干货 | 最新“永恒之石”病毒处置方案

近日,克罗地亚研究人员MiroslavStampar披露:继WannaCry蠕虫攻击后,另一种利用NSA泄露漏洞代码的蠕虫病毒EternalRocks(中文译名永恒之石,病毒命名BlueDoom)再度来袭。

永恒之石利用服务器信息块(SMB)共享网络协议中的漏洞去感染未修复的Windows系统。感染用户电脑后,“永恒之石”会下载Tor个人浏览器(可用来匿名浏览网页和发送邮件),并向C&C服务器发送信号。在接下来的24小时内,“永恒之石”不会有任何动作,直到服务器响应,才开始下载并自我复制。因此,与“永恒之蓝”相比,“永恒之石”更隐蔽,更不易觉察

安恒信息建议广大用户采取以下措施应对“永恒之石”病毒:

  • 目前微软已发布补丁MS17-010修复了“永恒之石”工具所利用的系统漏洞,请尽快为电脑安装此补丁。

补丁下载链接:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

请注意微软只会为仍在服务期内的版本发布补丁,对于较早的已不在服务期内的版本(Windows 7之前版本,Windows Server 2008之前版本),微软不会发布补丁。建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本,建议用户部署基本的防火墙,禁止电脑直接使用公网IP。

  • 在Windows系统上关闭不必要开放的端口,如445、135、137、138、139等,并关闭网络共享。
  • 网络管理员可使用安恒信息的明鉴远程安全评估系统对网络内未安装补丁及中了Doublepulsar后门的主机进行远程检测,如下图:

如果确认机器已经感染了病毒,可采取以下步骤手动清除:

1.断掉被感染主机的网络。有线网络用户可以直接拔掉网线,无线网络用户可以关掉WiFi开关。

2.删除计划任务ServiceHost、TaskHost和Tor。

3.使用任务管理器关闭下列进程

  • C:\Program Files\MicrosoftUpdates\svchost.exe
  • C:\Program Files\MicrosoftUpdates\taskhost.exe
  • C:\Program Files\Microsoft Updates\torunzip.exe
  • c:\program files\microsoftupdates\tor\tor.exe

4.删除C:\Program Files\Microsoft Updates\目录及其中所有文件。

“永恒之石”与之前的“永恒之蓝”病毒所利用的系统漏洞相同,因此安恒信息之前针对“永恒之蓝”所发布的加固工具包同样也适用于“永恒之石”。用户可下载该工具包加固系统,防范“永恒之石”病毒。下载链接:

http://www.dbappsecurity.com.cn/Upload/file/201705/20170525110945_6200.rar

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-05-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

极客DIY:使用Arduino制作一块开源手表

1 - 引言 首先让我们看下这个项目要考虑到的问题: 1.)使用100%Arduino兼容性硬件 2.)保证存储器足够大可以装下大量的稍后会扩展的新内容 ...

34060
来自专栏技术小黑屋

Gmail托管邮箱发邮件认证失败

Gmail是一款很优秀的邮件工具,我一直使用Gmail来托管公司的邮箱,利用最棒的过滤器进行过滤垃圾邮件。前段时间公司邮箱密码更换,使用了新的密码后导致了只能收...

23010
来自专栏蜉蝣禅修之道

ubuntu13.10安装broadcom无线网卡驱动

32670
来自专栏c#开发者

数据驱动开发For Silverlight WCF RIA1.0 三步曲

数据驱动开发For Silverlight WCF RIA1.0 三步曲 WCF RIA 1.0的正式发布,让Silverlight开发业务应用系统变得更加简...

28640
来自专栏安恒信息

一些APT攻击案例分享

2014年我们所知的所有网络攻击,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增...

49750
来自专栏IT笔记

JAVA实现的支付宝扫描二维码支付

前期酝酿准备 最近项目中要上线支付功能、前段时间刚开发完微信的扫码支付、不得不说微信开发团队的文档真是一个烂。但总算是对照着API把功能交付上线了。 前几天公...

60360
来自专栏FreeBuf

新型勒索病毒软件GruxEr来袭:深度分析如何传播、加密及如何删除

本文旨在帮助您清除Gruxer ransomware感染,并通过此ransomware病毒恢复AES加密文件。 据报道,GruxEr名称的ransomwar...

31660
来自专栏PPV课数据科学社区

Python拉勾爬虫——以深圳地区数据分析师为例

拉勾因其结构化的数据比较多因此过去常常被爬,所以在其多次改版之下变得难爬。不过只要清楚它的原理,依然比较好爬。其机制主要就是AJAX异步加载JSON数据,所以至...

35160
来自专栏FreeBuf

一个利用CVE-2017-11292的APT样本技术分析(一)

1. 引言 最近沸沸扬扬的黑色绿洲(BlackOasis) APT 利用了Adobe Flash 的漏洞CVE-2017-11292。最近,我们发现除了黑色绿洲...

247100
来自专栏运维小白

原QQ坦白说之解密教程

背景:之前在QQ上突然有人发坦白说给我,第一感觉就是谁恶搞我,想找到是谁,是谁在恶作剧 ? ---- QQ坦白说之解密教程 一、模拟手机QQ 首先使用谷歌...

53190

扫码关注云+社区

领取腾讯云代金券