“暗云”系列木馬堪稱迄今為止最復(fù)雜的木馬種類之一,從2015年初被騰訊電腦管家首次捕獲并查殺后�,該木馬不斷更新迭代�����,持續(xù)對(duì)抗升級(jí),變種接連而至�����。今年4月�����,多名網(wǎng)友向騰訊電腦管家反饋��,在玩某射擊游戲時(shí)�����,電腦突發(fā)卡頓問(wèn)題�。騰訊電腦管家發(fā)現(xiàn),造成電腦卡頓的元兇正是暗云系列木馬����,因與“暗云Ⅱ”相比繼續(xù)進(jìn)化,被命名為“暗云Ⅲ”����。目前�,騰訊電腦管家已推出專殺版本���,可準(zhǔn)確檢測(cè)和查殺暗云系列木馬����。
(騰訊電腦管家查殺“暗云Ⅲ”)
在對(duì)中招電腦進(jìn)行檢測(cè)的過(guò)程中��,騰訊電腦管家安全研究人員發(fā)現(xiàn)�,“暗云Ⅲ”啟動(dòng)過(guò)程與以往相同,都是由MBR開(kāi)始通過(guò)int 15中斷一步步的hook來(lái)跟隨系統(tǒng)的引導(dǎo)流程進(jìn)入系統(tǒng)內(nèi)核執(zhí)行�����,而該套代碼可兼容XP��、Vista���、Win7��、Win8等主流操作系統(tǒng)����,包括64位和32位。一旦“暗云Ⅲ”入侵����,用戶電腦中將潛伏一個(gè)后門程序��,而該后門程序能篡改系統(tǒng)內(nèi)核信息���,容易導(dǎo)致玩游戲時(shí)出現(xiàn)卡頓問(wèn)題����。
騰訊電腦管家安全研究人員通過(guò)對(duì)比發(fā)現(xiàn)����,本次爆發(fā)的暗云木馬與之前的版本有比較明顯的晉級(jí)特征,在隱蔽性�����、兼容性以及對(duì)抗安全軟件的能力上均進(jìn)一步提升�。“暗云Ⅲ”依舊是無(wú)文件無(wú)注冊(cè)表,取消了多個(gè)內(nèi)核鉤子和對(duì)象劫持����,使其變得更加隱蔽,即使專業(yè)人員也難以發(fā)現(xiàn)其蹤跡;由于該木馬主要通過(guò)掛鉤磁盤驅(qū)動(dòng)器的StartIO來(lái)實(shí)現(xiàn)隱藏和保護(hù)病毒MBR,而此類鉤子位于內(nèi)核很底層����,不同類型、品牌的硬盤所需要的hook點(diǎn)不一樣�,且“暗云Ⅲ”增加了更多判斷代碼,能夠感染市面上的絕大多數(shù)硬盤;此外���,“暗云Ⅲ”對(duì)安全廠商的“急救箱”類工具做專門對(duì)抗����,通過(guò)設(shè)備名占坑的方式試圖阻止某些工具的加載運(yùn)行��。
(“暗云”系列木馬)
暗云木馬在2015年年初爆發(fā)���,影響了近百萬(wàn)計(jì)算機(jī)�����。該木馬能夠使用多種復(fù)雜技術(shù)潛伏于電腦磁盤引導(dǎo)區(qū)中����,通過(guò)云端數(shù)據(jù)下載病毒代碼向電腦發(fā)起攻擊�,并可破壞殺毒軟件功能����,即便用戶格式化硬盤也難以清除�����,堪稱當(dāng)年影響最大的病毒木馬之一���。在暗云木馬爆發(fā)后,騰訊電腦管家第一時(shí)間跟進(jìn)���,并及時(shí)攔截查殺��。從2015年至今����,騰訊電腦管家時(shí)刻保持對(duì)該木馬的監(jiān)測(cè)����,并成功在業(yè)內(nèi)率先攔殺“暗云Ⅱ”和此次爆發(fā)的“暗云Ⅲ”。
(騰訊電腦管家“暗云Ⅲ”專殺工具)
騰訊安全反病毒實(shí)驗(yàn)室專家馬勁松表示�,“暗云”系列木馬主要通過(guò)外掛、游戲輔助���、私服登錄器等傳播����,此類軟件通常誘導(dǎo)用戶關(guān)閉安全軟件后使用,使木馬得以乘機(jī)植入����。建議廣大游戲玩家持續(xù)保持騰訊電腦管家等安全類軟件開(kāi)啟狀態(tài),不要運(yùn)行來(lái)源不明和被安全軟件報(bào)毒的程序����。目前,騰訊電腦管家已經(jīng)能夠準(zhǔn)確檢測(cè)和查殺暗云系列木馬�����,網(wǎng)友可在騰訊電腦管家官網(wǎng)下載“暗云”專殺版處理該木馬���。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)