暗雲(計算機木馬)

暗雲(計算機木馬)

本詞條是多義詞,共3個義項
更多義項 ▼ 收起列表 ▲

“暗雲”是一個迄今為止最複雜的木馬之一,感染了數以百萬的計算機,暗雲木馬使用了很多複雜的、新穎的技術來實現長期地潛伏在用戶的計算機系統中。其使用了BootKit技術,直接感染磁碟的引導區,感染後即使重裝格式化硬碟也無法清除。國內權威安全評測機構PCSL,針對“暗雲”對各大安全廠商做了一次詳盡評估,其中騰訊電腦管家和金山毒霸等已可防禦。

2017年6月13日,中國國家網際網路應急中心開通暗雲木馬感染數據免費查詢服務。

基本介紹

  • 中文名:暗雲
  • 外文名:Bootkit
  • 涉及領域:計算機病毒
  • 所屬技術:Bootkit木馬
名稱來源,出現方式,相關新聞,

名稱來源

一個影響百萬計算機的危險木馬被第一時間攔截查殺。據悉,該木馬能夠使用多種複雜技術潛伏於電腦磁碟引導區中,並通過雲端攻擊危害用戶,是迄今為止最複雜的木馬之一,被騰訊電腦管家安全專家命名為“暗雲”。“暗雲”木馬並沒有具體的檔案形態,它潛伏於用戶電腦的磁碟引導區內,通過雲端數據下載病毒代碼向電腦發起攻擊,並可破壞防毒軟體功能,即便用戶格式化硬碟也難以清除,查殺該木馬的技術難度超越之前的“鬼影”病毒。
常駐計算機模組(MBR)行為
電腦開機後,受感染的磁碟MBR第一時間獲得CPU的控制權,其功能是將磁碟3-63扇區的木馬主體載入到記憶體中解密執行,木馬主體獲得執行後通過掛鈎int 15中斷來獲取第二次執行的機會,隨後讀取第二扇區中的備份MBR正常地引導系統啟動。系統引導啟動時會通過int 15中斷查詢記憶體信息,此時掛鈎15號中斷的木馬便得以第二次獲得CPU控制權,獲得控制權後木馬掛鈎BILoadImageEx函式,調用原始15號中斷並將控制權交回給系統繼續引導。當系統引導代碼調用BILoadImageEx載入ntoskrnl.exe時,木馬便第三次獲得控制權,獲得控制權後木馬再一次執行掛鈎操作,此次掛鈎的位置是ntoskrnl.exe的入口點,隨後將控制權交給系統繼續引導。當引導完畢進入windows核心時,掛鈎ntoskrnl入口點的木馬代碼第四次獲得CPU控制權,此時木馬已真正進入windows核心中,獲得控制權後,分配一塊記憶體空間,將木馬核心的主功能代碼拷貝到分配的空間中,並通過創建PsSetCreateThreadNotifyRoutine回調的方式使主功能代碼得以執行。至此完成木馬由MBR到windows核心的載入過程。

出現方式

如果發現電腦存在下列症狀,最好使用防毒軟體查殺暗雲木馬:
1、 桌面出現“美女視頻直播”捷徑;
2、 訪問baidu.com時網址後面自動加上了一個奇怪的字元串;
3、 電腦出現過RUNDLL錯誤提示框;
4、安卓手機連線電腦後莫名其妙裝上haomm等套用,電腦里查出xnfbase.dll、thpro32.dll等檔案,或者你所在qq群出現由你分享的私服遊戲(實際上是木馬利用qq漏洞上傳的);
5、由於暗雲木馬感染了MBR(磁碟主引導區),即使重灌系統,MBR里的惡意代碼還會聯網下載木馬病毒進來,電腦中毒症狀會再次出現。

相關新聞

近日,紀錄片《大國重器》(第二季)正式回歸,影片中騰訊安全聯合實驗室便向觀眾全面還原了2017年影響用戶人數最大的“暗雲Ⅲ”木馬攻防戰。
一個名叫“暗雲”的木馬被媒體熱炒,據稱該木馬查殺難度很高,即使重灌系統也無法徹底清除。其實暗雲木馬和前些年流行的鬼影系列木馬一樣,都是通過感染磁碟主引導區(MBR)頑固駐留,因此查殺暗雲木馬也需要對症下藥。
曾影響百萬用戶電腦的“暗雲”系列病毒再度變種來襲。近日,騰訊電腦管家發現一個後門程式潛伏在用戶電腦,因其篡改系統核心信息,導致多個玩家玩某遊戲時出現卡死問題。經騰訊電腦管家安全專家分析發現,該後門程式為騰訊電腦管家於2015年1月首次發現並命名的暗雲系列病毒木馬,並且與暗雲II相比出現新的進化特徵,升級為“暗雲III”
2017年6月9日至今,中國國家網際網路應急中心監測發現中國境內有160餘萬台電腦感染了此木馬。為此,中國國家網際網路應急中心首次開通了“暗雲”木馬感染數據免費查詢服務,點擊網址即可查詢使用的IP位址是否受到木馬感染。

相關詞條

熱門詞條

聯絡我們