CNCERT：關於“驅動人生”木馬程式有關情況的通報

12月14日下午開始，網際網路上出現了一款利用“驅動人生”升級通道，並同時利用永恆系列高危漏洞傳播的木馬突發事件，存在一定網路安全風險隱患。我中心立即啟動應急機制，對此事件開展監測分析工作。

一、“驅動人生”木馬程式基本情況

綜合CNCERT和國內網路安全企業（騰訊公司、360公司）已獲知的樣本情況和分析結果，驅動人生旗下的“人生日曆”等軟體，通過其升級元件dtlupg.exe，開始下發執行木馬程式F79CB9D2893B254CC75DFB7F3E454A69.exe。該木馬程式具備遠端執行程式碼功能，啟動後會將使用者計算機的詳細資訊發往木馬伺服器控制端，並接收遠端指令執行下一步操作。此外，該木馬還攜帶有永恆之藍漏洞攻擊元件，可利用該漏洞攻擊區域網與網際網路其他機器，進行傳播擴散。

據深圳市驅動人生科技股份有限公司於12月15日釋出的宣告所述，該公司部分老版本升級元件程式碼漏洞被惡意攻擊，導致了此次木馬傳播事件的發生。

二、感染情況

CNCERT持續對“驅動人生”木馬程式進行監測，截至12月15日17時，累計發現境內下載該木馬程式的主機為9.9萬餘臺，其中廣東、江蘇、北京等省受影響主機數量較多。木馬程式所在的下載端IP有3個，均位於境外。境內主機下載該木馬程式的時間段為14日14時16分至15日14時26分，集中爆發於14日18時左右。15日14時26分至17時期間，並未監測到下載情況。目前，該下載端URL連結已失效。

同時，CNCERT對木馬程式控制端IP進行分析發現，“驅動人生”木馬程式控制端地址為6個，控制端IP地址均位於境外。截至12月15日17時，累計發現境內共有2.1萬餘臺被控主機上線並連線控制端。

三、處置防範建議

（一）驅動人生老版本使用者應手動更新升級版本。

（二）安裝並及時更新防毒安全軟體。

（三）做好相關重要資料備份工作。

（四）關閉445等埠(其他關聯埠如: 135、137、139)的外部網路訪問許可權，在伺服器上關閉不必要的上述服務埠。

（五）伺服器使用高強度密碼，切勿使用弱口令，防止黑客暴力破解。

（六）可安裝騰訊電腦管家或360安全衛士等安全軟體進行此類木馬程式的查殺。

宣告：本文來自國家網際網路應急中心CNCERT，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。