永恒之石,你怕了吗?

永恒之石,你怕了吗?

From ChaMd5安全团队核心成员 逍遥自在

这个五月,我们经历了感染了7万5千台电脑的WannaCry,没有了紧急开关的 WannaCry2.0,好不容易快到月底了,想着能平平安安的过去了。突然晴天霹雳,EternalRocks(永恒之石)又来了,别急别急,不要怕,ChaMd5带你了解了解下这个病毒。

一打开新闻,小编都被吓到了,最新病毒EtermalRocks用了七个NSA漏洞!!!什么,七个,要知道永恒之蓝才只用了两个啊!难道又爆出了几个?小编都准备去找找新的神器了。

通过千方百计各个群里求得的病毒样本(这里感谢黑鸟安全的大佬们提供的样本并借鉴了部分分析,非常感谢)。根据黑鸟大佬的分析,这次的病毒有ETERNALBLUE、DOUBLEPULSAR、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY、SMBTOUCH、ARCHITOUCH,听起来都很高大上的。

让我来“翻译”一下,它们就是MS08-067、MS10-061、MS-15-068、MS17-010,它们分别是08年、10年、14年、17年的漏洞。除了MS17-010勉强算1day漏洞以外,其他几个都是Nyear了。这种病毒早就被各大杀毒软件牢牢的放在病毒库了。只要你电脑不是裸奔或者几年都不升级打补丁的话,前面几个都没事了,而且他们都是针对SMB进行攻击的。

小编曾做过实验,比如像ms08-067这个漏洞,只要开启了防火墙就一点事没有。像那些Nyear的就没什么好说的啦!而唯一一个1day的ms17-010就是之前两次勒索病毒用的,现在全国上下运营商都封了445端口,而那些大型内网在经历了两次病毒的洗礼,如果你没有采取措施就避过去了,我只能说佩服,所以嘛,这次的病毒其实就是虚张声势。

这次病毒的运作分三个流程,第一个流程是通过各种手段在送进去的客户机执行vb程序UpdateInstaller.exe,然后自己搭配好.net的运行环境,释放一个svchost.exe的程序并获得长期驻留。然后就潜伏了(真狡猾啊)。下面病毒兵分两路,一路下载攻击和漏洞扫描程序,专门扫描其他电脑的445端口。然后就开始攻击了(就这么坑了内网其他的朋友啊!!!要是病毒从你电脑出来的,等着被同事们、同学们打死吧。想不被打,还不去打补丁)。另一路就开始下载tor组件,开始访问暗网。

看到上面了,大家是不是有疑问,这病毒干嘛啊,又不加密,又不勒索。人家没钱赚才不做病毒了,又有风险又没钱。他们拿你电脑去“挖矿”,那什么是挖矿?这是一种用计算力去赚取比特币的方法,他们用你的电脑的CPU、GPU做大量的运算,然后就赚到了好贵的比特币啊!太聪明了有没有。这次的病毒和上次的区别就相当于,上次的是一个强盗,把你家拉货的货车截了然后问你要钱去赎回。这次的就是小偷,趁你不注意的时候把你的货车拉出去拉货(不给油费破损费滴)。从某种程度来说,这次的病毒更隐蔽,但是不会做出锁了你文件这种天怒人怨的事的。

现在让我们来了解下如何知道自己电脑是否存在病毒。

1、杀毒软件扫一扫,最老套的方法,但是准确率还是挺高的。

2、打开你的c:\program files\windows update\tor(什么!没有!那恭喜你了,24小时再看一次,还没有,那就是没中毒。ps:仅适用于不用tor的非专业人士)

预防:还是和上次一样,关闭135、139、445端口,给电脑打上最新的补丁。都说上帝关闭了一扇门,却给你留上了一扇窗。你把窗都给病毒关了,他们还能翻墙不?

总结:已经经过了两次ms17-010,这次的病毒影响并没有那么大,号称7个nsa就是一个新的带上几个老的都不能再老的漏洞,大家不用恐慌,做好预防和检查就不会有事。

最后,再次感谢黑鸟安全的黑鸟大佬,感谢他提供的样本和分析过程。为小编节省了n多的时间。谢谢!

最后的最后,对于永恒之石,我……

原文发布于微信公众号 - ChaMd5安全团队(chamd5sec)

原文发表时间:2017-05-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

新年伊始,微软再遭叙利亚电子军挑衅

在2014年初,微软再遭叙利亚电子军(Syrian Electronic Army,简称SEA)袭击,其Twitter账户@MSFTNews被黑客劫持,并发布S...

1868
来自专栏FreeBuf

有关Petya勒索软件,你想知道的都在这里

昨晚21时左右,乌克兰遭受Petya勒索程序大规模攻击。包括首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部...

2818
来自专栏西枫里博客

关于ICP备案你所不了解的那些事

原打算这篇文章是写成正常的网站备案指导步骤的,在写的过程中,我发现其实各大IDC厂商的的帮助信息都已经非常明确具体了,甚至细分到每个省区有不同的细则都标识的很清...

5243
来自专栏玄魂工作室

CTF实战22 病毒感染技术

是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件

1022
来自专栏玄魂工作室

安全快讯合集

1.Google Tracks Android, iPhone Users Even With 'Location History' Turned Off

1021
来自专栏小白安全

EMLOG更改后台地址导致微语表情不显示解决方法

解决办法: 在include/lib/function.base.php中找到一下代码 /** * 替换表情 * * @param $t */ ...

3776
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-4 FB60过帐供应商发票

4.4 FB60过帐供应商发票 您从供应商处收到发票并在系统中进行过帐。供应商的物料发票被过帐到物料模块中,有关详细信息,请参见文档。您还可以为除物料(如下文中...

36410
来自专栏人称T客

【注意】SAP客户受到安全威胁 黑客盯上SAP后门盗取用户信息

据国外媒体报道一只以网络银行账号为目标的新木马程序变种,也包含了可侦测受感染计算机是否安装SAP应用的能力,显示未来可能将攻击SAP系统。 俄罗斯防毒公司Do...

3139
来自专栏安恒信息

黑客新手入侵云服务器仅需4小时

外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:入侵云服务器需要多长时间?为了探究这一问题答案,云安全创新企业CloudPassage联接6台...

8715
来自专栏大宽宽的碎碎念

支付状态与分布式一致性

41715

扫码关注云+社区

领取腾讯云代金券