#安全资讯 CPU-Z 被黑后续调查：卡巴斯基的数据显示应该有不少用户感染木马。由于黑客偷懒复用此前已经被安全公司记录的 C2 域名，这导致感染初期卡巴斯基等软件就可以拦截，卡巴斯基记录到超过 150 次攻击，考虑到卡巴的安装量，实际感染数量可能过万。查看详情：https://ourl.co/112627

上周知名硬件开发商 CPUID 网站遭到黑客攻击，黑客替换 CPU-Z 和 HWMonitor 等多款硬件监控软件的下载链接，当用户运行黑客投放的恶意版本时就会感染远程访问木马。

平心而论，CPU-Z 等软件虽然非常知名，但 CPUID 团队并非大公司所以也没有能力进行详细安全调查，所以详细情况还是得看其他安全公司发布的报告，比如卡巴斯基。

被感染的用户应该并不少：

CPU-Z 和 HWMonitor 这种硬件检测或监控软件的使用群体通常都是专业用户，主动安装此类软件的用户数量应该不是非常多，但即便如此卡巴斯基也检测到至少 150 次攻击。

考虑到卡巴斯基系列安全软件目前在全球的使用率，我们保守猜测实际被感染的用户应该也有数万名，大部分感染事件都发生在巴西、俄罗斯和中国。

此次攻击发生时间在 2026 年 4 月 9 日 15:00 UTC~4 月 10 日 10:00 UTC (国内时间：2026 年 4 月 9 日 23:00 到 2026 年 4 月 10 日 18:00，共 19 小时，并非此前 CPUID 预估的 6 小时)。

如果你在以上时间段内通过 CPUID 网站下载过 CPU-Z 等软件，建议立即备份数据重装系统，最好将各种密钥全部轮换，以及使用卡巴斯基等软件对备份文件执行全盘扫描。

黑客偷懒导致感染数量下降：

值得注意的是这次攻击溯源非常简单，因为黑客复用此前投放 FileZilla 恶意版本的域名，因此很容易将其归因到 STX RAT 相关的黑客团体。

STX RAT 是个具备 HVNC (高级虚拟网络控制) 和强大信息窃取功能的远程访问木马，具备远程控制、后续有效载荷执行和后渗透操作等功能，例如在内存中执行 EXE/DLL/PowerShell/shellcode 等，还可以建立反向代理和进行桌面交互等。

问题就在于黑客偷懒没有注册新域名，在 FileZilla 投毒事件中 (该软件本身没有被黑，只是黑客通过互联网投放带毒版本) 相关 C2 域名已经被安全公司记录。

因此诸如卡巴斯基等安全软件都可以直接识别到恶意域名并进行拦截，理论上安装卡巴斯基等杀毒软件的用户应该在恶意版本时就被拦截，而没有安装安全软件的用户可能会中招。

卡巴斯基表示：此次攻击背后的黑客的整体恶意软件开发、部署和运维能力都相当低下，这让我们能够在攻击初期就检测并进行拦截。

via Securelist