阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 5112阅读
  • 7回复

[安全漏洞公告专区]【重要安全预警】“永恒之石”(EternalRocks)蠕虫病毒利用多个NSA工具传播

级别: 论坛版主
发帖
241
云币
478
— 本帖被 正禾 执行加亮操作(2017-05-24) —
2017年5月17日,克罗地亚安全专家(Miroslav Stampar)发现了一种基于类似WannaCry的蠕虫病毒,也是通过NSA武器库中的漏洞进行传播,该蠕虫被命名为EternalRocks(永恒之石), “永恒之石”没有安全验证开关,相比WannaCry更危险,它不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个以SMB为中心的NSA工具来感染那些在线且暴露SMB端口的计算机,一旦该蠕虫获得了入侵点,它将使用另一个NSA工具DOUBLEPULSAR传播到新的那些易受攻击的机器上去。 $Hbd:1%i {  
l Vc':,z  
)k'4]=d <  
“永恒之石”(EternalRocks)蠕虫细节: Wo8.tu-2  
hh ynB^o  
Mk$Pt  
该蠕虫入侵同样是利用Windows系统 SMB 协议存在的漏洞(MS17-010),涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系统,微软已经发布官方安全补丁MS17-070,对漏洞进行了修复,阿里提醒您需要关注并查。 /QK H30E  
u*i[A\Y  
_/ Uer }  
检测方式 Zo(p6rku  
病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,如下图: ( [m[<  
2or!v^^u  
M~k2Y$}R  
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHost和TaskHost,如下图: #:6gFfk0<  
1l*O;J9By  
L-\o zp  
GVl TW?5  
如何处理和防御? -3 2?]LN}  
  • 切断网络
iS%md  
检测阶段发现的已感染病毒的主机应立即进行断网,避免病毒进一步在网络内扩散。 mfpL?N  
  • 关闭TCP 445高危端口
KJ&~z? X  
对于未安装MS17-010补丁的和存在Doublepulsar后门的主机,立即使用ECS安全组公网入和出方向策略封锁Windows SMB服务TCP 445端口 K!a4>Du{  
  • 安装补丁
DeTD.)pS  
下载安装MS17-010补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010 |w7D&p$  
t9yjfyk9W  
Sx^4Y\\  
更多处理方案点击链接 -w#Hy>E  
"Yu';&  
e}Xmb$  
hy?e?^  
,\cO>y@  
#MhieG5  
'K0=FPB/@  
`LID*uD;_  
IhYTK%^96  
[ 此帖被正禾在2017-05-24 17:06重新编辑 ]
级别: 论坛版主
发帖
16048
云币
8344

只看该作者 沙发  发表于: 2017-05-24
又是永恒。。。
善用阿里云帮助文档。
级别: 新人
发帖
3
云币
3
只看该作者 板凳  发表于: 2017-05-24
Re【重要安全预警】“永恒之石”(EternalRocks)蠕虫病毒利用多个NSA工具
Linux应该不会狗带吧。
级别: 新人
发帖
3
云币
3
只看该作者 地板  发表于: 2017-05-25
回 2楼jttu的帖子
Linux无影响
级别: 管理员
发帖
333
云币
223836
只看该作者 4楼 发表于: 2017-05-25
多谢分享
级别: 新人
发帖
5
云币
9
只看该作者 5楼 发表于: 2017-05-25
啦啦啦
级别: 管理员
发帖
5
云币
5
只看该作者 6楼 发表于: 2017-05-25
test
级别: 管理员
发帖
5
云币
5
只看该作者 7楼 发表于: 2017-05-26
一篇好文
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)