干货 | 最新“永恒之石”病毒处置方案

近日，克罗地亚研究人员MiroslavStampar披露：继WannaCry蠕虫攻击后，另一种利用NSA泄露漏洞代码的蠕虫病毒EternalRocks（中文译名永恒之石，病毒命名BlueDoom）再度来袭。

永恒之石利用服务器信息块（SMB）共享网络协议中的漏洞去感染未修复的Windows系统。感染用户电脑后，“永恒之石”会下载Tor个人浏览器（可用来匿名浏览网页和发送邮件），并向C&C服务器发送信号。在接下来的24小时内，“永恒之石”不会有任何动作，直到服务器响应，才开始下载并自我复制。因此，与“永恒之蓝”相比，“永恒之石”更隐蔽，更不易觉察。

安恒信息建议广大用户采取以下措施应对“永恒之石”病毒：

• 目前微软已发布补丁MS17-010修复了“永恒之石”工具所利用的系统漏洞，请尽快为电脑安装此补丁。

补丁下载链接：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

请注意微软只会为仍在服务期内的版本发布补丁，对于较早的已不在服务期内的版本（Windows 7之前版本，Windows Server 2008之前版本），微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本，建议用户部署基本的防火墙，禁止电脑直接使用公网IP。

• 在Windows系统上关闭不必要开放的端口，如445、135、137、138、139等，并关闭网络共享。
• 网络管理员可使用安恒信息的明鉴远程安全评估系统对网络内未安装补丁及中了Doublepulsar后门的主机进行远程检测，如下图：

如果确认机器已经感染了病毒，可采取以下步骤手动清除：

1.断掉被感染主机的网络。有线网络用户可以直接拔掉网线，无线网络用户可以关掉WiFi开关。

2.删除计划任务ServiceHost、TaskHost和Tor。

3.使用任务管理器关闭下列进程

• C:\Program Files\MicrosoftUpdates\svchost.exe
• C:\Program Files\MicrosoftUpdates\taskhost.exe
• C:\Program Files\Microsoft Updates\torunzip.exe
• c:\program files\microsoftupdates\tor\tor.exe

4.删除C:\Program Files\Microsoft Updates\目录及其中所有文件。

“永恒之石”与之前的“永恒之蓝”病毒所利用的系统漏洞相同，因此安恒信息之前针对“永恒之蓝”所发布的加固工具包同样也适用于“永恒之石”。用户可下载该工具包加固系统，防范“永恒之石”病毒。下载链接：

http://www.dbappsecurity.com.cn/Upload/file/201705/20170525110945_6200.rar