泄露的NSA黑客工具被用来攻击数千台易受攻击的Windows PC

上周，被称为影子经纪人的神秘黑客组织泄露了一套针对Windows XP、Windows Server 2003、Windows 7和8以及Windows 2012的Windows黑客工具，据称这些工具属于NSA的Equation group。

更糟的是什么？微软很快就淡化了安全风险，为所有被利用的漏洞发布了补丁，但不受支持的系统以及尚未安装补丁的系统仍然存在风险。

在过去几天里，多名安全研究人员对互联网进行了大规模扫描，发现全球数万台Windows计算机感染了病毒双脉冲星，一个疑似NSA间谍植入物，这是GitHub上发布的供任何人使用的免费工具的结果。

总部位于瑞士的安全公司Binary Edge的安全研究人员进行了一次互联网扫描，检测到超过107000台Windows计算机感染了DoublePulsar。

Errata Security首席执行官罗布·格雷厄姆（Rob Graham）进行的另一次扫描检测到大约41000台受感染的机器，而Below0day的研究人员进行的另一次扫描检测到超过30000台受感染的机器，其中大多数位于美国。

影响？DoublePulsar是一个后门，用于在已感染的系统上注入和运行恶意代码，并使用永恒蓝针对Microsoft Windows XP至Server 2008 R2上的SMB文件共享服务的漏洞。

因此，要破坏机器，它必须运行一个易受攻击的Windows OS版本，并且SMB服务暴露给攻击者。

DoublePulsar和EternalBlue都被怀疑是等式组工具，现在任何脚本小子都可以下载并用于对付易受攻击的计算机。

安装后，DoublePulsar利用被劫持的计算机投掷恶意软件、向在线用户发送垃圾邮件，并对其他受害者发起进一步的网络攻击。为了保持隐蔽性，后门不会将任何文件写入其感染的PC，从而防止其在被感染的PC重新启动后继续存在。

虽然微软已经修补了受影响Windows操作系统中的大部分漏洞，但那些没有修补的人很容易受到攻击，比如永恒蓝、永恒冠军、永恒协同、永恒浪漫、翡翠线和教育学者。

此外，仍在使用Windows XP、Windows Server 2003和IIS 6.0等报废平台的系统（这些平台不再接收安全更新）也容易受到恶意攻击。

由于黑客下载Shadow Brokers转储文件、使用周一发布的工具扫描互联网并进行黑客攻击大约需要几个小时，因此研究人员预计，更多易受攻击且未打补丁的计算机将成为DoublePulsar的受害者。

这条消息传出后，微软官员发表声明称：“我们怀疑这些报道的准确性，正在调查。”

同时，强烈建议尚未应用MS17-010的Windows用户尽快下载并部署补丁。