阿里云
发表主题 回复主题
  • 3773阅读
  • 7回复

[安全漏洞公告专区]【重要安全预警】“永恒之石”(EternalRocks)蠕虫病毒利用多个NSA工具传播

级别: 论坛版主
发帖
240
云币
471
— 本帖被 正禾 执行加亮操作(2017-05-24) —
2017年5月17日,克罗地亚安全专家(Miroslav Stampar)发现了一种基于类似WannaCry的蠕虫病毒,也是通过NSA武器库中的漏洞进行传播,该蠕虫被命名为EternalRocks(永恒之石), “永恒之石”没有安全验证开关,相比WannaCry更危险,它不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个以SMB为中心的NSA工具来感染那些在线且暴露SMB端口的计算机,一旦该蠕虫获得了入侵点,它将使用另一个NSA工具DOUBLEPULSAR传播到新的那些易受攻击的机器上去。 `\4RFr$  
WoC\a^V  
g wZ+GA  
“永恒之石”(EternalRocks)蠕虫细节: 4+Li)A:4.  
k:&?$  
$_%2D3-;D  
该蠕虫入侵同样是利用Windows系统 SMB 协议存在的漏洞(MS17-010),涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系统,微软已经发布官方安全补丁MS17-070,对漏洞进行了修复,阿里提醒您需要关注并查。 TZvBcNi   
eWqVh[  
A,-[/Z K/  
检测方式 2 `q^Q  
病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,如下图: MZ >0K  
 Y,<WX v  
|1\dCE03}  
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHost和TaskHost,如下图: 83p$!8]u  
 h;:Se  
=X%R*~!#Of  
O4'kS @  
如何处理和防御? A1=$kzw{UH  
  • 切断网络
c DEe?WS  
检测阶段发现的已感染病毒的主机应立即进行断网,避免病毒进一步在网络内扩散。 _mI:Lr#dT  
  • 关闭TCP 445高危端口
KqG$zC^N  
对于未安装MS17-010补丁的和存在Doublepulsar后门的主机,立即使用ECS安全组公网入和出方向策略封锁Windows SMB服务TCP 445端口 T^-H_|/M  
  • 安装补丁
z?IY3]v*z<  
下载安装MS17-010补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010 O #p)~V8~  
7kWZMi  
t"!8  
更多处理方案点击链接 '6Z/-V4k  
$O8EiC!f6  
gw}7%U`T9  
gP_d >p:b  
SjNwT[.nr7  
Rp4BU"&sU  
KWZNu &)  
G3^n_]Jb  
S|u1QGB  
[ 此帖被正禾在2017-05-24 17:06重新编辑 ]
级别: 论坛版主
发帖
15923
云币
29272

只看该作者 沙发  发表于: 2017-05-24
又是永恒。。。
善用阿里云帮助文档。
级别: 新人
发帖
3
云币
3
只看该作者 板凳  发表于: 2017-05-24
Re【重要安全预警】“永恒之石”(EternalRocks)蠕虫病毒利用多个NSA工具
Linux应该不会狗带吧。
级别: 新人
发帖
3
云币
3
只看该作者 地板  发表于: 2017-05-25
回 2楼jttu的帖子
Linux无影响
级别: 管理员
发帖
330
云币
222806
只看该作者 4楼 发表于: 2017-05-25
多谢分享
级别: 新人
发帖
5
云币
9
只看该作者 5楼 发表于: 2017-05-25
啦啦啦
级别: 新人
发帖
5
云币
5
只看该作者 6楼 发表于: 2017-05-25
test
级别: 新人
发帖
5
云币
5
只看该作者 7楼 发表于: 2017-05-26
一篇好文
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个