近日,克羅地亞研究人員(yuán)MiroslavStampar披露:繼WannaCry蠕蟲攻擊後,另一(yī)種利用NSA洩露漏洞代碼的蠕蟲病毒EternalRocks(中(zhōng)文譯名永恒之石,病毒命名BlueDoom)再度來襲。
永恒之石利用服務器信息塊(SMB)共享網絡協議中(zhōng)的漏洞去(qù)感染未修複的Windows系統。感染用戶電(diàn)腦後,“永恒之石”會下(xià)載Tor個人浏覽器(可用來匿名浏覽網頁和發送郵件),并向C&C服務器發送信号。在接下(xià)來的24小(xiǎo)時内,“永恒之石”不會有任何動作,直到服務器響應,才開(kāi)始下(xià)載并自我(wǒ)複制。因此,與“永恒之藍(lán)”相比,“永恒之石”更隐蔽,更不易覺察。
安恒信息建議廣大(dà)用戶采取以下(xià)措施應對“永恒之石”病毒:
目前微軟已發布補丁MS17-010修複了“永恒之石”工(gōng)具所利用的系統漏洞,請盡快爲電(diàn)腦安裝此補丁。
補丁下(xià)載鏈接:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
請注意微軟隻會爲仍在服務期内的版本發布補丁,對于較早的已不在服務期内的版本(Windows 7之前版本,Windows Server 2008之前版本),微軟不會發布補丁。建議使用這些版本的用戶将系統升級到服務期内的版本并及時安裝可用的補丁。如果無法升級到服務期内的版本,建議用戶部署基本的防火(huǒ)牆,禁止電(diàn)腦直接使用公網IP。
在Windows系統上關閉不必要開(kāi)放(fàng)的端口,如445、135、137、138、139等,并關閉網絡共享。
網絡管理員(yuán)可使用安恒信息的明鑒遠程安全評估系統對網絡内未安裝補丁及中(zhōng)了Doublepulsar後門的主機進行遠程檢測,如下(xià)圖:
如果确認機器已經感染了病毒,可采取以下(xià)步驟手動清除:
1.斷掉被感染主機的網絡。有線網絡用戶可以直接拔掉網線,無線網絡用戶可以關掉WiFi開(kāi)關。
2.删除計劃任務ServiceHost、TaskHost和Tor。
3.使用任務管理器關閉下(xià)列進程
C:\Program Files\MicrosoftUpdates\svchost.exe
C:\Program Files\MicrosoftUpdates\taskhost.exe
C:\Program Files\Microsoft Updates\torunzip.exe
c:\program files\microsoftupdates\tor\tor.exe
4.删除C:\Program Files\Microsoft Updates\目錄及其中(zhōng)所有文件。
“永恒之石”與之前的“永恒之藍(lán)”病毒所利用的系統漏洞相同,因此安恒信息之前針對“永恒之藍(lán)”所發布的加固工(gōng)具包同樣也适用于“永恒之石”。用戶可下(xià)載該工(gōng)具包加固系統,防範“永恒之石”病毒。
上一(yī)篇:基于大(dà)數據和機器學習的Web異常參數檢測系統Demo實現
下(xià)一(yī)篇:研究人員(yuán)發現Android設備全新惡意軟件