基于SMB文件共享传播的新型蠕虫病毒攻击的紧急防范

Posted 2020-09-18

   2017年5月12日起，在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，这是通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

   目前发现的蠕虫会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，就会被在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。

  企业内网、IDC、教育网络等所有开放445 SMB服务端口且没有及时安装安全补丁的客户端和服务器系统都将面临此威胁。企业内网将是受本次攻击事件影响的重灾区。

  紧急防范办法：

  目前利用漏洞进行攻击传播的蠕虫开始泛滥，为企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和防火墙之类的设备，请升级设备的检测规则到最新版本，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

检查系统是否开启Server服务的方法：

1、打开 开始 按钮，点击 运行，输入cmd，点击确定
2、输入命令：netstat -an 回车
3、查看结果中是否还有445端口

如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：

    点击 开始 按钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd图标，选择 以管理员身份运行 ，在出来的 cmd 窗口中执行 “net stop server”命令，会话如下图：

还需停止

net stop rdr

net stop srv 

net stop netbt 

根治手段

    目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。对于Win7以下版本的操作系统，微软已经不提供安全补丁支持，可以使用建议的紧急防范办法来处理。

微软补丁下载及查看地址：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

快速应急处置建议   

    对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe

本文出自 “滴水穿石孙杰” 博客，转载请与作者联系！