火絨安全實驗室發(fā)布報告顯示目前有蠕蟲病毒利用永恒之藍漏洞正在面向政府和企業(yè)及學(xué)校醫(yī)院等發(fā)動攻擊。永恒之藍漏洞的主要特點就是局域網(wǎng)瘋狂感染，因此內(nèi)網(wǎng)擁有較多設(shè)備的政企學(xué)校醫(yī)院成為攻擊的主要目標(biāo)。同時上述企事業(yè)機構(gòu)安全防范意識也相對薄弱，使用舊版系統(tǒng)和不經(jīng)常更新補丁讓漏洞始終暴露在黑客面前。

永恒之藍漏洞簡介：

永恒之藍漏洞是去年上半年由影子經(jīng)紀(jì)人公開的漏洞，該漏洞最初是美國國家安全局收集的但是被意外泄露。該漏洞可通過共享打印機使用的舊版SMB協(xié)議進行瘋狂感染，WannaCry勒索軟件就是利用該漏洞展開攻擊。然而這么長時間過去依然還有眾多電腦尚未安裝系統(tǒng)補丁，例如臺積電未修復(fù)永恒之藍被攻擊后損失17億元。

火絨發(fā)現(xiàn)的蠕蟲病毒：

火絨團隊在分析后認(rèn)為此蠕蟲病毒可追溯到去年六月甚至更早，同時該蠕蟲病毒至今仍保持非常活躍的更新。該蠕蟲病毒通過遠(yuǎn)程服務(wù)器和爬蟲功能收集局域網(wǎng)內(nèi)的地址，然后開始嗅探各個常用服務(wù)端口是否是開放的。包括RPC服務(wù)的135端口、數(shù)據(jù)庫使用的1433端口、FTP服務(wù)使用的21端口以及SMB協(xié)議使用的445端口等。若發(fā)現(xiàn)上述端口處于開放狀態(tài)則開始利用內(nèi)置的密碼詞典進行爆破，成功感染后則迅速侵襲到內(nèi)網(wǎng)所有機器。

預(yù)留后門程序執(zhí)行更多惡意操作：

當(dāng)該蠕蟲病毒成功侵入企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)后即開始瘋狂感染，在感染完成會在所有設(shè)備上植入后門程序。后門程序可連接黑客控制的遠(yuǎn)程服務(wù)器以便接收新的指令，黑客需要的話可以遠(yuǎn)程安裝勒索軟件和其他病毒。值得注意的是黑客目前尚未利用該蠕蟲病毒進行什么惡意操作，只是花費大量時間在全網(wǎng)傳播這款蠕蟲病毒。火絨安全實驗室認(rèn)為該黑客組織不斷更新并提高傳播量可能是為了在未來某個時間點發(fā)動大規(guī)模的網(wǎng)絡(luò)攻擊。建議企事業(yè)單位使用火絨安全軟件進行安全檢查，同時盡早更新操作系統(tǒng)補丁封堵永恒之藍等系列公開漏洞。