DAEMON Tools 是一款有20多年历史的著名虚拟光盘工具，它可以把镜像文件虚拟成一张真实的光盘，广泛应用在上世纪的 Windows 电脑中。是的，它还活着。

感谢肯尼同学的提醒。

卡巴斯基近日披露：我们的专家发现了通过 DAEMON Tools 进行的大规模供应链攻击。攻击者设法将恶意代码注入软件安装程序中，并且使用了 DAEMON Tools 开发商 AVB Disc Soft 的有效数字签名进行签名。

该程序的恶意版本自 2026 年 4 月 8 日以来一直在传播。截至撰写本文时，攻击仍在进行中。卡巴斯基研究人员认为这是一次有针对性的攻击。

官网下载也不再安全。

这件事情，让青小蛙有点动摇。

因为此前，青小蛙始终觉得就算不信任任何第三方来源，那么作为官网，这个第一方，总可以信任吧。

但现在，似乎变成了：从官网下载也不再安全。

未来，该怎么办呢？

范围有点广

虽然早已不在使用 DAEMON Tools，但他们的用户还是蛮多的。

这次攻击持续了1个月（还在继续），被感染的设备分布在大约一百个不同的国家和地区。大多数受害者位于俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国。

但是，攻击者精挑细选了被感染的设备，真正被植入后门的，只有十几台机器，而且集中在：

• 零售企业
• 政府
• 科研
• 制造业

恶意代码会做什么？

在 DAEMON Tools 版本 12.5.0.2421 至 12.5.0.2434 中检测到恶意代码。攻击者破坏了 DTHelper.exe、DiscSoftBusServiceLite.exe 和 DTShellHlp.exe 文件，这些文件安装在主 DAEMON Tools 目录中。

它会收集以下信息，并回传给攻击者：

• 系统语言
• 电脑名
• MAC 地址
• DNS 域
• 已安装软件
• 正在运行的进程

然后筛选目标用户。

卡巴斯基特别提到：大多数感染，只停留在信息收集阶段，只有少量机器，会被下发后门程序。

后门程序可以将恶意代码注入 notepad.exe（记事本）和 conhost.exe（控制台宿主进程）进程中，进行伪装。

目前没有证据表明：已经大规模开始盗号、勒索或清空数据。

你还在用 DAEMON Tools？

如果你还在使用 DAEMON Tools，快来评论告诉我现在的 DAEMON Tools 还有什么用？

---

原文：https://www.appinn.com/daemon-tools-supply-chain-attack/