永恒之石，你怕了吗？

永恒之石，你怕了吗？

From ChaMd5安全团队核心成员 逍遥自在

这个五月，我们经历了感染了7万5千台电脑的WannaCry，没有了紧急开关的 WannaCry2.0，好不容易快到月底了，想着能平平安安的过去了。突然晴天霹雳，EternalRocks(永恒之石)又来了，别急别急，不要怕，ChaMd5带你了解了解下这个病毒。

一打开新闻，小编都被吓到了，最新病毒EtermalRocks用了七个NSA漏洞！！！什么，七个，要知道永恒之蓝才只用了两个啊！难道又爆出了几个？小编都准备去找找新的神器了。

通过千方百计各个群里求得的病毒样本（这里感谢黑鸟安全的大佬们提供的样本并借鉴了部分分析，非常感谢）。根据黑鸟大佬的分析，这次的病毒有ETERNALBLUE、DOUBLEPULSAR、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY、SMBTOUCH、ARCHITOUCH，听起来都很高大上的。

让我来“翻译”一下，它们就是MS08-067、MS10-061、MS-15-068、MS17-010，它们分别是08年、10年、14年、17年的漏洞。除了MS17-010勉强算1day漏洞以外，其他几个都是Nyear了。这种病毒早就被各大杀毒软件牢牢的放在病毒库了。只要你电脑不是裸奔或者几年都不升级打补丁的话，前面几个都没事了，而且他们都是针对SMB进行攻击的。

小编曾做过实验，比如像ms08-067这个漏洞，只要开启了防火墙就一点事没有。像那些Nyear的就没什么好说的啦！而唯一一个1day的ms17-010就是之前两次勒索病毒用的，现在全国上下运营商都封了445端口，而那些大型内网在经历了两次病毒的洗礼，如果你没有采取措施就避过去了，我只能说佩服，所以嘛，这次的病毒其实就是虚张声势。

这次病毒的运作分三个流程，第一个流程是通过各种手段在送进去的客户机执行vb程序UpdateInstaller.exe，然后自己搭配好.net的运行环境，释放一个svchost.exe的程序并获得长期驻留。然后就潜伏了（真狡猾啊）。下面病毒兵分两路，一路下载攻击和漏洞扫描程序，专门扫描其他电脑的445端口。然后就开始攻击了（就这么坑了内网其他的朋友啊！！！要是病毒从你电脑出来的，等着被同事们、同学们打死吧。想不被打，还不去打补丁）。另一路就开始下载tor组件，开始访问暗网。

看到上面了，大家是不是有疑问，这病毒干嘛啊，又不加密，又不勒索。人家没钱赚才不做病毒了，又有风险又没钱。他们拿你电脑去“挖矿”，那什么是挖矿？这是一种用计算力去赚取比特币的方法，他们用你的电脑的CPU、GPU做大量的运算，然后就赚到了好贵的比特币啊！太聪明了有没有。这次的病毒和上次的区别就相当于，上次的是一个强盗，把你家拉货的货车截了然后问你要钱去赎回。这次的就是小偷，趁你不注意的时候把你的货车拉出去拉货（不给油费破损费滴）。从某种程度来说，这次的病毒更隐蔽，但是不会做出锁了你文件这种天怒人怨的事的。

现在让我们来了解下如何知道自己电脑是否存在病毒。

1、杀毒软件扫一扫，最老套的方法，但是准确率还是挺高的。

2、打开你的c:\program files\windows update\tor(什么！没有！那恭喜你了，24小时再看一次，还没有，那就是没中毒。ps：仅适用于不用tor的非专业人士)

预防：还是和上次一样，关闭135、139、445端口，给电脑打上最新的补丁。都说上帝关闭了一扇门，却给你留上了一扇窗。你把窗都给病毒关了，他们还能访问外国网站不？

总结：已经经过了两次ms17-010，这次的病毒影响并没有那么大，号称7个nsa就是一个新的带上几个老的都不能再老的漏洞，大家不用恐慌，做好预防和检查就不会有事。

最后，再次感谢黑鸟安全的黑鸟大佬，感谢他提供的样本和分析过程。为小编节省了n多的时间。谢谢！

最后的最后，对于永恒之石，我……