• 欢迎访问奇跡の海网站,本站不上传任何资源,所有资源均来自于网络,欢迎加入奇跡の海~!奇跡の海-WordPress QQ群
  • 本站下载资源为网络上收集整理而来,并且以计算机技术研究交流为目的,版权归原作者所有,仅供大家参考,学习,不存在任何商业目的与商业用途.
  • 本站系统镜像均来自于官方原版,ed2k可视为P2P下载链接。所有操作系统默认均为试用版,如有正版密钥可以有效激活,本站不提供任何激活和相关服务。

新病毒王“永恒之石”已在中国六省出现(附解决方案)

前沿资讯 奇跡の海 2年前 (2017-05-28) 560次浏览 已收录 0个评论 扫描二维码

针对漏洞攻击的WannaCry勒索软件还未完全平息,克罗地亚安全专家Miroslav Stampar于2017年5月17日首次发现又一个利用Windows SMB文件共享协议中的漏洞进行传播的蠕虫病毒–EternalRocks蠕虫病毒,国内命名为“永恒之石”。好听的名字掩盖不了它的丑恶行径!金山安全专家早已针对Windows SMB文件共享协议中的漏洞防御形成了安全解决方案。此方案中,金山安全借助安全大数据分析能力和广泛的客户端安装数量,在全球安全厂商中首次向使用或疑似使用相关漏洞的27个恶意软件发出了全网搜捕,并且对未知的恶意软件也形成了有效的防御方案。金山安全的专家说:“兵来将挡,水来土掩。使用金山安全产品的用户完全可以不用紧张。”

一、“永恒之石”介绍

EternalRocks蠕虫病毒类似于勒索者病毒WannaCry,也是利用Windows SMB文件共享协议中的漏洞进行传播,不过这次EternalRocks蠕虫病毒用了7个NSA武器库中的恶意工具,而之前的WannaCry仅用了两个,大大提高了传播能力。受EternalRocks蠕虫病毒侵害后的主机会加入到僵尸网络中,接收来自位于暗网中的C&C服务器的指令,由于感染后的机器还会安装NSA武器库中的DoublePulsar后门,所以其它攻击者也可以利用这个后门安装其它恶意软件。

EternalRocks主要通过已公开的4个SMB漏洞利用工具(ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE和ETERNALSYNERGY)、1个后门工具(DOUBLEPULSAR)和2个漏洞扫描工具(ARCHITOUCH和SMBTOUCH)来实现一系列渗透攻击。

EternalRocks蠕虫病毒的攻击过程分为两个阶段:

第一阶段是潜伏期(目前潜伏时间为24小时),主要工作是准备运行环境和与暗网中的C&C服务器通信,接收下一步指令,接收到服务端的回应之后进入第二阶段。

第二阶段主要是下载NSA泄露的工具,接着利用这些工具进行渗透攻击,感染其它主机。通过Architouch和Smbtouch漏洞扫描工具扫描网络上的其它主机是否开放445端口,有无漏洞,若有则通过漏洞利用工具(EternalBlue、EternalSynergy、EternalRomance和EternalChampion)攻击该主机,攻击成功后,目标主机也会进入第一阶段,加入到僵尸网络中,接着继续攻击其它主机。最终感染EternalRocks蠕虫病毒的主机会呈指数级增长。

1、病毒释放的文件路径如下:

c:\Program Files\Microsoft Updates\SharpZLib.zip

c:\Program Files\Microsoft Updates\svchost.exe

c:\Program Files\Microsoft Updates\installed.fgh

c:\Program Files\Microsoft Updates\ICSharpCode.SharpZipLib.dll

c:\Program Files\Microsoft Updates\Microsoft.Win32.TaskScheduler.dll

c:\Program Files\Microsoft Updates\SharpZLib\

c:\Program Files\Microsoft Updates\temp\tor.zip

c:\Program Files\Microsoft Updates\temp\Tor\

c:\Program Files\Microsoft Updates\required.glo

c:\Program Files\Microsoft Updates\taskhost.exe

c:\Program Files\Microsoft Updates\TaskScheduler.zip

c:\Program Files\Microsoft Updates\TaskScheduler\

c:\Program Files\Microsoft Updates\torunzip.exe

2、样本信息截图如下:

第一阶段的UpdateInstaller.exe:

第二阶段的taskhost.exe:

EternalRocks蠕虫病毒会利用计划任务来自启动。通过打开开始菜单->控制面板->系统和安全->管理工具中的计划任务->任务计划程序库->Microsoft->Windows可以进行查看,病毒会创建ServiceHost和TaskHost两个任务计划,在系统启动后、登录后和指定时间启动。

第二阶段释放的攻击文件

3、释放文件、攻击工具与漏洞编号对照表

二、金山安全向全网发布27个恶意软件搜捕令

目前已经发现并公开的共有27个恶意软件及其变种,具有使用或疑似使用上述7个漏洞工具、扫描工具及后门工具展开攻击的可能性。经金山安全大数据中心专家对相关样本是否在中国有分布、分布在哪些区域进行了严密的大数据分析与判定。截止5月25日11时,中国已有6省市存在与“永恒之石”蠕虫病毒相关的恶意软件及其变种的用户环境的发现,其中MD5值分别为198f27f5ab972bfd99e89802e40d6ba7、3771b97552810a0ed107730b718f6fe1、5f714b563aafef8574f6825ad9b5a0bf、994bd0b23cce98b86e58218b9032ffab的四种恶意软件,在中国区域的终端上有批量或个别的存在与潜伏。

“永恒之石”中国区域的重灾区为江苏、浙江、广东、广西、陕西、台湾六省市

(数据截止2017年5月25日11时)

来自金山安全的专家说:金山安全大数据中心仍然在严密监控与“永恒之石”相关联的恶意软件的所有新生样本及相关样本的扩散路径。关于“永恒之石”蠕虫病毒在中国的区域分布、感染量等关键数据,金山安全将在分析后的第一时间,向国家网信办、国家计算机病毒应急处理中心等机构报告;此外,金山安全愿意与所有从事网关防御、终端检测防御的网络安全友商协同动作,共同推动“永恒之石”蠕虫病毒在全中国的快速防御。

三、用户防范建议

用户可以尽快安装系统补丁,由于EternalRocks蠕虫病毒是通过漏洞传播的,安装MS17-010补丁可以避免被通过网络的方式感染此类病毒。

安装正品杀毒软件


版权声明:本站所有文章和资源使用CC BY-NC-SA 4.0协议授权发布 , 转载应当以相同方式注明文章来自“SeaOMC.COM->新病毒王“永恒之石”已在中国六省出现(附解决方案)!在下边可以分享本文哦!
喜欢 (0)
[]
分享 (0)
奇跡の海
关于作者:
一个WordPress菜鸟!
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址