CNCERT：暗云Ⅲ來(lái)襲 騰訊電腦管家可檢測(cè)查殺

　　近日，一款名為“暗云Ⅲ”的木馬程序在互聯(lián)網(wǎng)上肆意傳播，向全國(guó)用戶發(fā)起網(wǎng)絡(luò)攻擊，目前該木馬病毒仍呈現(xiàn)不斷蔓延的趨勢(shì)。

　　6月12日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布《關(guān)于“暗云”木馬程序有關(guān)情況通報(bào)》提醒廣大用戶小心防范，以免中招。同時(shí)，CNCERT還聯(lián)合國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)密切關(guān)注暗云Ⅲ事態(tài)發(fā)展，推薦騰訊電腦管家等安全工具查殺暗云III木馬。而在11日，哈工大援引 CERNET黑龍江用戶網(wǎng)絡(luò)空間安全工作組根據(jù)Panabit提供的威脅情報(bào)，表示主流安全軟件無(wú)法查殺暗云III，并推薦使用騰訊電腦管家專殺工具查殺。

　　早在6月9日，騰訊電腦管家就率先檢測(cè)到“暗云Ⅲ”病毒通過(guò)下載站大規(guī)模傳播的新動(dòng)向，并通過(guò)感染磁盤MBR實(shí)現(xiàn)開機(jī)啟動(dòng)，感染用戶數(shù)量已達(dá)數(shù)百萬(wàn)。騰訊電腦管家第一時(shí)間發(fā)布安全預(yù)警，并將技術(shù)分析共享到安全行業(yè)，向CNCERT等主管部門遞送了技術(shù)分析報(bào)告，拉響了行業(yè)協(xié)同應(yīng)對(duì)暗云III病毒的安全警報(bào)，避免造成大規(guī)模的病毒攻擊。

　　騰訊電腦管家安全專家表示，暗云系列木馬相當(dāng)頑固，是技術(shù)最復(fù)雜、影響用戶規(guī)模最大的木馬之一。早在2015年1月，騰訊電腦管家安全團(tuán)隊(duì)就率先捕捉到暗云第一代木馬，并將其命名為“暗云”，寓意該木馬的邪惡和隱蔽性。隨后的兩年多時(shí)間內(nèi)，騰訊電腦管家團(tuán)隊(duì)一直與暗云木馬家族進(jìn)行技術(shù)追蹤和對(duì)抗，多次扼殺了暗云木馬的大規(guī)模感染行為。此次控制百萬(wàn)電腦發(fā)起DDoS攻擊，暗云III已經(jīng)發(fā)生明顯變異。

　　騰訊電腦管家全球首發(fā)檢測(cè)工具，成阻擊暗云Ⅲ攻擊先鋒軍

　　綜合CNCERT和以騰訊公司為代表的國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，“暗云”系列木馬程序通過(guò)一系列復(fù)雜技術(shù)潛伏于用戶電腦中，具有隱蔽性較高、軟硬件全面兼容、傳播性較強(qiáng)、難以清除等特點(diǎn)，且最新的變種“暗云Ⅲ”木馬程序可在每次用戶開機(jī)時(shí)從云端服務(wù)器下載并更新起功能模塊，可靈活變換攻擊行為。

　　另外騰訊電腦管家團(tuán)隊(duì)率先分析發(fā)現(xiàn)，“暗云”系列木馬程序已具備了流量牟利、發(fā)動(dòng)分布式拒絕服務(wù)攻擊(以下簡(jiǎn)稱“DDoS攻擊”)等能力，具有互聯(lián)網(wǎng)黑產(chǎn)盈利特性。早前，騰訊安全云鼎實(shí)驗(yàn)通過(guò)對(duì)攻擊源機(jī)器進(jìn)行分析，工程師在機(jī)器中發(fā)現(xiàn)暗云Ⅲ的變種，通過(guò)對(duì)流量、內(nèi)存DUMP數(shù)據(jù)等內(nèi)容進(jìn)行分析，騰訊云鼎實(shí)驗(yàn)室確定本次超大規(guī)模DDoS攻擊由“暗云”黑客團(tuán)伙發(fā)起。對(duì)此，騰訊電腦管家快速響應(yīng)，并將技術(shù)分析情報(bào)分享給了安全廠商和云服務(wù)商，同時(shí)通報(bào)給政府網(wǎng)信辦等部門，拉響了抗擊暗云III攻擊的安全警報(bào)。

　　此外，騰訊電腦管家率先對(duì)暗云III進(jìn)行攔截查殺，連夜技術(shù)攻關(guān)研發(fā)了全球首個(gè)“暗云III檢測(cè)工具”，用戶使用該工具可一鍵識(shí)別電腦內(nèi)是否藏有暗云III病毒，可防御病毒，避免電腦成為黑客遠(yuǎn)程控制的“肉雞”。

　　騰訊率先布局云加端防御，拯救全國(guó)百萬(wàn)被感染用戶

　　據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù)，截止6月12日，累計(jì)發(fā)現(xiàn)全球感染該木馬程序的主機(jī)超過(guò)162萬(wàn)臺(tái)，其中我國(guó)境內(nèi)主機(jī)占比高達(dá)99.9%，廣東、河南、山東等省感染主機(jī)數(shù)量較多。同時(shí)，CNCERT對(duì)木馬程序控制端IP地址進(jìn)行分析發(fā)現(xiàn)，“暗云Ⅲ”木馬程序控制端IP地址10個(gè)，控制端IP地址均位于境外，且單個(gè)IP地址控制境內(nèi)主機(jī)數(shù)量規(guī)模均超過(guò)60萬(wàn)臺(tái)。騰訊電腦管家暗云III實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)顯示，此次暗云III的攻擊行為仍在繼續(xù)。

　　根據(jù)監(jiān)測(cè)結(jié)果可知，目前“暗云Ⅲ”木馬程序控制的主機(jī)已經(jīng)組成了一個(gè)超大規(guī)模的跨境僵尸網(wǎng)絡(luò)，黑客不僅可以竊取我國(guó)百萬(wàn)計(jì)網(wǎng)民的個(gè)人隱私信息，而且一旦利用該僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊將對(duì)我國(guó)互聯(lián)網(wǎng)穩(wěn)定運(yùn)行造成嚴(yán)重影響。

　　針對(duì)此次來(lái)勢(shì)洶洶的“暗云Ⅲ”病毒，騰訊電腦管家、金山、知道創(chuàng)宇、騰訊云等國(guó)內(nèi)安全廠商及云服務(wù)商積極響應(yīng)，謹(jǐn)防勒索病毒式的網(wǎng)絡(luò)危機(jī)再次發(fā)生。騰訊電腦管家聯(lián)合騰訊云率先布局了云加端防御，騰訊云大禹系統(tǒng)專業(yè)抗D(抵抗DDos攻擊)布局防御云端服務(wù)器安全，騰訊電腦管家保障用戶終端電腦安全，構(gòu)建云加端的堅(jiān)實(shí)防御體系。

　　騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)朋友圈發(fā)文表示，暗云III的危害不容小視，針對(duì)暗云Ⅲ的攻擊，騰訊已經(jīng)成功修復(fù)約40萬(wàn)臺(tái)感染機(jī)器，而暗云III的威力遠(yuǎn)大于WannaCry勒索病毒。

　　雖然在國(guó)內(nèi)安全廠商攜手之下，及時(shí)遏止了暗云Ⅲ病毒的大范圍傳播，但用戶仍然不能掉以輕心。騰訊電腦管家提醒廣大用戶，不要選擇安裝捆綁在下載器中的軟件、運(yùn)行來(lái)源不明或被安全軟件報(bào)警的程序和下載運(yùn)行游戲外掛、私服登錄器等軟件;定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù);可下載騰訊電腦管家、金山毒霸等安全類軟件對(duì)“暗云”木馬程序進(jìn)行檢測(cè)和查殺。暗云Ⅲ病毒仍在持續(xù)傳播中，騰訊電腦管家將會(huì)密切監(jiān)視暗云Ⅲ動(dòng)向，謹(jǐn)防其再度爆發(fā)。