驱动人生推送病毒，仅2小时感染十万电脑

昨天下午火绒安全和腾讯安全监测到某个未知病毒突然爆发，此病毒仅仅在两小时内即感染高达十万台电脑。

能以如此迅速的速度进行感染和传播主要有两点： 驱动人生装机量非常大、利用永恒之蓝漏洞内网批量感染 。

火绒安全团队在分析后 发现驱动人生利用升级模块安装病毒，随后蠕虫病毒开始通过内外网大规模感染电脑。

腾讯安全团队在分析后 发现此病毒感染后会加载云端控制模块，攻击者可以下发命令加载其他病毒进行攻击。

驱动人生/人生日历/USB宝盒主动加载推送病毒：

火绒安全团队监测到异常后便迅速开始分析和拦截，分析发现驱动人生的升级推送功能主动下载病毒并执行。

病毒被下载到本地执行后会继续释放病毒模块，新病毒模块利用 永恒之蓝 漏洞对局域网内所有电脑展开攻击。

同时病毒还会随机向外网的IP段进行检测和分析，如果那些IP段的电脑没有修复永恒之蓝漏洞那么也被感染。

每台被感染的电脑都成为节点继续向外展开攻击，腾讯安全监测数据显示仅两小时内就有十万台电脑被感染。

除驱动人生外该公司旗下产品包括人生日历和USB宝盒等行为相同，均通过主动升级模块远程加载蠕虫病毒。

疑似黑产团伙进行小规模测试：

黑产团伙的远程服务器在开放十小时左右就被关闭，但在这十小时内被感染的电脑总数应该远远超过十万台。

昨日晚间黑产团伙将远程服务器主动关闭蠕虫病毒传播得以终止，在此期间黑产团伙没有下发任何攻击命令。

虽然感染超过十万台电脑但黑产团伙并没有进行获利，蠕虫病毒除疯狂传播外也只收集电脑信息无其他行为。

从上述行为来看黑产团伙有可能只是在进行小范围的测试，但应该没有想到能够在极短时间内感染大量电脑。

主动关闭服务器还有可能是传播范围太大可能超出黑产团伙的预想，黑产团伙担心事情闹大因此主动关闭的(简单来说就是怕了，这也是有可能的)。

驱动人生官方回应表示旧版组件漏洞被利用：

火绒安全团队和腾讯安全团队已经在夜里发布分析报告并向用户预警，现在驱动人生官方也在微博发布声明。

驱动人生官方微博凌晨两点发布声明称：驱动人生系列的部分产品没有更新的老版本升级组件存在安全漏洞。

请各位使用老版本用户手动更新升级版本，新版驱动人生产品已启用全新升级组件，用户可以放心继续使用。

给部分用户带来不好的影响深感抱歉，建议使用安全软件保驾护航，对于恶意行为我司将报警追究法律责任。

发布个声明无关痛痒：

出这么大的安全事件驱动人生除在微博上发布该简短声明外，官方网站到现在为止都没有发布公告提醒用户。

当前黑产团伙已经主动关闭远程服务器限制蠕虫继续传播， 但黑产团伙也可随时再开启服务器继续展开攻击。

指望发个微博就浑水摸鱼怕是怎么也说不过去，毕竟有十万余台电脑被感染当务之急应该提醒用户及时清理。

回复里驱动人生表示要和用户解释清楚，估计想表达的就是反正是漏洞被黑客利用的又不是我干的关我啥事。

网站不发公告只想怎么降低声誉影响，如此不负责任的态度实在不该，建议用户立即卸载驱动人生系列软件。

被感染的企业你们可长点心吧：

事实上这次被感染的电脑绝大多数都是企业内网电脑，因为只有内网电脑才能被永恒之蓝蠕虫大规模的感染。

个人和家庭电脑运营商已经屏蔽相关端口因此不太方便利用永恒之蓝，但企业内网对蠕虫来说可是畅通无阻。

微软也早已发布补丁修复永恒之蓝漏洞，奈何至今仍然有大量电脑尤其是部分企业内网的电脑还没有打补丁。

WannaCry 勒索病毒就是永恒之蓝传播的 ， 台积电也因为没有修复永恒之蓝漏洞被感染导致损失17亿之多 。