安全動態(tài)

關(guān)于近期蠕蟲病毒傳播趨勢上升的風(fēng)險提示

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-05-28    瀏覽次數(shù):
 

信息來源:CNCERT


        在Wannacry蠕蟲事件發(fā)生之后,CNCERT對“永恒之藍(lán)”SMB漏洞攻擊進(jìn)行了持續(xù)監(jiān)測。在Wannacry蠕蟲傳播的初期,發(fā)起SMB漏洞攻擊嘗試的主機(jī)數(shù)量(很可能已感染蠕蟲)呈現(xiàn)下降趨勢,而在最近幾日,發(fā)起SMB漏洞攻擊嘗試的主機(jī)數(shù)量又出現(xiàn)了明顯上升的趨勢?,F(xiàn)將有關(guān)情況通報如下:

        綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果,通過SMB漏洞傳播的蠕蟲病毒中,除具備勒索軟件功能的變種外,還有一些變種具備遠(yuǎn)程控制功能但沒有勒索軟件功能,而感染了后者的用戶一般不易覺察,難以及時采取防護(hù)和處置措施,因此SMB漏洞攻擊次數(shù)上升可能標(biāo)志著出現(xiàn)新的蠕蟲變種依然在默默傳播,我國互聯(lián)網(wǎng)安全仍然面臨著巨大風(fēng)險。CNCERT再次提醒廣大互聯(lián)網(wǎng)用戶及時做好應(yīng)急防護(hù)措施,詳細(xì)方法見CNCERT于5月30日發(fā)布的《關(guān)于防范Windows操作系統(tǒng)勒索軟件Wannacry的情況通報》(http://www.cert.org.cn/publish/main/8/2017/20170513170143329476057/20170513170143329476057_.html)。

        在此提醒廣大用戶及時采取如下方法進(jìn)行自查:

        1、在以下目錄出現(xiàn)如下文件之一:

            c:windowsmssecsvc.exe

            c:windowstasksche.exe

            c:windowsqeriuwjhrf

            c:program filesmicrosoft updatesupdateinstaller

            c:program filesmicrosoft updatessvchost.exe

            c:program filesmicrosoft updatestorunzip.exe

        2、在磁盤任意位置出現(xiàn)以下七個文件之一:

            architouch.inconfig.xml

            doublepulsar.inconfig.xml

            eternalblue.inconfig.xml

            eternalchampion.inconfig.xml

            eternalromance.inconfig.xml

            eternalsynergy.inconfig.xml

            smbtouch.inconfig.xml

        3、利用進(jìn)程監(jiān)視工具,發(fā)現(xiàn)名為tasksche.exe的進(jìn)程。

        4、在注冊表中搜索“EternalRocks”關(guān)鍵字。

        若主機(jī)中出現(xiàn)上述情況之一,即可判斷當(dāng)前系統(tǒng)已被蠕蟲病毒感染。

        CNCERT后續(xù)將密切監(jiān)測和關(guān)注該勒索軟件對境內(nèi)黨政機(jī)關(guān)和重要行業(yè)單位以及高等院校的攻擊情況,同時聯(lián)合安全業(yè)界對有可能出現(xiàn)的新的攻擊傳播手段、惡意樣本變種進(jìn)行跟蹤防范。請國內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援,請聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。


 
 

上一篇:構(gòu)建積極防御的大數(shù)據(jù)安全生態(tài)——第三屆中國大數(shù)據(jù)安全高層論壇在貴陽成功召開

下一篇:2017年05月28日 聚銘安全速遞