近期，知名虚拟光驱工具Daemon Tools的官方分发链遭到污染。攻击者通过攻破 Daemon Tools 官方分发渠道，在合法的软件安装包中植入恶意后门代码，导致全球大量下载该工具的用户面临系统被完全控制的风险。

一、事件介绍

攻击者成功渗透了Daemon Tools开发商 AVB Disc Soft 的软件发布基础设施，将恶意载荷注入从官网分发的安装程序，并以有效的开发者数字签名完成签署，使安全工具难以识别。攻击自2026年4月8日开始，目前涉及版本12.5.0.2421 至 12.5.0.2434，感染尝试波及全球逾 100 个国家和地区。

二、受影响场景

主要影响在Windows环境下使用Daemon Tools进行 ISO镜像管理、游戏挂载或系统镜像制作的个人及企业用户。

高危场景：开启了自动更新功能的用户，或在近期从官网下载并执行了安装程序的开发者与运维人员。

特征：恶意代码在安装过程中静默运行，用户界面无任何异常提示，极具欺骗性。

三、处置建议

1.重点监控DTHelper.exe、DiscSoftBusServiceLite.exe的异常网络连接。

2.检测向上述C2 IP/域名的出站HTTP GET请求。

3.监控notepad.exe和conhost.exe的异常进程注入行为。

4.检测系统中是否存在cdg.exe进程。

5.停止使用受影响版本的Daemon Tools，并使用安全工具扫描残留。

6.考虑到后门具备截获密码的能力，建议用户在清理系统后重置所有重要账号的密码。

7.检查并删除%TEMP%及%APPDATA%目录下可疑的随机名 DLL文件。

8.仅安装官方确认安全的最新修复版本，并核对文件哈希值（Hash）。

一审：王丽春

二审：陈琴

三审：卢珊珊