周末刚起就被一条蠕虫刷屏了：

顿时睡意全无，破天荒的起来修补漏洞，毕竟我的安全意识还是比较强的。

打开我的Mac才发现哪里有点儿不对。。。我靠。。。我用的是乔老爷子的系统。。。而漏洞是微软的。。。【科普：Mac使用的是OS系统，和Unix系统是近亲，使用了Unix的部分组件。】

本想补个回笼觉，可是想想还是起来研究一下这个问题。

首先，让我们先看看这条蠕虫的“妈妈”是谁，也就是它利用的是哪个漏洞，漏洞的名称是MS17-010，具体介绍如下：

其实这厮在3月14日就被微软公布并提出了修改措施，但是，漏洞真正被关注是在5月12日，可见黑客对0day漏洞的利用也是需要一定时间的。接下来微软又介绍了存在这种漏洞的平台，由于此漏洞利用的是微软的ＳＭＢ（Server Message Block）协议，【科普：一种网络文件共享协议，它允许应用程序和终端用户从远端的文件服务器访问文件资源】，而这种协议基本在微软系的所有操作系统中都存在，个人系统从vista到Win10；服务器从Windows2008到Windows2012（微软官方网站并未包含Windows2003）

看样子影响范围确实很广，那么，它是咋利用这个漏洞的呢？Windows中利用这个协议的主要方式是提供局域网中的共享服务，这种服务利用的端口是139端口。

那么，和445端口有神马关系呢？445端口也是一种TCP端口，该端口在windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。

因此，预防这条蠕虫的方式也很简单，关闭这种共享服务即可。

接下来让我们看看这条小虫子造成了多大的危害，下面这个图是全球受影响的现状：

根据BBC News的最新消息，这个在国内被大家简称为“比特币病毒”的恶意软件，目前攻陷的国家已经达到99个，超过57000个计算机系统，国内大量企业遭到感染。

事实上，如果大家注意到的话，各个高校是这条蠕虫的重灾区。为什么？因为学校里对SMB服务的需求是最大的，需要共享各类型的文件。所以，很多接入校园网的学生都中招了。那就很尴尬了，因为很多童鞋正写着论文就被要求交$300等值的比特币，本来就快到期末和毕业高峰期，这不是火上浇油么。。。

而且黑客那边职业素养也很高，提供了各个语言版本的威胁，并且用的非常溜。尤其是中文，什么“就算老天爷来了”，“我以人格担保”，“就要看您的运气怎么样了”，严重怀疑是不是“蓝翔人”。。。

接下来，我们来看看具体的预防方法，可以有两种，比较简单的是直接关闭445端口，只需要在防火墙规则中拒绝所有针对445端口的连接即可。

在“开始”菜单下输入cmd：

回车。在dos窗口下输入以下命令即可，我使用的测试机是Windows7

另外，Windows10下输入以下指令：

netsh advfirewall firewall addrule name="DenyTCP" dir=in action=block localport=445 remoteip=anyprotocol=tcp > nul

netsh advfirewall firewall addrule name="DenyUDP" dir=in action=block localport=445 remoteip=anyprotocol=udp > nul

当然这只是暂时的应急方法，治标不治本，漏洞还存在。我们还可以更新Windows最新的补丁，修补这个漏洞。我们可以采取手动更新或者安装更新包的方式，手动更新方式如下（以Windows7为例）。

点击“所有程序”，选择“控制面板”：

再选择“系统与安全”：

最后，选择“检查更新”，选择需要更新的补丁，更新即可：

注意的是，如果手动更新的话，补丁一定要到官方权威网站，防止补丁捆绑恶意软件。权威的地址如下：

win7 x64

md5:d745f8983f0433be76e0d08b76113563

sha1:6bb04d3971bb58ae4bac44219e7169812914df3f

下载地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

win7 x86

md5:883a7d1dc0075116789ea5ff5c204afc

sha1:2decefaa02e2058dcd965702509a992d8c4e92b3

下载地址：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

win10 x64 补丁下载地址：

http://download.windowsupdate.com/c/msdownload/update/softw

are/secu/2017/03/windows10.0-kb4012606-

x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

win10 x86 补丁下载地址：

http://download.windowsupdate.com/c/msdownload/update/softw

are/secu/2017/03/windows10.0-kb4012606-

x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

XP和win2003官方补丁地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

需要警惕的是，蠕虫有可能变异，不过，只要其利用的漏洞不变即MS17-010，并且系统已经修复了这个漏洞，那么就可以像金庸武侠那样“它强任他强，清风伏山岗”了。

最后，这条小虫虫交给我们很多“做人”的道理，最主要的就是需要反思：为什么补丁出来了我们没有及时修补？关键在于没有及时更新系统！但是微软童鞋自动更新系统确实是很恶心呀！

动辄时间就是十几分钟，新版的Windows10还会动不动来一句文言文：

所以很多朋友就选择自动关闭了。在此建议可以设置定时更新，可以设置为睡觉前，设置方法也很简单：

然后选择自己适合的时间：

其实，从这次攻击来看出现漏洞到蠕虫爆发已经超过一个月了，所以设置为一周一次也是可以预防的。