最新
活动
咨询
购物车
帮助
重要通知

关于近期蠕虫病毒传播趋势上升的风险提示

  • 作者:新网
  • 文章来源:新网
  • 点击数:
  • 更新时间:2017-06-02 16:35:00

   尊敬的新网用户,您好:

 

  在Wannacry蠕虫事件发生之后,国家互联网应急中心(CNCERT)对“永恒之蓝”SMB漏洞攻击进行了持续监测。在Wannacry蠕虫传播的初期,发起SMB漏洞攻击尝试的主机数量(很可能已感染蠕虫)呈现下降趋势,而在最近几日,发起SMB漏洞攻击尝试的主机数量又出现了明显上升的趋势,我司现将有关情况通报如下,请广大云主机、租用托管客户关注:

 

  一、监测情况

 

  综合CNCERT和国内网络安全企业已获知的样本情况和分析结果,通过SMB漏洞传播的蠕虫病毒中,除具备勒索软件功能的变种外,还有一些变种具备远程控制功能但没有勒索软件功能,而感染了后者的用户一般不易觉察,难以及时采取防护和处置措施,因此SMB漏洞攻击次数上升可能标志着出现新的蠕虫变种依然在默默传播,我国互联网安全仍然面临着巨大风险。CNCERT再次提醒广大互联网用户及时做好应急防护措施,详细方法见CNCERT于5月13日发布的《关于防范 Windows 操作系统勒索软件Wannacry的情况通报》

 

  (http://www.cert.org.cn/publish/main/8/2017/20170513170143329476057/20170513170143329476057_.html)。

 

  二、自查方法

 

  在此提醒广大用户及时采取如下方法进行自查:

 

  1、在以下目录出现如下文件之一:

 

  c:\windows\mssecsvc.exe

  c:\windows\tasksche.exe

  c:\windows\qeriuwjhrf

  c:\program files\microsoft updates\updateinstaller

  c:\program files\microsoft updates\svchost.exe

  c:\program files\microsoft updates\torunzip.exe

 

  2、在磁盘任意位置出现以下七个文件之一:

  architouch.inconfig.xml

  doublepulsar.inconfig.xml

  eternalblue.inconfig.xml

  eternalchampion.inconfig.xml

  eternalromance.inconfig.xml

  eternalsynergy.inconfig.xml

  smbtouch.inconfig.xml

 

  3、利用进程监视工具,发现名为 tasksche.exe 的进程。

 

  4、在注册表中搜索“EternalRocks”关键字。

 

  若主机中出现上述情况之一,即可判断当前系统已被蠕虫病毒感染。

 

  三、新网提供检查脚本及处理建议:

 

  您可以点击“此处”下载(下载到本地后修改文件名为jiance.bat )并在云主机系统中任一目录运行该自查脚本。

 

  一旦发现系统已感染蠕虫病毒,建议您:

 

  1、备份重要数据;

 

  2、重置系统,并立即更新相关补丁,相关补丁请参考:

 

漏洞名称

影响版本

补丁下载链接

永恒之蓝

Windows全版本

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

Eternalsynergy

Windows 8

Windows 2012

Eternalromance

Windows XP

Vista

Windows7

Windows 2003

Windows 2008

EternalChampion

Windows全版本

Educatedscholar

Vista

http://www.catalog.update.microsoft.com/Search.aspx?q=975517

Vista SP1

Vista SP2

Windows 2008

Windows 2008 SP2

Emeraldthread

Windows XP

http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

Windows 2003

Vista

2008

Windows7

2008 R2

Eclipsedwing

Windows XP

http://www.catalog.update.microsoft.com/Search.aspx?q=958644

Windows 2003

Windows 2008

 

 

  针对上述SMB等协议漏洞及攻击工具的相关建议如下:

 

  (1)及时更新和安装Windows已发布的安全补丁;

  (2)关闭135、137、139、445等端口的外部网络访问权限,在主机上关闭不必要的上述服务端口;

  (3)加强对135、137、139、445等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

  (4)由于微软对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。针对上述漏洞,Window XP和Windows Server 2003用户以及其他无法直接使用Windows自动更新功能的用户可根据Windows系统和版本自行从微软官网(见上述各个漏洞工具描述中提供的补丁下载地址链接)下载补丁文件并安装。

 

  另:新网已对虚拟主机、驰云服务器进行了妥善的安全防护,确保不会受到此次蠕虫病毒的影响,请广大客户放心。

技术问题

增值电信业务经营许可证:B1-20140435 京B2-20070152 域名注册服务批文号:信部电函[2005]263号 京ICP证000012
 京公网安备11030102000056号 京ICP备09061941号-4
Copyright©1993-2017 北京新网数码信息技术有限公司 版权所有