「安全通告」新版“LemonDuck”搭载“永恒之蓝”，新增EXE攻击模块惹人关注(7)

然后安装一个计划任务“blackball”和一个随机名计划任务，定期下载和执行a.jsp继续下载和执行挖矿和攻击模块：

同时会将“永恒之蓝”下载器历史版本安装的计划任务“Rtsa”、“Rtsa1”、“Rtsa2”删除，封闭445和135端口，添加防火墙规则允许访问和监听65529端口并禁止SMB的压缩功能：

亚信安全教你如何防范
不要点击或打开来源不明的邮件、附件以及邮件中的链接；采用高强度的密码，避免使用弱口令密码，并定期更换密码；打开系统自动更新，并检测更新进行安装；针对使用445端口的业务，进行权限限制；保持安全产品的部署及相关组件的更新；如无需使用，禁用PowerShell功能；系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新(4013389)补丁程序详细信息，参考链接：https：//technet.microsoft.com/library/security/MS17-010 XP和部分服务器版WindowsServer2003特别安全补丁，详细信息请参考链接：https：//blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁：