EDR软件对SMB爆破的作用，EDR的作用有点不给力

有个问题 ，我一直很纳闷 。我发现客户现网中存在飞客蠕虫病毒，最近一段时间里经常会有横向SMB爆破攻击。我安装EDR以后我发现有些主机每天都会出现一摸一样的病毒文件，杀毒隔离再到隔离区进行删除文件以后，第二天还是会出现相关病毒出现。  是不是EDR对飞客蠕虫病毒不能彻底查杀-----》https://www.freebuf.com/articles/system/168608.html，跟这篇文章介绍一样。(备注：客户现场重点电脑安装了EDR，另外也开启了本身电脑win7的防火墙，但是还是经常会扫描到一些重复的病毒以及EDR后台还显示其存在smb爆破)

此外，现网客户的电脑中会出现cmd.exe文件以及相关的svchost.exe文件占用了大部分终端的内存以外，还存在smb爆破。虽然每天都对相关电脑进行查杀，但是我还是发现我打开了一个cmd.exe文件以后就冒出多个cmd.exe。另外svhost.exe也是经常有， 每次都得在cmd里输入了tasklist /svc,查找相关不是系统进程得svhost.exe进行杀掉。------》https://jingyan.baidu.com/article/6079ad0eb505a628ff86db99.html

实话说，我终端电脑安装360安全卫士虽然不如EDR杀毒杀得多，但是对于那些爆发cmd.exe和svhost.exe的终端起到的效果还是很突出的，内存和cpu直接明显降下去。

EDR后台也不能检测到是哪个终端的哪个进程文件发起的smb爆破（只提示某个终端是攻击源，但是到该终端去安装EDR软件以后发现也杀不全相关文件，存在smb爆破的行为。）

您好 您的问题需要工程师远程协助，麻烦您关注下私信内容，并私信提供下相关的信息，这边协调工程师远程协助您处理 谢谢！

联系400查看一下

远程协助吧。

1.使用专杀工具http://media.kaspersky.com/utili ... s/EN/kidokiller.zip
2.打上ms08-067漏洞补丁，飞客蠕虫病毒一般是通过dll注入系统进程进行持久化驻留
3.修改系统密码，关闭445，135-139等共享端口