關(guān)于驅(qū)動(dòng)人生升級(jí)模塊被利用的情況說明 |
因12月14日我公司旗下部分產(chǎn)品的早期版本中的升級(jí)模塊,被不法分子利用“永恒之藍(lán)”漏洞傳播木馬一事,數(shù)萬驅(qū)動(dòng)人生用戶受到影響,為此我們深感自責(zé),并會(huì)進(jìn)行深刻的反省。 在獲知此事件的第一時(shí)間,我司當(dāng)即聯(lián)系安全軟件公司了解情況,并立即開始自查工作。初步認(rèn)定是我們部分產(chǎn)品的早期版本升級(jí)模塊漏洞被不法分子利用所導(dǎo)致,未升級(jí)的早期版本客戶端數(shù)占用戶量的百分之五左右。 15日,我司隨即跟各安全軟件公司溝通,并協(xié)助各安全軟件公司進(jìn)行事故根源追查,并安排技術(shù)人員排查核心服務(wù)器,同時(shí)立即向所在轄區(qū)的高新派出所報(bào)案,取得報(bào)案回執(zhí);隨后向深圳網(wǎng)警和深圳互聯(lián)網(wǎng)應(yīng)急中心尋求協(xié)助。15日晚,在深圳網(wǎng)警同志的徹夜努力排查之下,初步定位此次事件的原因是驅(qū)動(dòng)人生早期版本更新服務(wù)器(IP: 103.56.xx.xx)被不法分子非法侵入,篡改了升級(jí)域名,使早期版本用戶下載安裝了不法分子的含有木馬更新文件。 雖然我們目前認(rèn)為只有一臺(tái)服務(wù)器被侵入,但為了充分保障用戶安全,減少對用戶可能造成的損失,我司經(jīng)過討論后決定:暫時(shí)關(guān)閉旗下所有服務(wù)器。 隨后我司將對所有服務(wù)器進(jìn)行徹底排查,每排查完畢一臺(tái),上線一臺(tái),在此期間,會(huì)導(dǎo)致用戶無法正常使用驅(qū)動(dòng)人生系列產(chǎn)品中需要聯(lián)網(wǎng)的功能,其中包括了驅(qū)動(dòng)查詢、驅(qū)動(dòng)下載等核心服務(wù)。由此對用戶造成的不便和損失,我們深表歉意! 但我們相信,給用戶一個(gè)更加安全的驅(qū)動(dòng)下載和安裝環(huán)境,是我們應(yīng)負(fù)的責(zé)任。 最后感謝各安全軟件在最后一道防線上有效的保護(hù)用戶的電腦,避免了用戶的損失,感謝深圳網(wǎng)警和深圳市網(wǎng)安計(jì)算機(jī)安全檢測有限公司的有力幫助,在以后的工作中,我們會(huì)把網(wǎng)絡(luò)安全放在首要地位,加強(qiáng)公司員工的安全意識(shí),給用戶一個(gè)安全,便捷的使用環(huán)境。 特此公告 深圳市驅(qū)動(dòng)人生科技股份有限公司 |
12月15日,驅(qū)動(dòng)人生在官方微博發(fā)布聲明稱,14日驅(qū)動(dòng)人生產(chǎn)品部分老版本升級(jí)組件代碼漏洞被惡意攻擊。事件發(fā)生正值公司團(tuán)建期間,所有相關(guān)技術(shù)人員都在旅途中。老版本用戶需手動(dòng)更新升級(jí)版本,新版驅(qū)動(dòng)人生產(chǎn)品已啟用全新升級(jí)組件,可放心使用。據(jù)悉,驅(qū)動(dòng)人生是一款免費(fèi)的驅(qū)動(dòng)管理軟件,可實(shí)現(xiàn)智能檢測硬件并自動(dòng)查找安裝驅(qū)動(dòng),為用戶提供最新驅(qū)動(dòng)更新、本機(jī)驅(qū)動(dòng)備份、還原和卸載等功能。驅(qū)動(dòng)人生在聲明中稱,已第一時(shí)間請求火絨安全、360、騰訊電腦管家、金山等安全廠商進(jìn)行協(xié)助查殺攔截處理。相關(guān)材料轉(zhuǎn)交國家警務(wù)機(jī)關(guān),并與安全軟件廠商通力配合,堅(jiān)決查清幕后黑手。火絨安全團(tuán)隊(duì)發(fā)現(xiàn)驅(qū)動(dòng)人生旗下多款軟件攜帶后門病毒DTStealer,僅半天時(shí)間感染了數(shù)萬臺(tái)電腦。該病毒進(jìn)入電腦后,繼續(xù)通過“永恒之藍(lán)”高危漏洞進(jìn)行全網(wǎng)傳播(特別是政企單位局域網(wǎng)),并回傳被感染電腦的IP地址、CPU型號(hào)等信息。目前截獲的病毒沒有攜帶其他攻擊模塊,只是“潛伏”。病毒服務(wù)器只開放了不到10個(gè)小時(shí)即關(guān)閉,但是已經(jīng)感染數(shù)萬臺(tái)電腦。根據(jù)火絨安全團(tuán)隊(duì)分析發(fā)現(xiàn),“驅(qū)動(dòng)人生”、“人生日歷”、“USB寶盒”等軟件的用戶會(huì)感染該病毒。病毒會(huì)同時(shí)執(zhí)行兩個(gè)任務(wù):1、通過“永恒之藍(lán)”漏洞進(jìn)行大面積傳播。由于政府、企業(yè)等局域網(wǎng)用戶使用的系統(tǒng)較為老舊,存在大量未修復(fù)的漏洞,因此受到的威脅較大;2、下載其他病毒模塊,回傳被感染電腦的IP地址、CPU型號(hào)等信息。根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測,該病毒于14日下午14點(diǎn)前后開始傳播,之后逐步加大傳播速度,被感染電腦數(shù)量迅速上升,到晚間病毒服務(wù)器關(guān)閉,停止傳播;鸾q工程師推測,病毒團(tuán)伙可能是在做傳播測試,不排除后續(xù)進(jìn)行更大規(guī)模的傳播。