根據火絨安全團隊分析發現， 「驅動人生」、「人生日曆」、「USB寶盒」等軟體的用戶會感染該病毒。

病毒會同時執行兩個任務：

1、通過「永恆之藍」漏洞進行大面積傳播。由於政府、企業等區域網用戶使用的系統較為老舊，存在大量未修復的漏洞，因此受到的威脅較大；

2、下載其它病毒模塊，回傳被感染電腦的IP地址、CPU型號等信息。

根據「火絨威脅情報系統」監測，該病毒於14日下午14點前後開始傳播，之後逐步加大傳播速度，被感染電腦數量迅速上升，到晚間病毒伺服器關閉，停止傳播。火絨工程師推測，病毒團伙可能是在做傳播測試，不排除後續進行更大規模的傳播。

火絨"企業版"和"個人版"無需升級即可攔截、查殺該病毒。火絨團隊建議政府、企業、學校、醫院等受此類病毒威脅較大的區域網用戶，安裝使用"火絨企業版"（可免費使用3個月），可有效防禦所有通過「永恆之藍」等高危漏洞傳播的各種病毒。

請廣大政企單位用戶從火絨官網申請免費使用"火絨企業版"，網址：https://www.huorong.cn/essmgr/essreg。

二、樣本分析

火絨通過火絨終端威脅情報系統檢測，自12月14日午時起有病毒正在通過驅動人生的升級推送功能進行大量傳播。驅動人生升級推送程序會通過網址鏈接（hxxp://http://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe）將病毒樣本下載到本地進行執行。驅動人生升級程序下載病毒樣本動作，如下圖所示：

下載病毒樣本

該病毒被下載到本地運行後，會將自身釋放到System32（或SysWOW64）目錄下（C:WindowsSysWOW64svhost.exe），將該可執行文件註冊為系統服務繼續執行惡意代碼，註冊服務名為Ddriver。病毒運行進程關係圖，如下圖所示：

病毒運行進程關係圖

該服務運行後，首先會在System32（或SysWOW64）釋放svhhost.exe進行執行，該程序我們暫且稱之為代理病毒；之後再創建svvhost.exe，該病毒用於通過永恆之藍漏洞將svhost.exe在網路中進行傳播，下文分兩個部分對兩個不同的病毒模塊進行分析。

永恆之藍漏洞攻擊

svvhost.exe運行後會對當前所在網路掃描，使用永恆之藍漏洞進行攻擊。攻擊成功後，惡意代碼會通過CertUtil從C&C伺服器下載病毒到被攻擊終端進行執行。漏洞攻擊及火絨黑客入侵攔截截圖，下圖所示：

漏洞攻擊及火絨黑客入侵攔截截圖

被惡意代碼執行的CertUtil下載命令行參數，如下圖所示：

CertUtil下載相關命令行參數

惡意代碼下載到被攻擊終端的病毒文件與svhost相同，下載後文件路徑為c:install.exe，C&C伺服器地址為：hxxp://http://dl.haqo.net。

svhost.exe與代理進程

父進程svhost.exe首先會收集本機信息，之後通過HTTP請求將在本機收集到的數據回傳至C&C伺服器地址（hxxp://http://i.haqo.net/i.png）。被回傳的數據信息，如下圖所示：

收集系統信息

請求鏈接示例，如下圖所示：

請求鏈接示例

獲取本機信息數據，如下圖所示：

獲取系統信息

獲取安全軟體運行狀態

拼接請求參數

之後svhost.exe會從C&C伺服器獲取到加密的惡意代碼下載鏈接，被下載的惡意代碼執行方式分為兩種：在代理進程內存中載入執行和直接下載到本地（svvhost.exe）運行。暫時，被下載執行的惡意代碼只有svvhost.exe用來進行永恆之藍傳播（C&C伺服器地址：hxxp://http://dl.haqo.net/eb.exez），內存載入執行相關的功能鏈接暫時沒有被下發，我們初步推測病毒尚處於測試階段。相關代碼，如下圖所示：

解密控制命令

根據控制命令執行遠程惡意代碼

通過FileMapping發送惡意代碼

代理進程獲取到惡意代碼數據後進行執行，如下圖所示：

代理進程執行惡意代碼

根據火絨終端威脅情報系統，我們發現下發執行病毒文件的升級程序路徑多指向驅動人生旗下應用。相關升級程序路徑信息，如下圖所示：

相關升級程序路徑信息

通過同源代碼比對，我們發現推送病毒執行的升級模塊，與人生日曆升級模塊代碼存在同源性。同源代碼，如下圖所示：

同源代碼

推送病毒執行的升級模塊與人生日曆升級模塊導出函數，如下圖所示：

導出函數對比

三、附錄

樣本SHA256：

推薦閱讀：