Защищаемся от модифицированного DoublePulsar
Запись от AlexZir размещена 14.10.2019 в 17:43
На рабочем ноутбуке антивирус начал выдавать сообщения о заблокированных атаках из пула IP-адресов 100.65.x.x, принадлежащих американскому провайдеру.
При просмотре угрозы выяснилось, что для атаки использовался модифицированный DoublePulsar.B, который, в отличие от оригинального эксплойта, успешно работает на современных операционных системах Win8.1 и Win10.
Судя по названию угрозы: эксплойт SMB/Exploit.DoublePulsar.B, данный вредитель используется в качестве бэкдора при помощи устаревшего протокола SMB1.0.
На препарируемом ноутбуке этот протокол использовался для совместимости со старым софтом, поэтому не был отключен согласно рекомендациям от мелкомягких.
Лечение системы было следующим:
По этой инструкции было скачано обновление безопасности, выпущенное еще в марте 2017 года (MS17-010). Затем отключаем небезопасный протокол SMB1 (Панель управления, Программы, Включение и отключение компонентов Windows, в списке находим "Поддержка общего доступа к файлам SMB 1.0/CIFS" и снимаем флажок напротив него).
Перезагружаем компьютер. Накатываем обновление безопасности MS17-010 (для Win8.1 это пакет обновлений KB4012213). Опять перезагружаем компьютер и радуемся отсутствию аллертов от антивируса.
Для успокоения совести можно и нужно ещё просканировать систему в режиме глубокого сканирования, но это само собой разумеется и описывать процесс не буду.
При просмотре угрозы выяснилось, что для атаки использовался модифицированный DoublePulsar.B, который, в отличие от оригинального эксплойта, успешно работает на современных операционных системах Win8.1 и Win10.
Судя по названию угрозы: эксплойт SMB/Exploit.DoublePulsar.B, данный вредитель используется в качестве бэкдора при помощи устаревшего протокола SMB1.0.
На препарируемом ноутбуке этот протокол использовался для совместимости со старым софтом, поэтому не был отключен согласно рекомендациям от мелкомягких.
Лечение системы было следующим:
По этой инструкции было скачано обновление безопасности, выпущенное еще в марте 2017 года (MS17-010). Затем отключаем небезопасный протокол SMB1 (Панель управления, Программы, Включение и отключение компонентов Windows, в списке находим "Поддержка общего доступа к файлам SMB 1.0/CIFS" и снимаем флажок напротив него).
Перезагружаем компьютер. Накатываем обновление безопасности MS17-010 (для Win8.1 это пакет обновлений KB4012213). Опять перезагружаем компьютер и радуемся отсутствию аллертов от антивируса.
Для успокоения совести можно и нужно ещё просканировать систему в режиме глубокого сканирования, но это само собой разумеется и описывать процесс не буду.
Всего комментариев 0
