【重要安全预警】“永恒之石”(EternalRocks)蠕
2017年5月17日,克罗地亚安全专家(Miroslav Stampar)发现了一种基于类似WannaCry的蠕虫病毒,也是通过NSA武器库中的漏洞进行传播,该蠕虫被命名为EternalRocks(永恒之石), “永恒之石”没有安全验证开关,相比WannaCry更危险,它不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个以SMB为中心的NSA工具来感染那些在线且暴露SMB端口的计算机,一旦该蠕虫获得了入侵点,它将使用另一个NSA工具DOUBLEPULSAR传播到新的那些易受攻击的机器上去。 建议所有windows用户及时关闭端口、安装补丁,并提高警惕保持关注。
2017年5月17日,克罗地亚安全专家(Miroslav Stampar)发现了一种基于类似WannaCry的蠕虫病毒,也是通过NSA武器库中的漏洞进行传播,该蠕虫被命名为EternalRocks(永恒之石), “永恒之石”没有安全验证开关,相比WannaCry更危险,它不像WannaCry蠕虫使用了2个NSA攻击工具,这个恶意软件使用了7个以SMB为中心的NSA工具来感染那些在线且暴露SMB端口的计算机,一旦该蠕虫获得了入侵点,它将使用另一个NSA工具DOUBLEPULSAR传播到新的那些易受攻击的机器上去。 
“永恒之石”(EternalRocks)蠕虫细节: 
该蠕虫入侵同样是利用Windows系统 SMB 协议存在的漏洞(MS17-010),涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系统,微软已经发布官方安全补丁MS17-070,对漏洞进行了修复,阿里云提醒您需要关注并自查。
检测方式
病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,如下图: 
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHost和TaskHost,如下图: 
如何处理和防御?
切断网络
检测阶段发现的已感染病毒的主机应立即进行断网,避免病毒进一步在网络内扩散。
关闭TCP 445高危端口
对于未安装MS17-010补丁的和存在Doublepulsar后门的主机,立即使用ECS安全组公网入和出方向策略封锁Windows SMB服务TCP 445端口。
安装补丁
下载安装MS17-010补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010
更多处理方案点击链接。
