#安全资讯 老牌虚拟光驱软件 DAEMON Tools 自 4 月 8 日起就遭到感染，官网提供的带有数字签名的版本均携带后门。如果你曾在 4 月 8 日起安装或更新该软件，最好安装卡巴斯基免费版进行扫描，另外切勿从第三方下载站或破解站获取该软件，这些网站发布的版本有滞后性，可能还是带毒版本。查看详情：https://ourl.co/112871

卡巴斯基实验室日前发布安全报告揭露老牌虚拟光驱软件 DAEMON Tools 出现的重大安全问题，该软件官方网站早在 2026 年 4 月 8 日就已经被黑客劫持，随后黑客通过官网向全球 100 多个国家或地区的用户投放携带后门的版本，并且这些后门版本还具有开发商 AVB 的数字签名，这说明该公司内部基础设施可能也遭到攻击。

从四月初开始卡巴斯基通过遥测数据观察到数千起涉及 DAEMON Tools 的感染尝试，不过在被感染的这些设备里，仅有少量设备被部署后续阶段的有效载荷，而接收后续载荷的机器属于零售、科研、政府和制造行业，这表明此次供应链攻击具有针对性。

发布新版本清除后门程序：

在接到卡巴斯基分享的安全情报后，开发商 AVB Disc Soft 公司立即进行分析并确认感染属实，被感染的版本包括 12.5.0.2421~12.5.0.2434 等版本，随后 AVB 公司发布 12.6.0.2445 版进行替换，该版本已经清除后门程序可以放心升级使用。

至于数字签名问题目前没有详细的说明，卡巴斯基既然发现带毒版本也携带合法的数字签名，那说明 AVB 的代码签名证书也已经泄露，比较直接的解决方案就是直接吊销旧证书，这样包括 Microsoft Defender 在内的反病毒软件也可以检测到异常并进行拦截。

不过蓝点网下载新版本进行验证发现代码签名仍然是 2024 年的版本，说明证书还未进行替换，不知道 AVB 后续是否有计划继续发布新版本更换新证书，然后再将旧版代码签名证书彻底吊销。

如何排查是否已经感染：

比较简单的办法就是直接安装卡巴斯基免费版，卡巴斯基已经更新拦截机制可以检测网络流量中出现的恶意活动，因此受感染的版本尝试连接到 C2 服务器时就会被检测到，用户可以安装卡巴斯基免费版后启动 DAEMON Tools 观察是否有异常警告。

如果已经确认被感染，建议使用安全软件进行查杀，必要时甚至可以备份数据后直接重装系统以提升安全性，而对于企业或政府机构来说，如果检测到异常则也应该检查内网其他设备是否有异常流量，因为黑客可能利用被感染设备作为跳板感染更多设备。

C2 服务器域名：daemontools[.]cc

IP 地址：38.180.107.76