網站首頁 > 網路安全 > 新病毒王“永恆之石”專殺工具
 
標題:新病毒王“永恆之石”專殺工具
分類:
  前期勒索病毒WannaCry的餘波還未消散,江民科技近期高度關注勒索病毒的發展態勢,整理研究國內外相關報告信息,發現並研究了EternalRocks病毒,該病毒中文譯名“永恆之石”。
 
專殺工具下載 (給非江民用戶使用,江民用戶僅需更新病毒碼)
 
  永恆之石病毒是什麼永恆之石和勒索病毒有什麼區別
  安全專家Miroslav Stampar第一時間發現永恆之石的出現,該病毒也通過Windows SMB的共享協議傳播,但是不像WannaCry蠕蟲使用了2個NSA攻擊工具,這個惡意軟件使用了7個。“永恆之石”沒有安全驗證開關,相比WannaCry更危險。以下是七個利用的漏洞和工具:
  · EternalBlue — SMBv1 exploit tool
  ·EternalRomance — SMBv1 exploit tool
  ·EternalChampion — SMBv2 exploit tool
  ·EternalSynergy — SMBv3 exploit tool
  ·SMBTouch — SMB reconnaissance tool
  ·ArchTouch — SMB reconnaissance tool
  ·DoublePulsar — Backdoor Trojan
  與WannaCry不同,現在永恆之石還處於安靜的潛伏狀態,感染一台電腦後,它會下載Tor(洋蔥路由)的個人瀏覽器並向病毒隱藏的服務器發信號。隨後就是24小時的潛伏期,在此期間病毒會按兵不動。但一天時間過去後,服務器會啟動,病毒開始下載並自我複制。EternalRocks會偽裝成WannaCry來欺騙安全研究人員,不僅是植入蠕蟲,它主要目的是獲得被感染計算機的控制權來方便將來發起的網絡攻擊。EternalRocks的功能是秘密執行,隱蔽性極高,感染系統後很難被檢測到,這就意味著安全專家的研究進度會被拖慢一天。
  EternalRocks介紹:
  江民科技整理研究國內外相關報告信息,以下是安全專家Miroslav Stampar對EternalRocks的介紹:
  MiroslavStampar在他的被感染的SMB蜜罐中發現了EternalRocks。EternalRocks使用的NSA漏洞,Stampar在推特上稱為“DoomsDayWorm”,具體如下:
  · EternalBlue — SMBv1 exploit tool
  · EternalRomance — SMBv1 exploit tool
  · EternalChampion — SMBv2 exploit tool
  · EternalSynergy — SMBv3 exploit tool
  · SMBTouch — SMB reconnaissance tool
  · ArchTouch — SMB reconnaissance tool
  · DoublePulsar — Backdoor Trojan
  SMBTouch和ArchTouch是SMB偵察工具,用來掃描公共互聯網上的開放SMB端口;EternalBlue、EternalChampion、EternalSynergy和EternalRomance則是利用SMB漏洞進行攻擊,而DoublePulsar是被用於在同一個網絡從一台被感染的計算機傳播蠕蟲到其他的易受攻擊的機器。
  EternalRocks的工作機制:
  結合安全專家Miroslav Stampar的文章,江民科技對EternalRocks的行為和工作機制進行了分析:
  EternalRocks安裝分以下兩個階段過程:
  第一步,EternalRocks在感染的計算機上下載Tor web瀏覽器,用來鏈接命令和控制服務器,該服務器部署在Tor網絡的Dark Web上。
  第二步,惡意軟件:UpdateInstaller.exe從互聯網下載必須的.net組件TaskScheduler和SharpZLib,同時釋放svchost.exe和taskhost.exe.
  據Miroslav Stampar宣稱,延遲24小時避開沙箱檢測,確保蠕蟲不被檢測到。24小時之後,EternalRocks使用上述的7種Windows SMB漏洞工具響應C&C服務。
  Svchost.exe用來下載,拆包和運行Tor,以及與C&C服務器(ubgdgno5eswkhmpy.onion)保存通訊,請求進一步指示(例如安裝新組件)。所有的7個SMB漏洞工具被下載到被感染的機器上,EternalRocks下一步就會掃描互聯網上的開放SMB端口,進而傳播到其他易受攻擊的機器。
  如何防禦?
  眼下,永恆之石雖然在不斷傳播,但還處在休眠狀態。這款病毒可能隨時會武器化,它的策略與WannaCry的手段如出一轍,先感染大量電腦再集中爆發。由於一直保持神秘,因此永恆之石到底感染了多少電腦現在還不清楚,同時它到底會成為什麼樣的攻擊武器也是個謎。
  江民安全專家建議,由於永恆之石的下一步動作暫時無法確定,用戶當務之急就是:
  1、 及時更新官方的系統補丁,關閉之前已經被公佈的端口。
  2、 江民殺毒軟件可對永恆之石樣本進行查殺,請及時更新江民殺毒軟件病毒庫,最大程度減小被病毒入侵的風險。
日期:2017/6/7 下午 02:30:52
  前期勒索病毒WannaCry的餘波還未消散,江民科技近期高度關注勒索病毒的發展態勢,整理研究國內外相關報告信息,發現並研究了EternalRocks病毒,該病毒中文譯名“永恆之石”。
 
專殺工具下載 (給非江民用戶使用,江民用戶僅需更新病毒碼)
 
  永恆之石病毒是什麼永恆之石和勒索病毒有什麼區別
  安全專家Miroslav Stampar第一時間發現永恆之石的出現,該病毒也通過Windows SMB的共享協議傳播,但是不像WannaCry蠕蟲使用了2個NSA攻擊工具,這個惡意軟件使用了7個。“永恆之石”沒有安全驗證開關,相比WannaCry更危險。以下是七個利用的漏洞和工具:
  · EternalBlue — SMBv1 exploit tool
  ·EternalRomance — SMBv1 exploit tool
  ·EternalChampion — SMBv2 exploit tool
  ·EternalSynergy — SMBv3 exploit tool
  ·SMBTouch — SMB reconnaissance tool
  ·ArchTouch — SMB reconnaissance tool
  ·DoublePulsar — Backdoor Trojan
  與WannaCry不同,現在永恆之石還處於安靜的潛伏狀態,感染一台電腦後,它會下載Tor(洋蔥路由)的個人瀏覽器並向病毒隱藏的服務器發信號。隨後就是24小時的潛伏期,在此期間病毒會按兵不動。但一天時間過去後,服務器會啟動,病毒開始下載並自我複制。EternalRocks會偽裝成WannaCry來欺騙安全研究人員,不僅是植入蠕蟲,它主要目的是獲得被感染計算機的控制權來方便將來發起的網絡攻擊。EternalRocks的功能是秘密執行,隱蔽性極高,感染系統後很難被檢測到,這就意味著安全專家的研究進度會被拖慢一天。
  EternalRocks介紹:
  江民科技整理研究國內外相關報告信息,以下是安全專家Miroslav Stampar對EternalRocks的介紹:
  MiroslavStampar在他的被感染的SMB蜜罐中發現了EternalRocks。EternalRocks使用的NSA漏洞,Stampar在推特上稱為“DoomsDayWorm”,具體如下:
  · EternalBlue — SMBv1 exploit tool
  · EternalRomance — SMBv1 exploit tool
  · EternalChampion — SMBv2 exploit tool
  · EternalSynergy — SMBv3 exploit tool
  · SMBTouch — SMB reconnaissance tool
  · ArchTouch — SMB reconnaissance tool
  · DoublePulsar — Backdoor Trojan
  SMBTouch和ArchTouch是SMB偵察工具,用來掃描公共互聯網上的開放SMB端口;EternalBlue、EternalChampion、EternalSynergy和EternalRomance則是利用SMB漏洞進行攻擊,而DoublePulsar是被用於在同一個網絡從一台被感染的計算機傳播蠕蟲到其他的易受攻擊的機器。
  EternalRocks的工作機制:
  結合安全專家Miroslav Stampar的文章,江民科技對EternalRocks的行為和工作機制進行了分析:
  EternalRocks安裝分以下兩個階段過程:
  第一步,EternalRocks在感染的計算機上下載Tor web瀏覽器,用來鏈接命令和控制服務器,該服務器部署在Tor網絡的Dark Web上。
  第二步,惡意軟件:UpdateInstaller.exe從互聯網下載必須的.net組件TaskScheduler和SharpZLib,同時釋放svchost.exe和taskhost.exe.
  據Miroslav Stampar宣稱,延遲24小時避開沙箱檢測,確保蠕蟲不被檢測到。24小時之後,EternalRocks使用上述的7種Windows SMB漏洞工具響應C&C服務。
  Svchost.exe用來下載,拆包和運行Tor,以及與C&C服務器(ubgdgno5eswkhmpy.onion)保存通訊,請求進一步指示(例如安裝新組件)。所有的7個SMB漏洞工具被下載到被感染的機器上,EternalRocks下一步就會掃描互聯網上的開放SMB端口,進而傳播到其他易受攻擊的機器。
  如何防禦?
  眼下,永恆之石雖然在不斷傳播,但還處在休眠狀態。這款病毒可能隨時會武器化,它的策略與WannaCry的手段如出一轍,先感染大量電腦再集中爆發。由於一直保持神秘,因此永恆之石到底感染了多少電腦現在還不清楚,同時它到底會成為什麼樣的攻擊武器也是個謎。
  江民安全專家建議,由於永恆之石的下一步動作暫時無法確定,用戶當務之急就是:
  1、 及時更新官方的系統補丁,關閉之前已經被公佈的端口。
  2、 江民殺毒軟件可對永恆之石樣本進行查殺,請及時更新江民殺毒軟件病毒庫,最大程度減小被病毒入侵的風險。
 
 
 
CopyRight  © 江民科技 1996 - 2009 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw