Shadow Brokers組織泄露了NSA方程式組織的一些工具，其中名為DoublePulsar的后門程序可利用部分Windows系統漏洞進行惡意代碼注入。微軟官方目前仍拒絕承認此次 過萬Windows計算機被NSA后門程序感染 ，而這起事件的研究空缺正由私人研究員接手處理。最新的進展是在本周二，一種可遠程卸除DoublePulsar后門的安全工具已被開放在GitHub上，用戶可以自行下載，進行檢測并進行相關操作。

影響持續擴大

在上周五的傍晚，微軟官方發布了申明，稱他們對多起互聯網范圍內的掃描檢測所呈現的從30,000至100,000數量的計算機設備受到后門程序影響的報告結果表示質疑。當然，這個聲明并沒有提供任何基于事實基礎的質疑，官方也未能對到周二為止的數據更新作出回應。截止到周末，Below0day發布最新的掃描結果顯示56,586臺Windows設備受到影響，在三天前的結果30,626臺的基礎上增長了85%。

在上周其他的獨立檢測的報告中，以上結果的數據結果稍微偏低。而在周一的時候，Rendition Infosec發布了一篇 博客 稱DoublePulsar感染案例正在上升，其研究人員確定掃描結果是真實反應實際情況的。

Rendition創始人Jake Williams說：

這個數字只是冰山一角，我確定感染數量會超過120,000。

使用檢測工具卸除后門程序

在周二的時候，Countercept安全公司對于上周發布的DoublePulsar檢測腳本進行了更新。用戶可以從網上遠程卸除任意一臺感染設備上的植入程序。研究員Kevin Beaumont稱檢測到DoublePulsar的過程包含了發送一系列的SMB——服務器信息塊協議的縮寫——到連接互聯網的計算機設備上。通過改變傳輸數據中的兩個字節，該用戶可以從任何檢測出感染的設備上卸除程序。當然，這個腳本并不是清理受損設備的唯一方法。由于DoublePulsar具備較高的隱匿性，不會在感染設備的硬盤上寫入任何文件。

正如前篇報道中所提及的，由于DoublePulsar是黑客從NSA處獲取的一種核武級別的植入程序。而微軟出于某種未能解釋的原因，正好在DoublePulsar漏洞工具發布一月前給出了相應的修補程序 。但 這個后門程序能夠隱匿自身，并持續地保持機器與攻擊者之間的通信交流，通過CNC服務器遠程執行攻擊者的命令。

使用第三方工具的問題

而在周二發布的一則 聲明 中，微軟發言人稱：

安裝最新系統程序的用戶將不會受到此惡意軟件的威脅，因為這個后門程序只能運行在受感染的設備上。所以我們鼓勵客戶上網時踐行良好的使用習慣，包括謹慎點擊各種網頁鏈接，不隨意打開未知文件或接受文件傳輸。

但對于沒有安裝三月份的最新微軟補丁的用戶而言，在新一輪的Shadow Brokers事件中實際上很容易受到0day exploit攻擊。所以使用最新的Countercept腳本大規模地卸除感染設備中的后門軟件，幾乎將是無可避免的。但如果使用者對設備沒有所有權的話，這樣的行動肯定在大多數的司法管轄區受到刑事或民事訴訟。

即便如此，從DoublePulsar中“脫險”的設備可能還會感染到其他的惡意程序，大家真的需要格外謹慎地對待此次事件。在Microsoft保持緘默的當下，這個工具還是毫無疑問地會成為那些管理大批老式電腦的管理員們的有力工具！

工具下載地址 ： https://github.com/countercept/doublepulsar-detection-script