深圳市驱动人生科技股份有限公司于12月15日发布的声明所述，该公司部分老版本升级组件代码漏洞被恶意攻击，导致了此次木马传播事件的发生。

二、感染情况

CNCERT持续对“驱动人生”木马程序进行监测，截至12月15日17时，累计发现境内下载该木马程序的主机为9.9万余台，其中广东、江苏、北京等省受影响主机数量较多。木马程序所在的下载端IP有3个，均位于境外。境内主机下载该木马程序的时间段为14日14时16分至15日14时26分，集中爆发于14日18时左右。15日14时26分至17时期间，并未监测到下载情况。目前，该下载端URL链接已失效。

同时，CNCERT对木马程序控制端IP进行分析发现，“驱动人生”木马程序控制端地址为6个，控制端IP地址均位于境外。截至12月15日17时，累计发现境内共有2.1万余台被控主机上线并连接控制端。

三、处置防范建议

（一）驱动人生老版本用户应手动更新升级版本。

（二）安装并及时更新杀毒安全软件。

（三）做好相关重要数据备份工作。

（四）关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口。

（五）服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解。

（六）可安装腾讯电脑管家或360安全卫士等安全软件进行此类木马程序的查杀。

根据火绒安全团队分析发现，“驱动人生”、“人生日历”、“USB宝盒”等软件的用户会感染该病毒。病毒会同时执行两个任务：1、通过“永恒之蓝”漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧，存在大量未修复的漏洞，因此受到的威胁较大；2、下载其它病毒模块，回传被感染电脑的IP地址、CPU型号等信息。

根据“火绒威胁情报系统”监测，该病毒于14日下午14点前后开始传播，之后逐步加大传播速度，被感染电脑数量迅速上升，到晚间病毒服务器关闭，停止传播。火绒工程师推测，病毒团伙可能是在做传播测试，不排除后续进行更大规模的传播。

15日凌晨，驱动人生官方微博回应称，驱动人生产品少部分未更新的老版本升级组件漏洞被恶意利用攻击。请老版本用户手动更新升级版本，新版驱动人生产品已启用全新升级组件，可放心使用。