文章总结： eScan防病毒产品制造商MicroWorldTechnologies确认其区域更新服务器于2026年1月20日遭入侵，导致两小时内向部分客户分发了恶意更新。该更新被分析为多阶段恶意软件，通过篡改合法更新组件Reload.exe实现持久化后门部署，导致系统hosts文件修改、更新服务连接阻断及安全定义接收失败。eScan强调事件源于服务器配置的未授权访问，与产品漏洞无关，仅影响特定区域集群用户。公司已隔离受影响基础设施、轮换凭证，并发布修复更新程序以恢复系统功能。建议客户封锁相关恶意域名。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞预警,应急响应,威胁情报

eScan 确认更新服务器遭到入侵，并向客户推送恶意更新

Rhinoer Rhinoer

犀牛安全

2026年2月24日 00:01 北京

eScan 防病毒产品制造商 MicroWorld Technologies 已证实，其中一个更新服务器遭到入侵，并被用于在本月初向一小部分客户分发未经授权的更新，该更新后来被分析为恶意更新。

该文件已于 2026 年 1 月 20 日的两个小时窗口期内交付给从区域更新集群下载更新的客户。

eScan 表示，受影响的基础设施已被隔离和重建，身份验证凭证已轮换，并且已向受影响的客户提供补救措施。

安全公司 Morphisec 单独发布了一份技术报告，分析了在客户终端上观察到的恶意活动，并将这些活动与 eScan 的更新基础设施在同一时间段内提供的更新联系起来。

Morphisec声称于2026年1月20日检测到恶意活动，随后联系了eScan。MicroWorld Technologies告诉BleepingComputer，该公司对Morphisec声称其是第一个发现或报告该事件的公司的说法提出异议。

据 eScan 称，该公司于 1 月 20 日通过监控和客户报告在内部发现了该问题，并在数小时内隔离了受影响的基础设施，并于 1 月 21 日发布了安全公告。eScan 表示，Morphisec 在公开披露该事件后联系了该公司。

eScan 还反驳了受影响客户对该问题毫不知情的说法，并表示在补救措施最终确定期间，公司已主动通知并直接联系了受影响的客户。

基础设施遭到破坏

eScan 在其公告中将该事件归类为更新基础架构访问事件，并指出未经授权访问区域更新服务器配置允许将未经授权的文件放置在更新分发路径中。

未经授权访问我们的一个区域更新服务器配置导致一个错误的文件（补丁配置二进制文件/损坏的更新）被放置在更新分发路径中，”

该文件于 2026 年 1 月 20 日在限定时间内分发给从受影响的服务器集群下载更新的客户。

该公司强调，该事件与 eScan 产品本身的漏洞无关。

eScan强调，只有那些从特定区域集群更新软件的用户才会受到影响，而其他所有客户均不受影响。

然而，eScan表示，安装了恶意更新的用户可能会在他们的系统上看到这种现象：

• 更新服务故障通知
• 修改后的系统 hosts 文件阻止了与 eScan 更新服务器的连接
• eScan 更新配置文件修改
• 无法接收新的安全定义更新
• 客户端计算机上的更新不可用弹出窗口

Morphisec 的安全公告称，恶意更新推送了一个修改版的 eScan 更新组件“Reload.exe。

Morphisec 的公告称：恶意更新通过 eScan 的合法更新基础设施进行分发，导致多阶段恶意软件被部署到全球企业和消费者终端。

虽然修改后的 Reload.exe 似乎使用了 eScan 的代码签名证书进行签名，但 Windows 和 VirusTotal 都显示该签名无效。

据 Morphisec 称，Reload.exe 文件 [ VirusTotal ] 用于启用持久性、执行命令、修改 Windows HOSTS 文件以阻止远程更新，以及连接到 C2 基础架构以下载更多有效载荷。

研究人员表示，他们观察到了以下指挥控制服务器：

最后部署的有效载荷是一个名为 CONSCTLX.exe 的文件 [ VirusTotal ]，Morphisec 将其用作后门和持久下载器。Morphisec 表示，这些恶意文件创建了诸如“CorelDefrag”之类的计划任务以实现持久化。

eScan 创建了一个修复更新程序，客户可以运行该程序来执行以下操作：

• 自动识别并纠正错误修改
• 重新启用 eScan 的正常更新功能
• 验证恢复成功
• 需要重启系统

eScan 和 Morphisec 都建议客户屏蔽上述命令和控制服务器，以提高安全性。

2024 年，有报道称朝鲜黑客 利用 eScan 防病毒软件的更新机制，在企业网络中植入后门。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《eScan 确认更新服务器遭到入侵，并向客户推送恶意更新》