2017年5月17日，克羅地亞安全專家（Miroslav Stampar）發(fā)現(xiàn)了一種基于類似WannaCry的蠕蟲病毒，也是通過NSA武器庫中的漏洞進行傳播，該蠕蟲被命名為EternalRocks（永恒之石）， “永恒之石”沒有安全驗證開關，相比WannaCry更危險，它不像WannaCry蠕蟲使用了2個NSA攻擊工具，這個惡意軟件使用了7個以SMB為中心的NSA工具來感染那些在線且暴露SMB端口的計算機，一旦該蠕蟲獲得了入侵點，它將使用另一個NSA工具DOUBLEPULSAR傳播到新的那些易受攻擊的機器上去。 

 
“永恒之石”（EternalRocks）蠕蟲細節(jié)： 

 

該蠕蟲入侵同樣是利用Windows系統(tǒng) SMB 協(xié)議存在的漏洞(MS17-010)，涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系統(tǒng)，微軟已經發(fā)布官方安全補丁MS17-070，對漏洞進行了修復。

檢測方式 

病毒感染主機后，會創(chuàng)建C:Program FilesMicrosoft Updates目錄，生成多個病毒文件，如下圖： 

 

進入開始菜單—控制面板—管理工具—計劃任務，展開任務計劃程序庫—Microsoft—Windows，病毒會創(chuàng)建2個計劃任務ServiceHost和TaskHost，如下圖： 

 

 

如何處理和防御？ 

切斷網絡
 
檢測階段發(fā)現(xiàn)的已感染病毒的主機應立即進行斷網，避免病毒進一步在網絡內擴散。 
關閉TCP 445高危端口
 
對于未安裝MS17-010補丁的和存在Doublepulsar后門的主機，立即使用ECS安全組公網入和出方向策略封鎖Windows SMB服務TCP 445端口。 
安裝補丁
 
下載安裝MS17-010補丁：https://technet.microsoft.com/zh-cn/library/security/MS17-010