一、 事件背景

国家互联网应急中心发出警报：12月14日，知名软件商“驱动人生”旗下多款产品带毒。互联网上已经出现了利用“驱动人生”升级通道，并同时利用永恒系列高危漏洞传播的木马突发事件，存在一定网络安全风险隐患。次日，腾讯称感染数量为2小时感染10万台，。该病毒会通过云控下发恶意代码，包括收集用户信息、挖矿等，同时利用“永恒之蓝”高危漏洞进行扩散。

驱动人生官方在卡饭安全论坛（业内知名论坛）回复称：“公司管理出现严重漏洞，导致之前的一台服务器无人管理，被人拿来恶意利用，下发木马，公司高层并不知情”，并承诺公司会承担责任。

二、 木马分析

综合CNCERT和国内网络安全企业（腾讯公司、360公司）已获知的样本情况和分析结果，驱动人生旗下的“人生日历”等软件，通过其升级组件dtlupg.exe，开始下发执行木马程序F79CB9D2893B254CC75DFB7F3E454A69.exe。该木马程序具备远程执行代码功能，启动后会将用户计算机的详细信息发往木马服务器控制端，并接收远程指令执行下一步操作。此外，该木马还携带有永恒之蓝漏洞攻击组件，可利用该漏洞攻击局域网与互联网其他机器，进行传播扩散。

据深圳市驱动人生科技股份有限公司于12月15日发布的声明所述，该公司部分老版本升级组件代码漏洞被恶意攻击，导致了此次木马传播事件的发生。

感染情况

CNCERT持续对“驱动人生”木马程序进行监测，截至12月15日17时，累计发现境内下载该木马程序的主机为9.9万余台，其中广东、江苏、北京等省受影响主机数量较多。木马程序所在的下载端IP有3个，均位于境外。境内主机下载该木马程序的时间段为14日14时16分至15日14时26分，集中爆发于14日18时左右。15日14时26分至17时期间，并未监测到下载情况。目前，该下载端URL链接已失效。

同时，CNCERT对木马程序控制端IP进行分析发现，“驱动人生”木马程序控制端地址为6个，控制端IP地址均位于境外。截至12月15日17时，累计发现境内共有2.1万余台被控主机上线并连接控制端。

三、 处置防范建议

1. 通过采购安全服务加强企业自身的安全防范能力

2. 加强企业内部安全管理，定期开展安全意思培训，提高内部人员的安全意识，不要将公司机密或敏感信息储存本地系统或云服务中

3. 积极开展内部和外部的风险评估工作，落实整改计划

4. 加强外部访问管理，关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口，阻止非授权的外部访问。

5. 安装并及时更新杀毒安全软件，手动更新驱动人生升级版本

6. 做好相关重要数据备份工作，

7. 加强公司内部安全管理，设置服务器管理岗位。

8. 服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解。