微软永恒之蓝补丁(微软向已停止技术支持的视窗平台提供安全补丁)

导读微软永恒之蓝补丁文章列表:1、微软向已停止技术支持的视窗平台提供安全补丁2、永恒之蓝挖矿蠕虫WannaMine特征、行为分析及清除3、重大预警！微软再爆核武级漏洞震网三代，微软

微软永恒之蓝补丁文章列表:

1、微软向已停止技术支持的视窗平台提供安全补丁
2、永恒之蓝挖矿蠕虫WannaMine特征、行为分析及清除
3、重大预警！微软再爆核武级漏洞震网三代，微软已发补丁
4、新型 PC 勒索病毒WannaRen开始传播：大部分杀毒软件无法拦截
5、WannaMine升级到V4.0版本，警惕感染！

微软向已停止技术支持的视窗平台提供安全补丁

新华社记者马丹

旧金山（CNFIN.COM / XINHUA08.COM）--继全球多个国家12日遭受一种勒索软件攻击之后，因事态严重，美国微软公司当日宣布采取非同寻常的安防措施，针对攻击所利用的“视窗”操作系统漏洞，为一些它已停止服务的“视窗”平台提供补丁。

这次勒索软件攻击波及至少74个国家和地区。电脑被这种勒索软件感染后，其中文件会被加密锁住，支付攻击者所要求的赎金后才能解密恢复。网络安全专家说，这种勒索软件利用了“视窗”操作系统的一个名为“永恒之蓝”的漏洞。

微软安全响应中心在官方博客中就这次网络攻击公布客户指南说，微软正在采取所有可能的行动保护客户。微软表示，它已在3月发布了安全补丁，修复上述漏洞。运行了这一补丁的用户可免受利用该漏洞的网络攻击。尚未安装这一补丁的用户应立即行动。对于使用“视窗”所附杀毒软件WindowsDefender的用户，微软在12日早些时候发布了一个针对这次网络攻击的安全补丁。

微软说，有些用户还在使用微软已不再提供技术支持的“视窗”版本，这意味着这些用户不能获取微软在3月发布的补丁。鉴于用户可能受到的潜在影响，微软决定向这些“视窗”平台提供3月发布的补丁，包括“视窗XP”、“视窗8”和“视窗”服务器2003在内的用户可下载这款补丁。

微软称，上述决定是“极不寻常的步骤”，作出这一决定基于对形势的评估，也体现了保护整个客户生态系统的原则。

据微软说，运行“视窗10”的用户不是12日勒索软件攻击的目标。

此外，微软还告诫说，当天有些攻击采用了钓鱼式手段，即向用户发送携带恶意软件的电子邮件附件。用户在打开来源不可信或不了解的附件时应谨慎小心。（完）

中国金融信息网

更多精彩资讯，请来金融界网站(www.jrj.com.cn)

永恒之蓝挖矿蠕虫WannaMine特征、行为分析及清除

文章目录

背景介绍

病毒清除方法

1. 修复漏洞，杜绝再次感染

1.1 执行以下脚本禁用445及部分端口，杜绝被再次感染

1.2 安装微软针对远程代码执行漏洞的补丁

2. 永恒之蓝wannacry勒索蠕虫相关进程及文件清除

3. 永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除永恒之蓝挖矿蠕虫WannaMine特征、行为分析永恒之蓝挖矿蠕虫WannaMine特征

特征1：出现以下文件及目录

特征2：出现两个spoolsv.exe进程

特征3：打开任务管理器时CPU占用下降，关闭后cpu占用又升高，升高时会有一个rundll32.exe进程启动蠕虫行为分析及清除脚本

步骤1：使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动

步骤2：查看 netsvcs 配置的自启动服务列表发现有一个新增的wmassrv

步骤3：查看该服务信息

步骤4：到此猜测如果把该服务关了是否spoolsv.exe等进程就不会再被创建，进行尝试

步骤5：编写脚本停服务、删除服务、杀进程，及相关文件(务必以管理员权限)

步骤6：重启机器检测，再未发现异常症状

背景介绍

永恒之蓝是指2017年5月13日起，全球范围内爆发的基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

百度百科-永恒之蓝

百度百科-WannaCry

永恒之蓝挖矿蠕虫WannaMine就是利用永恒之蓝漏洞进行传播，与WannaCry勒索病毒不同的是，其不再勒索，而是长期潜伏挖矿，会悄悄的耗尽计算机资源。

病毒清除方法

1. 修复漏洞，杜绝再次感染

1.1 执行以下脚本禁用445及部分端口，杜绝被再次感染

netsh ipsec static delete policy name = SECCPP netsh ipsec static add policy name = SECCPP description=安全策略201705netsh ipsec static add filteraction name = Block action = blocknetsh ipsec static add filterlist name = SECCPFnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 135 protocol = TCPnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 137 protocol = TCPnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 138 protocol = TCPnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 139 protocol = TCPnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 445 protocol = TCPnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 137 protocol = UDPnetsh ipsec static add filter filterlist = SECCPF srcaddr=Any dstaddr = Me dstport = 138 protocol = UDPnetsh ipsec static add rule name=SECCPR policy=SECCPP filterlist=SECCPF filteraction=Blocknetsh ipsec static set policy name = SECCPP assign = y pauseexit12345678910111213141516

1.2 安装微软针对远程代码执行漏洞的补丁

MS17-010

2. 永恒之蓝wannacry勒索蠕虫相关进程及文件清除

执行以下脚本进行清除：

@echo off>nul 2>&1 "%systemROOT%System32cacls.exe" "%SYSTEMROOT%system32configsystem"if '%errorlevel%' NEQ '0' (goto UACPrompt) else ( goto gotAdmin ):UACPromptecho Set UAC = CreateObject^("Shell.Application"^) > "%temp%getadmin.vbs"echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%getadmin.vbs""%temp%getadmin.vbs"exit /B:gotAdminif exist "%temp%getadmin.vbs" ( del "%temp%getadmin.vbs" )cd /d "C:/Windows/"taskkill /im mssecsvc.exe /ftaskkill /im tasksche.exe /fdel mssecsvc.exe /qdel qeriuwjhrf /qdel tasksche.exe /qtaskkill /im mssecsvc.exe /ftaskkill /im tasksche.exe /fdel mssecsvc.exe /qdel qeriuwjhrf /qdel tasksche.exe /q123456789101112131415161718192021222324252627

3. 永恒之蓝WannaMine挖矿蠕虫相关进程及文件清除

执行以下脚本进行清除：

@echo off>nul 2>&1 "%SYSTEMROOT%system32cacls.exe" "%SYSTEMROOT%system32configsystem"if '%errorlevel%' NEQ '0' (goto UACPrompt) else ( goto gotAdmin ):UACPromptecho Set UAC = CreateObject^("Shell.Application"^) > "%temp%getadmin.vbs"echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%getadmin.vbs""%temp%getadmin.vbs"exit /B:gotAdminif exist "%temp%getadmin.vbs" ( del "%temp%getadmin.vbs" )sc stop wmassrvsc delete wmassrvtaskkill /IM spoolsv.exe /ftaskkill /IM rundll32.exe /fwmic process get ProcessId,executablepath | findstr "C:WindowsSpeechsTracing" > 1.txtfor /f "delims=" %%i in ("1.txt") do (for /f "tokens=2" %%m in (%%i) do (taskkill /PID %%m /f))del 1.txtdel C:Windowssystem32wmassrv.dlldel C:Windowssystem32HalPluginsServices.dlldel C:WindowsSystem32EnrollCertXaml.dlldel C:WindowsSpeechsTracingspoolsv.exedel C:WindowsSpeechsTracingMicrosoft*.exerd /s /q C:WindowsSpeechsTracing12345678910111213141516171819202122232425262728

永恒之蓝挖矿蠕虫WannaMine特征、行为分析

该文章对蠕虫原理进行了专业描述，可论证上述结论的正确性：WMAMiner挖矿蠕虫分析

永恒之蓝挖矿蠕虫WannaMine特征

特征1：出现以下文件及目录

C:Windowssystem32HalPluginsServices.dllC:WindowsSystem32EnrollCertXaml.dllC:WindowsSpeechsTracingC:WindowsSpeechsTracingMicrosoft1234

特征2：出现两个spoolsv.exe进程

出现一个非system32目录的svchost.exe进程

特征3：打开任务管理器时CPU占用下降，关闭后cpu占用又升高，升高时会有一个rundll32.exe进程启动

如下：

蠕虫行为分析及清除脚本

步骤1：使用ProcessMon查看spoolsv、rundll32进程都是被以下进程启动

步骤2：查看 netsvcs 配置的自启动服务列表发现有一个新增的wmassrv

步骤3：查看该服务信息

步骤4：到此猜测如果把该服务关了是否spoolsv.exe等进程就不会再被创建，进行尝试

发现关了该服务后，手动杀掉spoolsv.exe rundll32.exe进程都不会再自动启动。至此回忆该服务为其伪装的守护服务。

步骤5：编写脚本停服务、删除服务、杀进程，及相关文件(务必以管理员权限)

步骤6：重启机器检测，再未发现异常症状

确认采用上述脚本可彻底清除挖矿蠕虫。

上述脚本可用于快速清除挖矿蠕虫，为了安全起见，还是应该及时打系统补丁并安装杀毒软件，希望本文对你有用。

重大预警！微软再爆核武级漏洞震网三代，微软已发补丁

北京时间6月14日，本月的微软补丁今天发布，经过360安全专家研判确认以下两个漏洞需要引起高度重视，采取紧急处置措施： LNK文件远程代码执行漏洞（CVE-2017-8464）和Windows搜索远程命令执行漏洞（CVE-2017-8543）。

根据微软最新公告，LNK文件远程代码执行漏洞（CVE-2017-8464）已经发现被利用且具有国家背景，黑客可以利用此漏洞通过U盘、光盘、网络共享等途径触发漏洞，完全控制用户系统，对基础设施等隔离网极具杀伤力，危害堪比前两代震网攻击。

该漏洞是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上存在漏洞文件的U盘时，不需要任何额外操作，漏洞攻击程序就可以借此完全控制用户的电脑系统。该漏洞也可能籍由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击。

该漏洞的成因与2010年“伊朗震网（Stuxnet）”事件中所使用的穿透核设施中隔离网络的Windows安全漏洞CVE-2010-2568非常相似。它可以很容易地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网络武器。目前据可靠消息，此漏洞被已被秘密利用，鉴于此漏洞与震网漏洞原理及威胁的高度相似性，我们将此漏洞命名为“震网三代”漏洞。

另一个Windows搜索远程代码执行漏洞（CVE-2017-8543），涉及Windows操作系统中Windows搜索服务（Windows Search Service：Windows中允许用户跨多个Windows服务和客户机搜索的功能）的一个远程代码执行问题。Search服务默认开启，使它与之前NSA永恒系列SMB漏洞几乎有相同的影响面。目前据微软公告所述，此漏洞被用于国家级的针对性攻击，特别是针对服务器需要提升处理优先级到最高。

这次微软也同地发布了针对Windows XP、Windows Server 2003等之前已经不再支持的老操作系统版本的对应补丁，甚至包括了上次Shadow Brokers公布的除永恒之蓝系列漏洞以外的其他几个未修补漏洞，这个补丁发布机制的修改也许是为了避免上月发生的WannaCry蠕虫勒索事件的重演。Window XP/2003的补丁更新可以在微软下载中心找到，但不会自动通过Windows推送。

影响范围

§ LNK文件远程代码执行漏洞（CVE-2017-8464）

该漏洞影响从Windows 7到最新的Windows 10操作系统，漏洞同样影响操作系统，但不影响Windows XP/2003系统。具体受影响的操作系统列表如下：

Windows 7 (32/64位)

Windows 8 (32/64位)

Windows 8.1(32/64位)

Windows 10 (32/64位，RTM/TH2/RS1/RS2)

Windows Server 2008 (32/64/IA64)

Windows Server 2008 R2 (64/IA64)

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Vista

§ Windows搜索服务远程命令执行漏洞（CVE-2017-8543）

具体受影响的操作系统列表如下：

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1511 for x64-based Systems

Windows 10 Version 1511 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows XP

Windows 2003

Windows Vista

目前微软已经针对除了Windows 8系统外的操作系统提供了官方补丁，360安全监测与响应中心提醒用户尽快下载补丁修复，360企业安全提供一键式修复工具。

微软官方补丁下载：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464

Windows搜索远程命令执行漏洞（cve-2017-8543）目前微软已经提供了官方补丁。

微软官方补丁下载地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

360企业安全发布“震网三代”一键式漏洞修复工具

360企业安全集团天擎团队发布的“震网三代”漏洞补丁修复工具支持对LNK文件远程代码执行漏洞（CVE-2017-8464）和 Windows搜索远程命令执行漏洞（CVE-2017-8543）进行一键式检测与修复。

下载地址：http://b.360.cn/other/stuxnet3fixtool

360天擎用户升级最新的漏洞补丁库（版本1.0.1.2830）即可扫描和修复微软6月份推送的包含CVE-2017-8464和CVE-2017-8543在内的95个补丁。

请点击此处输入图片描述请点击此处输入图片描述

360安全监测与响应中心也将持续关注该事件进展，并第一时间为您更新该漏洞信息。

关于本次事件的进展，可以访问以下地址获取最新信息：

http://b.360.cn/about/shownews/57?type=about_news

新型 PC 勒索病毒WannaRen开始传播：大部分杀毒软件无法拦截

近日网络上出现了一种名为“WannaRen”的新型勒索病毒，与此前的“WannaCry”的行为类似，加密Windows系统中几乎所有文件，后缀为.WannaRen，赎金为0.05个比特币。

图自360社区

目前病毒存在两个变体，区别仅为通过文字或图片发送勒索信息，语言为繁体中文，比特币地址相同，基本可确定作者为同一人。

图源水印

据贴吧和360社区反馈的消息来看，感染过程中360等杀毒软件未报毒，第一时间手动查杀后电脑依然被感染。有反馈称系统安装了微软”永恒之蓝“补丁后仍会被感染。

此外，根据知乎专栏作者Arision.Y更新的消息，此病毒并非利用永恒之蓝漏洞，大部分杀毒软件无法拦截，只有诺顿能够拦截（非广）但网络要求较高。

温馨提示，平时（尤其是近期）不要下载及打开来路不明的文件。

WannaMine升级到V4.0版本，警惕感染！

近日，多家医疗机构反馈大量主机和服务存在卡顿和蓝屏现象，深信服安全团队研究发现，该现象源于感染挖矿病毒WannaMine最新变种。

此病毒变种，是基于WannaMine3.0改造，又加入了一些新的免杀技术，传播机制与WannaCry勒索病毒一致（可在局域网内，通过SMB快速横向扩散），故我们将其命名WannaMine4.0。

由于近日短时间有多家医疗机构感染，传播速度快，未来感染面很可能与原始变种WannaMine1.0、WannaMine2.0和WannaMine3.0一样大。深信服建议广大用户做好安全防护措施，防范WannaMine4.0 入侵。

病毒名称：WannaMine4.0

病毒性质：挖矿蠕虫

影响范围：国内已有多家医疗机构受感染，未来可能影响多行业用户

危害等级：高危

传播方式：传播机制与WannaCry勒索病毒一致，可在局域网内，通过SMB快速横向扩散。

病毒描述

通过对捕获的样本进行分析，发现其接入站点已变更为totonm.com。经查验，这是一个2019年3月17日刚申请注册的域名。

病毒编译时间为2019年3月18日，也就是说17号注册域名，18号编译好病毒样本，并开始传播病毒，深信服于20号，国内首家发现此新型变种。

01 攻击场景

此次攻击，沿用了WannaMine3.0的精心设计，涉及的病毒模块多，感染面广，关系复杂。

所不同的是，原始“压缩包”已经变为rdpkax.xsl，其含有所需要的所有攻击组件。此变种与之前3.0版本一样，同样做了免杀。rdpkax.xsl是一个特殊的数据包，只能病毒本身自行解密分离出各个组件，其组件包含“永恒之蓝”漏洞攻击工具集（svchost.exe、spoolsv.exe、x86.dll/x64.dll等）。

该变种的病毒文件，释放在下列文件目录中：

C:WindowsSystem32rdpkax.xsl

C:WindowsSystem32dllhostex.exe

C:WindowsSystem32ApplicationNetBIOSClient.dll

C:WindowsSysWOW64ApplicationNetBIOSClient.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

其攻击顺序为：

1.主服务为ApplicationNetBIOSClient（随机组合生成）,对应动态库为ApplicationNetBIOSClient.dll（由系统进程svchost.exe加载），每次都进行开机启动，启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行445端口扫描，确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe（另一个病毒文件）。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击（目的IP由第2步确认），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门）安装后门，加载payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）执行后，负责将rdpkax.xsl从本地复制到目的IP主机，注册ApplicationNetBIOSClient主服务，再解密文件，启动spoolsv执行攻击（每感染一台，都重复步骤1、2、3、4）。

02 组合变形与免杀

WannaMine4.0与早期版本相比，最强特征是加了组合变形与免杀。

组合变形表现为主服务模块由下列字符串随机组合生成：

其中字符串列表1为：

Windows、Microsoft、Network、Remote、Function、Secure、Application

字符串列表2为：

Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

字符串列表3为：

Service、Host、Client、Event、Manager、Helper、System

生成的加密数据包名后缀列表为：

xml、log、dat、xsl、ini、tlb、msc

比如前面举例的主服务模块 ApplicationNetBIOSClient由字符串1 Application 字符串2 NetBIOS 字符串3 Client 生成。动态库而随着主服务模块变化而变化。

03 挖矿

WannaMine4.0与早期WannaMine家族一样，瞄准了大规模的集体挖矿（利用了“永恒之蓝”漏洞的便利，迅速使之在局域网内迅猛传播），挖矿主体病毒文件为dllhostex.exe。也正是因为利用了“永恒之蓝”漏洞攻击，除了中招主机业务卡顿之外，还有可能造成蓝屏，极大威胁用户业务安全。

其挖矿程序连接矿池为cake.pilutce.com:443。

获取到相应的数据包，如下所示：

解决方案

病毒检测查杀：

1、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测：

病毒防御：

1、及时给电脑打补丁，修复漏洞，打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁。

补丁下载地址为：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件，不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限，比如445等网络共享端口。

5、深信服下一代防火墙用户，建议升级到AF805版本，并开启SAVE安全智能检测引擎，以达到最好的防御效果。

6、使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知下一代防火墙 EDR，对内网进行感知、查杀和防护。

咨询与服务

您可以通过以下方式联系我们，获取关于

WannaMine的免费咨询及支持服务：

1）拨打电话400-630-6430转6号线（已开通专线）

2）关注【深信服技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3）PC端访问深信服区

bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

免责声明：本文由用户上传，如有侵权请联系删除！