下载并安装微软官方补丁: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
检测1、本地检查病毒感染主机后,会创建C:\Program Files\Microsoft Updates\目录,生成多个病毒文件,如下图:
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,病毒会创建2个计划任务ServiceHost和TaskHost,如下图:在主机上发现以上特征,即可判断已经感染EternalRocks病毒。
2、远程扫描管理员可使用绿盟极光远程安全评估系统RSAS对网络内未安装补丁及中了Doublepulsar后门的主机进行远程检测,如下图:
隔离断网检测阶段发现的已感染病毒的主机应立即进行断网,避免病毒进一步在网络内扩散。封锁端口对于未安装MS17-010补丁的和存在Doublepulsar后门的主机,应立即封锁Windows SMB服务TCP 445端口,方法如下:1、开始—控制面板—Window防火墙,点击左侧高级设置,点击左侧入站规则,再点击右侧新建规则创建防火墙入站规则:
2、在新建入站规则向导中,针对协议和端口步骤,选择对端口过滤。
3、选择TCP协议和特定本地端口:445
4、在操作步骤中,选择阻止连接。
5、在应用该规则处,勾选域、专用以及公用选项。
7、规则创建完成后,可看到入站规则中存在445阻断规则。
除使用Windows防火墙封锁TCP 445端口外,还可以直接禁用Server服务,如下:1.点击开始菜单—运行,输入msc,进入服务管理器,找到server服务。
2、双击将启动类型修改为禁用,点击停止按钮,将服务状态修改为已停止。新启动主机即可彻底关闭TCP 445端口。
进入开始菜单—控制面板—管理工具—计划任务,展开任务计划程序库—Microsoft—Windows,删除计划任务ServiceHost和TaskHost。
停止以下进程。 C:\Program Files\Microsoft Updates\svchost.exe C:\Program Files\Microsoft Updates\taskhost.exe C:\Program Files\Microsoft Updates\torunzip.exe
删除C:\Program Files\Microsoft Updates\目录及其中所有文件。