锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
NSA后门程序DoublePulsar的清理工具下载

作者: 佚名  日期:2017-05-02 16:39:42   来源: 本站整理

  Shadow Brokers组织泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统漏洞进行恶意代码注入。微软官方目前仍拒绝承认此次 过万Windows计算机被NSA后门程序感染 ,而这起事件的研究空缺正由私人研究员接手处理。最新的进展是在本周二,一种可远程卸除DoublePulsar后门的安全工具已被开放在GitHub上,用户可以自行下载,进行检测并进行相关操作。

影响持续扩大

在上周五的傍晚,微软官方发布了申明,称他们对多起互联网范围内的扫描检测所呈现的从30,000至100,000数量的计算机设备受到后门程序影响的报告结果表示质疑。当然,这个声明并没有提供任何基于事实基础的质疑,官方也未能对到周二为止的数据更新作出回应。截止到周末,Below0day发布最新的扫描结果显示56,586台Windows设备受到影响,在三天前的结果30,626台的基础上增长了85%。

在上周其他的独立检测的报告中,以上结果的数据结果稍微偏低。而在周一的时候,Rendition Infosec发布了一篇 博客 称DoublePulsar感染案例正在上升,其研究人员确定扫描结果是真实反应实际情况的。

Rendition创始人Jake Williams说:

这个数字只是冰山一角,我确定感染数量会超过120,000。

使用检测工具卸除后门程序

在周二的时候,Countercept安全公司对于上周发布的DoublePulsar检测脚本进行了更新。用户可以从网上远程卸除任意一台感染设备上的植入程序。研究员Kevin Beaumont称检测到DoublePulsar的过程包含了发送一系列的SMB——服务器信息块协议的缩写——到连接互联网的计算机设备上。通过改变传输数据中的两个字节,该用户可以从任何检测出感染的设备上卸除程序。当然,这个脚本并不是清理受损设备的唯一方法。由于DoublePulsar具备较高的隐匿性,不会在感染设备的硬盘上写入任何文件。

正如前篇报道中所提及的,由于DoublePulsar是黑客从NSA处获取的一种核武级别的植入程序。而微软出于某种未能解释的原因,正好在DoublePulsar漏洞工具发布一月前给出了相应的修补程序 。但 这个后门程序能够隐匿自身,并持续地保持机器与攻击者之间的通信交流,通过CNC服务器远程执行攻击者的命令。

使用第三方工具的问题

而在周二发布的一则 声明 中,微软发言人称:

安装最新系统程序的用户将不会受到此恶意软件的威胁,因为这个后门程序只能运行在受感染的设备上。所以我们鼓励客户上网时践行良好的使用习惯,包括谨慎点击各种网页链接,不随意打开未知文件或接受文件传输。

但对于没有安装三月份的最新微软补丁的用户而言,在新一轮的Shadow Brokers事件中实际上很容易受到0day exploit攻击。所以使用最新的Countercept脚本大规模地卸除感染设备中的后门软件,几乎将是无可避免的。但如果使用者对设备没有所有权的话,这样的行动肯定在大多数的司法管辖区受到刑事或民事诉讼。

即便如此,从DoublePulsar中“脱险”的设备可能还会感染到其他的恶意程序,大家真的需要格外谨慎地对待此次事件。在Microsoft保持缄默的当下,这个工具还是毫无疑问地会成为那些管理大批老式电脑的管理员们的有力工具!

工具下载地址 : https://github.com/countercept/doublepulsar-detection-script



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等