详情

12月15日，火绒安全团队发布安全提示，称发现“驱动人生”旗下多款软件携带后门病毒DTStealer，仅半天时间就已感染了数万台电脑。

据介绍，该病毒进入电脑后，通过“永恒之蓝”高危漏洞进行全网传播，并回传被感染电脑的IP地址、CPU型号等信息。目前截获的病毒没有携带其他攻击模块，只是“潜伏”。病毒服务器只开放了不到10个小时即关闭，但是已经感染数万台电脑。

据火绒安全团队分析， “驱动人生”、“人生日历”、“USB宝盒”等软件的用户会感染该病毒。病毒会同时执行两个任务:一是通过“永恒之蓝”漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧，存在大量未修复的漏洞，因此受到的威胁较大；二是下载其它病毒模块，回传被感染电脑的IP地址、CPU型号等信息。

根据“火绒威胁情报系统”监测，该病毒于14日下午14点前后开始传播，之后逐步加大传播速度，被感染电脑数量迅速上升，到晚间病毒服务器关闭，停止传播。火绒工程师推测，病毒团伙可能是在做传播测试，不排除后续进行更大规模的传播。

火绒团队表示，火绒"企业版"和"个人版"可有效防御所有通过“永恒之蓝”等高危漏洞传播的各种病毒，无需升级即可拦截、查杀该病毒。

以下为火绒安全团队提供的病毒分析:

样本分析

火绒通过火绒终端威胁情报系统检测，自12月14日午时起有病毒正在通过驱动人生的升级推送功能进行大量传播。驱动人生升级推送程序会通过网址链接（hxxp://.com/calendar/PullExecute/）将病毒样本下载到本地进行执行。驱动人生升级程序下载病毒样本动作，如下图所示:

下载病毒样本

该病毒被下载到本地运行后，会将自身释放到System32（或SysWOW64）目录下（C:），将该可执行文件注册为系统服务继续执行恶意代码，注册服务名为Ddriver。病毒运行进程关系图，如下图所示:

病毒运行进程关系图

该服务运行后，首先会在System32（或SysWOW64）释放进行执行，该程序我们暂且称之为代理病毒；之后再创建，该病毒用于通过永恒之蓝漏洞将在网络中进行传播，下文分两个部分对两个不同的病毒模块进行分析。