2017年5月17日,克羅地亞安全專家(Miroslav Stampar)發現了一(yī)種基于類似WannaCry的蠕蟲病毒,也是通過NSA武器庫中(zhōng)的漏洞進行傳播,該蠕蟲被命名爲EternalRocks(永恒之石), “永恒之石”沒有安全驗證開(kāi)關,相比WannaCry更危險,它不像WannaCry蠕蟲使用了2個NSA攻擊工(gōng)具,這個惡意軟件使用了7個以SMB爲中(zhōng)心的NSA工(gōng)具來感染那些在線且暴露SMB端口的計算機,一(yī)旦該蠕蟲獲得了入侵點,它将使用另一(yī)個NSA工(gōng)具DOUBLEPULSAR傳播到新的那些易受攻擊的機器上去(qù)。
“永恒之石”(EternalRocks)蠕蟲細節:
該蠕蟲入侵同樣是利用Windows系統 SMB 協議存在的漏洞(MS17-010),涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系統,微軟已經發布官方安全補丁MS17-070,對漏洞進行了修複。
檢測方式
病毒感染主機後,會創建C:Program FilesMicrosoft Updates目錄,生(shēng)成多個病毒文件,如下(xià)圖:
進入開(kāi)始菜單—控制面闆—管理工(gōng)具—計劃任務,展開(kāi)任務計劃程序庫—Microsoft—Windows,病毒會創建2個計劃任務ServiceHost和TaskHost,如下(xià)圖:
如何處理和防禦?
切斷網絡
檢測階段發現的已感染病毒的主機應立即進行斷網,避免病毒進一(yī)步在網絡内擴散。
關閉TCP 445高危端口
對于未安裝MS17-010補丁的和存在Doublepulsar後門的主機,立即使用ECS安全組公網入和出方向策略封鎖Windows SMB服務TCP 445端口。
安裝補丁
下(xià)載安裝MS17-010補丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010
下(xià)一(yī)篇 [漏洞公告] Windows 搜索遠程命令執行漏洞和“震網三代”LNK 文件遠程代碼執行漏洞
上一(yī)篇: [漏洞公告]“永恒之藍(lán)”應急響應方案