永恒之蓝

永恒之蓝

2020-08-03

2020-08-03

2 min read

IT

Virus

Hits 博主在某医院发现了大量永恒之蓝病毒，所以记录下了一些“可视化”情况，用于简单鉴别计算机是否感染永恒之蓝并予以清除。

永恒之蓝（英语：EternalBlue）是美国国家安全局开发的漏洞利用程序，于2017年4月14日被黑客组织影子掮客泄漏。该工具利用445/TCP端口的文件分享协议的漏洞进行散播。

尽管微软于2017年3月14日已经发布过Microsoft Windows补丁修补了这个漏洞，然而在5月12日WannaCry勒索软件利用这个漏洞传播时，很多用户仍然因为没有安装补丁而受害。

由于WannaCry的严重性，微软于2017年5月13日为已超过支持周期的Microsoft Windows XP、Microsoft Windows 8和Windows Server 2003发布了紧急安全更新，以阻止其散布造成更大的危害。

——摘自 《维基百科》永恒之蓝 词条

永恒之蓝手工很难清除，如有中毒迹象，请立即用杀毒软件进行查杀，并安装系统补丁！

释放并运行永恒之蓝工具包 病毒首先会释放一个工具包，路径为

C:\Windows\NetworkDistribution

此工具包会加载一个和系统默认进程一模一样的进程

svchost.exe # 通过查看进程文件路径就可发现非系统默认进程

不断生成并运行病毒文件 此工具包会不断生成四个病毒文件并创建对应的进程，即使清除了，过段时间又会生成（所以需要杀毒软件进行彻底的查杀）

C:\Windows\mssecsvc.exe

C:\Windows\mssecsvr.exe

C:\Windows\tasksche.exe

C:\Windows\qeriuwjhrf

防御方法安装系统补丁 XP 系统对应微软补丁号：KB4012598

其余系统版本安装：KB4012215 或 KB4012212（二者安装上其一即可）

安装杀毒软件 除 Win10 有自带杀毒软件外，其余系统版本为了安全请安装杀毒软件，牺牲性能，保障安全！杀毒软件注意实时更新，并时常杀毒。

关闭 139 及 445 端口 除此之外如有条件，建议关闭 139 及 445 等这些高危端口。