騰訊再發暗雲Ⅲ大規模傳播緊急預警，稱其或與DDoS攻擊相關

Windows 7 Windows XP 文章 X86 雷鋒網 2017-06-10

導語：6月9日，騰訊電腦管家再次發佈關於暗雲 Ⅲ 的緊急預警，稱其通過下載站大規模傳播，可能與 DDoS 攻擊相關並引發大規模攻擊事件。

本文作者：李勤

6月9日，騰訊電腦管家再次發佈關於暗雲 Ⅲ 的緊急預警，稱其通過下載站大規模傳播，可能與 DDoS 攻擊相關並引發大規模攻擊事件。其實，今年5月9日，騰訊電腦管家已經發布過一次“暗雲Ⅲ”預警通知。雷鋒網(公眾號：雷鋒網)瞭解到，此次再發緊急預警是因為其監測到近期暗雲Ⅲ感染規模的急劇擴大。

該病毒通過感染磁盤 MBR 來實現開機啟動，騰訊電腦管家方面將其定性為：感染用戶數量巨大，是目前已知複雜度最高感染用戶數量最大的木馬之一。中毒用戶會成為受控“肉雞”，導致網絡變卡、用戶信息被竊取等安全問題。

暗雲系列木馬病毒因使用多種複雜技術潛伏於用戶電腦中，在過去兩年間，不斷變種升級。2015年，爆發的第一代“暗雲”木馬就“來勢洶洶”，用戶感染後即使重裝、格式化硬盤也無法清除，並且此病毒還兼容 X86、X64 兩種版本的 XP、Win7等操作系統。

據騰訊反病毒實驗室的分析報告，暗雲Ⅲ與之前版本相比有以下特點和區別：

第一、更加隱蔽，暗雲Ⅲ依舊是無文件無註冊表，與暗雲Ⅱ相比，取消了多個內核鉤子，取消了對象劫持，變得更加隱蔽，即使專業人員，也難以發現其蹤跡。

第二、兼容性，由於該木馬主要通過掛鉤磁盤驅動器的StartIO來實現隱藏和保護病毒MBR，此類鉤子位於內核很底層，不同類型、品牌的硬盤所需要的hook點不一樣，此版本木馬增加了更多判斷代碼，能夠感染市面上的絕大多數系統和硬盤。

第三、針對性對抗安全軟件，對安全廠商的“急救箱”類工具做專門對抗，通過設備名佔坑的方式試圖阻止某些工具的加載運行。

騰訊再發暗雲Ⅲ大規模傳播緊急預警，稱其或與DDoS攻擊相關

［三代暗雲木馬比較］

騰訊再發暗雲Ⅲ大規模傳播緊急預警，稱其或與DDoS攻擊相關

［暗雲Ⅲ 木馬啟動流程］

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。歡迎熱情討論，轉發分享~