【安全圈】eScan證實更新服務器遭入侵，黑客借其推送惡意更新

關鍵詞

黑客

eScan 殺毒軟件開發商微世界科技（MicroWorld Technologies）已正式證實，其旗下一臺更新服務器本月初遭黑客入侵，黑客利用該服務器向一小部分用戶推送了未經授權的更新程序，后續分析證實該程序為惡意文件。

2026 年 1 月 20 日，在長達兩小時的時間窗口內，從該區域更新服務器集群下載更新的用戶均收到了這一惡意文件。

eScan 方面表示，涉事的服務器基礎設施已完成隔離與重建，相關身份認證憑證也已完成更換，同時已為受影響用戶提供了對應的安全修復方案。

安全廠商Morphisec也單獨發布了一份技術報告，分析了在客戶終端監測到的惡意活動，該機構確認這些活動與同一時間段內從 eScan 更新服務器推送的更新程序直接相關。

Morphisec 稱其于 2026 年 1 月 20 日檢測到相關惡意活動，隨后聯系了 eScan。但微世界科技向科技媒體 BleepingComputer 表示，該公司對 Morphisec 宣稱自身為首個發現并上報該事件的說法存在異議。

eScan 方面給出的說法是，公司已于 1 月 20 日通過系統監控和用戶反饋內部發現了該問題，并在數小時內完成了涉事基礎設施的隔離，且于 1 月 21 日發布了安全預警公告。eScan 還指出，Morphisec 是在公開發布該事件相關聲明后，才聯系了公司。

對于 “受影響用戶對該事件毫不知情” 的說法，eScan 同樣予以否認，稱其在安全修復方案敲定期間，已主動向受影響用戶發送通知并進行了一對一溝通。

更新服務器遭非法入侵

eScan 在其安全預警公告中將該事件定性為更新基礎設施訪問入侵事件，表示黑客通過非法訪問某區域更新服務器的配置信息，在更新分發路徑中植入了未經授權的文件。

微世界科技向 BleepingComputer 提供的公告中寫道：“黑客非法訪問了我們某臺區域更新服務器的配置，導致一個異常文件（補丁配置二進制文件 / 惡意損壞更新包）被植入更新分發路徑。”

“2026 年 1 月 20 日的特定時間段內，從該受影響服務器集群下載更新的用戶，均接收到了該文件。”

該公司強調，此次事件并非因 eScan 殺毒軟件自身存在漏洞所致。

eScan 還明確，僅有從該特定區域服務器集群完成軟件更新的用戶受到影響，其余所有用戶均未波及。

不過 eScan 表示，安裝了該惡意更新程序的用戶，其設備可能出現以下異常現象：

• 更新服務故障提示

• 系統 hosts 文件被篡改，導致無法連接 eScan 更新服務器

• eScan 更新配置文件被修改

• 無法接收新的病毒庫安全定義更新

• 客戶端設備彈出更新服務不可用的提示窗口

BleepingComputer 已向 eScan 進一步求證其服務器最初遭入侵的具體時間，若收到回復將第一時間更新相關報道。

惡意更新被用于投放惡意軟件

Morphisec 在其安全公告中指出，此次黑客推送的惡意更新程序，植入了經篡改的 eScan 更新組件Reload.exe。

該公告中寫道：“黑客通過 eScan 合法的更新基礎設施分發惡意更新程序，導致全球范圍內的企業和個人終端設備均被植入了多階段惡意軟件。”

盡管這一經篡改的 Reload.exe 文件，表面上帶有看似屬于 eScan 的代碼簽名證書，但 Windows 系統和病毒檢測平臺 VirusTotal 均判定該簽名無效。

Morphisec 表示，這款惡意 Reload.exe 文件（可在 VirusTotal 查詢）被黑客用于實現惡意程序持久化駐留、執行惡意命令、篡改 Windows HOSTS 文件以阻止設備進行遠程更新，同時連接黑客的命令與控制（C2）服務器，下載更多惡意載荷。

研究人員公布了監測到的以下黑客命令與控制服務器地址：

hxxps [://] vhs [.] delrosal [.] net/i

hxxps [://] tumama [.] hns [.] to

hxxps [://] blackice [.] sol-domain [.] org

hxxps[://]codegiant [.] io/dd/dd/dd [.] git/download/main/middleware [.] ts

504e1a42.host.njalla [.] net

185.241.208 [.] 115

研究人員發現，黑客最終向受感染設備投放的惡意載荷為一個名為CONSCTLX.exe的文件（可在 VirusTotal 查詢），Morphisec 確認該文件是一款后門程序，同時具備持久化下載惡意文件的功能。該機構還表示，這些惡意文件會創建計劃任務以實現持久化駐留，任務名稱偽裝為CorelDefrag等正常名稱。

目前 eScan 已推出一款修復性更新程序，用戶運行后可自動完成以下操作：

1. 自動識別并修正被篡改的系統配置

2. 恢復 eScan 更新服務的正常功能

3. 驗證系統是否成功恢復

4. 操作完成后需重啟系統（常規重啟即可）

eScan 與 Morphisec 均建議用戶，為提升設備安全性，屏蔽上述所有黑客命令與控制服務器地址。

值得注意的是，2024 年曾有相關監測顯示，朝鮮黑客組織曾利用 eScan 殺毒軟件的更新機制，在企業網絡中植入后門程序。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！