2017年5月17日，克羅地亞安全專家（Miroslav Stampar）發(fā)現(xiàn)了一種基于類似WannaCry的蠕蟲(chóng)病毒，也是通過(guò)NSA武器庫(kù)中的漏洞進(jìn)行傳播，該蠕蟲(chóng)被命名為EternalRocks（永恒之石）， “永恒之石”沒(méi)有安全驗(yàn)證開(kāi)關(guān)，相比WannaCry更危險(xiǎn)，它不像WannaCry蠕蟲(chóng)使用了2個(gè)NSA攻擊工具，這個(gè)惡意軟件使用了7個(gè)以SMB為中心的NSA工具來(lái)感染那些在線且暴露SMB端口的計(jì)算機(jī)，一旦該蠕蟲(chóng)獲得了入侵點(diǎn)，它將使用另一個(gè)NSA工具DOUBLEPULSAR傳播到新的那些易受攻擊的機(jī)器上去。 

 
“永恒之石”（EternalRocks）蠕蟲(chóng)細(xì)節(jié)： 

 

該蠕蟲(chóng)入侵同樣是利用Windows系統(tǒng) SMB 協(xié)議存在的漏洞(MS17-010)，涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系統(tǒng)，微軟已經(jīng)發(fā)布官方安全補(bǔ)丁MS17-070，對(duì)漏洞進(jìn)行了修復(fù)。

檢測(cè)方式 

病毒感染主機(jī)后，會(huì)創(chuàng)建C:Program FilesMicrosoft Updates目錄，生成多個(gè)病毒文件，如下圖： 

 

進(jìn)入開(kāi)始菜單—控制面板—管理工具—計(jì)劃任務(wù)，展開(kāi)任務(wù)計(jì)劃程序庫(kù)—Microsoft—Windows，病毒會(huì)創(chuàng)建2個(gè)計(jì)劃任務(wù)ServiceHost和TaskHost，如下圖： 

 

 

如何處理和防御？ 

切斷網(wǎng)絡(luò)
 
檢測(cè)階段發(fā)現(xiàn)的已感染病毒的主機(jī)應(yīng)立即進(jìn)行斷網(wǎng)，避免病毒進(jìn)一步在網(wǎng)絡(luò)內(nèi)擴(kuò)散。 
關(guān)閉TCP 445高危端口
 
對(duì)于未安裝MS17-010補(bǔ)丁的和存在Doublepulsar后門的主機(jī)，立即使用ECS安全組公網(wǎng)入和出方向策略封鎖Windows SMB服務(wù)TCP 445端口。 
安裝補(bǔ)丁
 
下載安裝MS17-010補(bǔ)?。?/span>https://technet.microsoft.com/zh-cn/library/security/MS17-010